Blogs

Kalender

Dezember

M	D	M	D	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Blogs

Bullshit-Busters: Finger weg vom Smartphone!

netzpolitik.org - vor 6 Stunden 51 Minuten

Die Bundesregierung hat ein neues Lieblingsthema: mehr Abschiebungen. Dafür greift sie zu immer härteren Mitteln. So müssen Ausländer:innen ohne Papiere ihre Handys durchsuchen lassen. Ein tiefer Eingriff in die Privatsphäre, der noch dazu weitgehend nutzlos ist. Wir berichten seit Jahren darüber und entlarven die falschen Argumente der Behörden. Denn digitale Grundrechte gelten für alle.

Who you gonna call? Bullshit-Busters! Wir räumen auf mit Mythen, Lügen und falschen Versprechungen. Tagein, tagaus bekämpfen wir den Bullshit der digitalen Welt. Und wir kämpfen für Eure Grund- und Freiheitsrechte. In den kommenden Wochen berichten wir Euch in kurzen Beiträgen, welchen Bullshit wir dieses Jahr aufgedeckt und bekämpft haben. Hier erzählt Chris vom Kampf gegen die Überwachung von Migrant:innen und Asylsuchenden.

Diese Geschichte beginnt wie viele gute Geschichten: mit einer Empörung. Die Ausländerbehörde in Berlin hatte die Smartphones von Menschen durchsucht, die ohne Papiere in der Stadt lebten, um darauf nach Hinweisen für ihre Identität zu suchen. Ich habe das mitbekommen und mich darüber aufgeregt. Weil es mir so krass vorkommt, dass das erlaubt ist. Dass die Behörden einfach durch alle Details des Privatlebens dieser Menschen scrollen dürfen. Als hätten sie ihr Grundrecht auf Privatsphäre allein schon dadurch verwirkt, dass sie keinen gültigen Pass vorlegen können.

Seit fünf Jahren recherchieren wir inzwischen zu den Handydurchsuchungen von Ausreisepflichtigen. Wir haben aufgedeckt, wie Behörden in Berlin, Hamburg und Bayern die Smartphones von Geduldeten hacken. Die Maßnahmen sollen sogenannten „Asylmissbrauch“ verhindern und dabei helfen, die Identität von Menschen ohne Pass zu ermitteln. Aber das ist Bullshit!

Wir konnten zeigen, wie viele Personen davon betroffen sind und wie die Ausländerbehörden beim Knacken und Auslesen der Handys teils mit Polizei und Zoll zusammenarbeiten – als gehe es darum, Verbrecher festzunageln. Wir haben dafür gesorgt, dass Datenschutzbehörden auf die Fälle aufmerksam wurden und angefangen haben, die Praxis der Ausländerbehörden zu untersuchen. Vor allem konnten wir aber zeigen, wie wenig diese Maßnahmen objektiv bringen.

Gerne würde ich an dieser Stelle feiern, dass die Superkräfte des Journalismus gesiegt haben. Dass wir die Energiestrahlen aus unseren Protonen-Packs gekreuzt haben – und Zosch! Die Wahrheit ist: Die Situation ist gerade schlimmer denn je.

Statt die Handydurchsuchungen abzuschaffen, fährt die Bundesregierung aktuell einen Kurs der Schikane gegen Asylsuchende und Geduldete. Vermutlich ist auch den Verantwortlichen im Bundesinnenministerium klar, dass sich dieser massive Eingriff in die Privatsphäre der Betroffenen nicht wirklich lohnt. Trotzdem will das Ministerium die Befugnisse noch weiter ausbauen: Nicht nur das Gerät selbst, sondern auch die Cloud soll jetzt durchsucht werden. Das Ministerium will den Behörden außerdem erlauben, die Wohnungen von Geflüchteten zu durchsuchen, um die Handys zu beschlagnahmen.

Diese drei Mythen habe ich „gebustet“:

Mythos #1: „Die Daten aus dem Handy sagen etwas aus über die Staatsangehörigkeit.“ Das ist Bullshit. Wer versteckt schon seinen Pass heimlich im Fotostream oder zwischen den Notizen? Auch die Idee, dass sich aus Ländervorwahlen von angerufenen Telefonnummern oder aus Chatnachrichten eine Staatsangehörigkeit rekonstruieren ließe, ist reines Wunschdenken der Politik. Das Handy kann maximal Indizien dafür liefern, wo sich jemand längere Zeit aufgehalten hat. Tatsächlich leben Menschen auf der Flucht oft jahrelang in anderen Ländern, bevor sie weiter nach Deutschland reisen.
Mythos #2: „Die Durchsuchungen führen zu mehr Abschiebungen.“ In den von uns recherchierten Fällen konnten die Behörden keinen einzigen Fall nennen, in dem die erzwungenen Durchsuchungen dazu führten, dass eine Person abgeschoben werden konnte. Das ist aber auch kein Wunder: Denn die Abschiebungen scheitern meist nicht an der ungeklärten Identität, sondern daran, dass Staaten die Menschen nicht zurücknehmen wollen. Und dass eine Botschaft plötzlich Passpapiere ausstellt, weil die Ausländerbehörde ein paar Anrufe nach Gambia oder Irak nachweisen kann, ist eher unwahrscheinlich.Dass sich auf diesem Weg wenig holen lässt, wissen auch die Behörden selbst. Einige gestehen es sogar offen ein. Die Ausländerbehörde in Berlin etwa. Sie ließ jahrelang die Handys von ausreisepflichtigen Menschen mit aufwändiger forensischer Technik durchsuchen – als wären sie Kriminelle. Nach unserer Berichterstattung rüstete sie wieder ab. Der Aufwand habe sich einfach nicht gelohnt, räumte die Behörde ein.
Mythos #3: „Hier werden keine Grundrechte verletzt, bitte gehen Sie weiter.“ Behördenmitarbeiter:innen, die durch Fotos und Nachrichten auf dem Handy scrollen? Schon beim Gedanken daran überfällt die meisten Besitzer:innen eines Smartphones das Grauen. An kaum einer anderen Stelle befinden sich so viele intime Details aus unserem Leben. Doch im Fall von Ausreisepflichtigen, argumentiert die Behörde, werde der „Kernbereich der privaten Lebensführung“ nicht verletzt. Schließlich muss laut Gesetz eine Person mit juristischem Staatsexamen die Handys durchsuchen – und die gibt dann nur zu den Akten, was erlaubt ist. Dass hier dennoch eine Behördenmitarbeiterin im Zweifel durch Sexting, Perioden- oder Gebets-App kramen darf, nimmt die Politik in Kauf.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

KI-Verordnung: Schraffierte rote Linien als Kompromiss

netzpolitik.org - 9 Dezember, 2023 - 12:29

Nach zähen Verhandlungen haben sich EU-Parlament und Rat gestern Nacht auf die Endfassung des AI Act geeinigt. Der Kompromiss sieht wohl einige Schlupflöcher vor: Vor allem bei biometrischer Videoüberwachung und Predictive Policing haben sich die Mitgliedstaaten offenbar gegenüber dem EU-Parlament durchgesetzt.

Das erste demokratische und umfassende KI-Regelwerk der Welt steht. Nach zwei Marathon-Sitzungen seit vergangenem Mittwoch konnten sich EU-Parlament und Rat auf die Endfassung der geplanten KI-Verordnung einigen. Damit wird das Gesetz wohl noch vor den Europawahlen im Juni kommenden Jahres verabschiedet.

Die Erleichterung über die Einigung ist groß. EU-Binnenmarktkommissar Thierry Breton bezeichnete die Vereinbarung als „historisch“. Kommissionspräsidentin Ursula von der Leyen erklärte, das Rahmenwerk werde „die Sicherheit und Grundrechte von Menschen und Unternehmen“ schützen. Und Benifei Brando, der sozialdemokratische Verhandler des Parlaments, sagte, es sei der Hartnäckigkeit des Parlaments zu verdanken, dass die Rechte und Freiheiten im Mittelpunkt der Entwicklung dieser bahnbrechenden Technologie stünden.

Der genaue Text wird in den kommenden Tagen formell festgeschrieben und veröffentlicht. Solange er nicht vorliegt, „wissen wir nicht, was geopfert wurde“, schreibt derweil Daniel Leufer, Senior Policy Analyst bei Access Now, auf X. Allzu große Hoffnungen macht er sich offenbar nicht: „Wir haben bis zum Schluss um das gekämpft, was wir retten konnten, und das haben auch unsere Verbündeten im Parlament getan“, so Leufer, „aber der Text, der aus diesem Prozess hervorgeht, ist kein Goldstandard, er ist kein Wendepunkt.“

Tatsächlich ist schon jetzt abzusehen, dass das Verhandlungsergebnis zwar rote Linien vorsieht, wenn Systeme sogenannter Künstlicher Intelligenz (KI) zum Einsatz kommen. Allerdings werden diese wohl zahlreiche Lücken aufweisen. Das betrifft weniger die im Vorfeld der Verhandlungen breit diskutierten Basismodelle, sondern vor allem die biometrische Videoüberwachung und die nationalen Sicherheitsbehörden. Gerade hier konnten die Mitgliedstaaten offenbar gegenüber dem EU-Parlament einige ihrer Forderungen durchsetzen.

Zahlreiche Ausnahmen bei biometrischer Videoüberwachung

Zwar sollen fortan Systeme verboten sein, die biometrische Kategorisierungen anhand sensitiver Eigenschaften vornehmen. Das können politische oder religiöse Überzeugungen oder die sexuelle Orientierung sein. Diese Einschränkungen sollen Diskriminierungen verhindern. Außerdem will die EU es untersagen, dass Aufnahmen von Gesichtern aus dem Internet oder mit Hilfe von Aufnahmen von Videoüberwachungssystemen in Datenbanken gesammelt werden können. Die Emotionserkennung am Arbeitsplatz und im Bildungsbereich soll ebenfalls verboten werden, genauso wie sogenanntes Social Scoring. Solche Systeme sammeln, bewerten und sanktionieren das soziale Verhalten von Menschen.

Gleichzeitig sieht die erzielte Einigung aber offenkundig etliche Ausnahmen für Strafverfolgungsbehörden vor. So sollen biometrische Identifizierungssysteme in öffentlich zugänglichen Räumen bei bestimmten Straftaten und einer vorherigen richterlichen Genehmigung möglich sein. Auch eine sogenannte retrograde Identifizierung – also im Nachhinein – wäre unter bestimmten Bedingungen erlaubt, beispielsweise bei Terrorgefahr oder der gezielten Suche von Einzelpersonen beim Verdacht auf schwere Straftaten.

Damit könnte die KI-Verordnung, trotz aller Einschränkungen, einer neuen Form der Massenüberwachung und Vorratsdatenspeicherung den Weg ebnen. Denn auch für eine eingeschränkte retrograde Identifizierung müssten Behörden fortan Videoaufnahmen in großem Umfang erstellen – also den öffentlichen Raum überwachen – und über einen längeren Zeitraum speichern. Und um diese Aufnahmen abzugleichen, etwa mit dem Gesicht eines gesuchten Verdächtigen, müssten sie zudem biometrische Daten sammeln und Strafverfolgungsbehörden verfügbar machen.

Auch Predictive Policing mit Einschränkungen erlaubt

Auch für KI-Systeme, die als hochriskant eingestuft werden, haben sich die Verhandlungspartner:innen auf Regeln geeinigt. So soll es hier laut EU-Parlament künftig „klare Anforderungen an eine obligatorische Folgenabschätzung für die Grundrechte“ geben. KI-Systeme, die das Wahlverhalten von Bürger:innen und damit die Ergebnisse von Wahlen beeinflussen können, würden ebenfalls als hochriskant eingestuft.

Auch sogenanntes Predictive Policing – also der Versuch, aus vorhandenen polizeilichen Daten Vorhersagen abzuleiten – soll fortan erlaubt sein, wenn auch mit Einschränkungen. Wie Brando Benifei auf der nächtlichen Pressekonferenz mitteilte, müssten künftig „unabhängige Behörden“ die Erlaubnis für den Einsatz entsprechender Systeme erteilen. Dass soll Missbrauch durch die Polizei verhindern.

Unter anderem Amnesty International hatte in den vergangenen Jahren nachgewiesen, wie Predictive Policing in Großbritannien und in den Niederlanden zu Massenüberwachung, Fehlentscheidungen und Diskriminierung führt.

Welche Ausnahmen für die „nationale Sicherheit“?

Unklar ist derzeit noch, welche konkreten Regeln beim KI-Einsatz für die „nationale Sicherheit“ vorgesehen sind. Hier hatte vor allem die französischen Regierung im Vorfeld umfassende Ausnahmeregelungen gefordert. Würden sie kommen, könnte auch die ungarische Regierung mit Verweis auf die „nationale Sicherheit“ gefährliche KI-Systeme einsetzen. Dazu zählen auch biometrische Massenüberwachung und Social Scoring. Laut EU-Parlament soll dies gemäß der erzielten Einigung aber verboten sein. Es wird sich allerdings zeigen, ob der finale Text nicht doch noch Schlupflöcher offen lässt.

Dass eine solche Ausnahme dem Missbrauch geradezu Tür und Tor öffnen würde, zeigt auch die staatliche Spionagesoftware Pegasus, angeboten von der israelischen NSO Group. Diese Technologie wurde laut Herstellerangaben ausschließlich für Zwecke der nationalen Sicherheit entwickelt. Längst aber ist bekannt, dass auch Oppositionelle, Journalist:innen und Dissident:innen ins Visier gerieten.

Basismodelle unterliegen Auflagen

Bei einem Thema mussten die Regierungen von Frankreich, Deutschland und Italien zurückstecken. Sie hatten im Vorfeld der Verhandlungen weniger Regeln für sogenannte Basismodelle gefordert. Der Vorstoß hatte für großen Widerspruch gesorgt. Basismodelle sind KI-Systeme, die für verschiedene Zwecke eingesetzt werden können.

Verhandler:innen konnten hier offenbar bereits beim ersten Treffen am vergangenen Mittwoch eine Einigung erzielen. Sie sieht unter anderem vor, dass Unternehmen eine technische Dokumentation zu den von ihnen angebotenen Basismodellen erstellen müssen. Diese müssen detailliert darlegen, welche Inhalte für das Training der Modelle verwendet wurden. Basismodelle mit hohen systemischen Risiken unterliegen zudem weiteren Auflagen, darunter strengeren Tests und Berichtspflichten.

Das Parlament hatte in seinem Entwurf zur KI-Verordnung auch Folgenabschätzungen zu Grundrechten gefordert. Anwender:innen von Hochrisikosystemen müssen darin prüfen, welche Risiken mit der Benutzung dieser Systeme verbunden sind, wer von ihnen betroffen sein könnte und wie die Risiken umgangen werden könnten. Der Rat hatte sich gegen solche Folgenabschätzungen eingesetzt, hier konnte sich aber das Parlament durchsetzen.

„Gebt unsere Rechte nicht aus der Hand!“

Es hatte sich frühzeitig abgezeichnet, dass die Einigung zahlreiche Schlupflöcher aufweisen würde. Bereits nach der ersten, 22-stündigen Verhandlungsrunde wandten sich 54 zivilgesellschaftliche Gruppen und 26 Forschende gemeinsam in einem offenen Brief an den Rat. Darin wiesen sie dessen Forderungen nach weiteren Ausnahmen zurück. „Gebt unsere Rechte nicht aus der Hand!“, forderten sie außerdem die anderen Teilnehmenden am Trilog auf.

Hintergrund waren Berichte, wonach die spanische Ratspräsidentschaft die Verhandler:innen des Parlaments in der Nacht von Mittwoch auf Donnerstag unter erheblichen Druck gesetzt habe, damit diese umfangreiche Forderungen des Rats akzeptieren. Danach hätten Sicherheitsbehörden biometrische Systemen dazu verwenden dürfen, um Menschen nach geschützten Attributen – etwa der Ethnizität – zu sortieren.

Auch der konservative Parlamentsverhandler Dragoş Tudorache unterstützte diese Forderungen laut Euractiv offenbar zeitweise. Nach Widerstand des Sozialdemokraten Brando Benifei hatte sich die Parlamentsseite dann wieder zusammengeschlossen. Bei der zweiten Verhandlungsrunde konnte sie dann mehr Verbote im Sicherheitsbereich durchsetzen.

Verhaltene Reaktionen

Sarah Chander, Senior Policy Advisor bei EDRi, will den finalen Text nun genau prüfen: „Wir werden sehen, inwieweit die Kompromisse in der Praxis wirklich funktionieren“, so Chander auf X, „um die Schäden durch diskriminierende und massenhafte Überwachung zu verhindern und zu mindern.“

Die europäische Verbraucher:innen-Organisation BEUC kritisiert den Kompromiss. Systeme zur Emotionserkennung seien weiter zugelassen, was angesichts ihrer Unzuverlässigkeit beunruhigend sei, schreibt die Organisation. KI-Systeme, deren Risiko nicht als hoch eingestuft wird, etwa Spielzeug oder virtuelle Assistenten, würden nur unzureichend reguliert. Auch bei Basismodellen sei der endgültige Kompromiss nicht entschieden genug, etwa weil er keine Prüfungen durch unabhängige Organisationen vorsehe. „Der AI Act hätte insgesamt mehr tun sollen, um Verbraucher:innen zu schützen“, sagte Ursula Pachl, BEUC-Vizedirektorin. „Es ist jetzt essenziell, dass die Behörden diese Gesetzgebung richtig umsetzen, um Verbraucher:innen so viel wie möglich zu schützen.“

Auch die Industrieverbände CCIA und DigitalEurope zeigen sich unzufrieden. Ihrer Meinung nach droht die KI-Regulierung die Innovation in Europa einzuschränken.

Kategorien: Blogs

KW 49: Die Woche, in der wir uns etwas wünschen

netzpolitik.org - 8 Dezember, 2023 - 18:26

Die 49. Kalenderwoche geht zu Ende. Wir haben 19 neue Texte mit insgesamt 101.765 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski

Lieber Jahresend-Mensch, liebes Feiertags-Armadillo, liebe Leser:innen,

zu diesem nächsten Feste,
wünsch ich mir nur das Beste.
Gemeinwohl, Freiheit und Solidarität
ist das, wonach mein Herz mir steht.

Digitale Grundrechte für uns alle,
die wünsch‘ ich mir in jedem Falle.
Die Chatkontrolle soll weg vom Tisch,
wir kämpfen dafür, stets munter und frisch.

Lasst eine lebenswerte Gesellschaft uns formen,
ob in der analogen oder digitalen Welt.
Das geht nicht nur mit Gesetzen und Normen,
es braucht das Gemeinwohl, das zusammen uns hält.

Als Team setzen wir uns dafür ein,
doch das schaffen wir nicht ganz allein.
Deshalb freuen wir uns über all die andern,
die mit uns auf diesen Wegen wandern.

Wenn ihr uns dabei zur Seite stehen wollt,
freu’n wir uns über eure Spenden.
Ob viel oder wenig, ob Kupfer, ob Gold,
lasst uns das Ruder gemeinsam wenden.

Und versprochen, dies war das letzte Gedicht,
das ihr von uns ertragen musstet.
Weiter quälen woll’n wir euch hier nicht,
bevor das Wochenende für uns alle anbricht!

anna

#280 Off The Record: Bullshit-Busters

Bei uns sieht es seit ein paar Wochen so anders aus. Das bunte Browserspiel Bullshit-Busters ziert unsere Website. Und uns fehlen noch rund 390.000 Euro. Wofür wir jetzt Spenden brauchen und wie man den Highscore knackt – das und mehr in Podcast-Folge #280. Von Sebastian Meineck –
Artikel lesen

Willkommen an Bord: Unser neues Team für Finanzen und Geschäftsführung

Ohne die Unterstützung unserer Spender:innen wären wir aufgeschmissen. Doch damit das Geld an der richtigen Stelle landet und der Laden läuft, braucht es eine funktionierende Verwaltung. Darum kümmert sich bei uns ab sofort ein neues Duo. Von netzpolitik.org –
Artikel lesen

Bullshit-Busters: Eindringliche Warnung vor der „Ultra-Hyperpower-Bummkrachpeng-Future-KI-6.000“

Das meistgehypte Technologie-Thema des Jahres ist eine siedend heiße, sprudelnde Bullshit-Quelle. Sogenannte „Künstliche Intelligenz“ benebelt die mächtigsten Köpfe der Welt. Wir halten dagegen und brauchen dafür Eure Spenden. Von Sebastian Meineck –
Artikel lesen

Öffentliches Geld – Öffentliches Gut!: Warum Gewinne von Wissenschaftsverlagen die Gesellschaft doppelt kosten

Frei geteiltes Wissen nützt der Gesellschaft besonders. Dem stehen die Geschäftsmodelle von Wissenschaftsverlagen im Weg. Warum aber Open Access nicht automatisch für freies Wissen sorgt und welche Ansätze es gibt, um mehr Wissen zugänglich zu machen, analysiert Aline Blankertz. Von Aline Blankertz –
Artikel lesen

Wegen Video-Sperrung: Aktionskünstler mahnen Bundesregierung ab

Der Streit um das Deepfake-Video des Zentrums für Politische Schönheit geht weiter. Die Aktionskunstgruppe wehrt sich nun juristisch gegen die Sperrung des Videos auf Instagram und YouTube – und setzt die Bundesregierung mit einer Abmahnung unter Druck. Von Markus Reuter –
Artikel lesen

EU: Parlament und Rat ringen um Recht auf Reparatur

Die Europäische Union will Elektrogeräten ein längeres Leben schenken, um die Verschwendung von Ressourcen einzudämmen. Möglich machen soll dies ein „Recht auf Reparatur“, das derzeit in Brüssel verhandelt wird. Die entscheidenden Trilog-Verhandlungen beginnen am Donnerstag. Von Franziska Rau –
Artikel lesen

Nach 100 Tagen: Große Internetkonzerne ignorieren Digital Services Act

Verbraucherschützer:innen haben sich angesehen, wie gut große Online-Dienste den Digital Services Act umsetzen. Offenkundig nicht gut genug: Manipulative Designtricks und mangelnde Werbetransparenz sind immer noch weit verbreitet. Von Zeynep Yirmibesoglu –
Artikel lesen

Rüstung: Regierung hält Kosten für Kampfjet-KI geheim

Deutschland entwickelt zusammen mit Frankreich und Spanien gerade einen neuen Kampfjet. Der soll auch Künstliche Intelligenz benutzen, im August wurde dazu ein Vertrag unterzeichnet. Was darin steht oder um wie viel Geld es geht, will die zuständige Behörde lieber nicht sagen. Von Maximilian Henning –
Artikel lesen

Pressefreiheit in Gefahr: FragDenStaat im Fadenkreuz der Staatsanwaltschaft

Die Transparenzplattform FragDenStaat ging durch die Publikation von Gerichtsdokumenten aus laufenden Verfahren bewusst ein juristisches Wagnis ein. Jetzt ermittelt die Staatsanwaltschaft Berlin gegen Projektleiter Arne Semsrott – der bereits zum Gegenschlag ansetzt. Von Zeynep Yirmibesoglu –
Artikel lesen

KI-Verordnung: Trilog-Einigung hängt am seidenen Faden

Schaffen es die Trilog-Parteien heute, sich beim Gerangel um die KI-Verordnung zu einigen? Der Druck ist groß – und könnte insbesondere das EU-Parlament dazu veranlassen, seine rote Linien zu verschieben. Von Daniel Leisegang –
Artikel lesen

Linke Netzpolitik im Bundestag: „Wir sind immer noch da“

Die Fraktion der Linken im Bundestag ist Geschichte, doch die Arbeit geht weiter. Anke Domscheit-Berg erklärt, was die linken Abgeordneten jetzt vorhaben und wie es mit der netzpolitischen Agenda weitergeht. Von Anna Biselli –
Artikel lesen

Erfolg für Quad9: DNS-Anbieter doch nicht für Urheberrechtsverletzungen verantwortlich

Wer einfach die Namen von Webseiten in IP-Adressen übersetzt, ist nicht für Urheberrechtsverletzungen verantwortlich. Das Dresdner Oberlandesgericht hob ein früheres Urteil auf und erteilt Netzsperren eine Absage. Das schafft Rechtssicherheit für Internetdienste und stärkt die Informationsfreiheit. Von Anna Biselli –
Artikel lesen

Arzttermine: Verbraucherzentrale findet Probleme bei Online-Buchungen

Eine Untersuchung des Verbraucherzentrale Bundesverbands zeigt, dass gesetzlich Versicherte bei Online-Terminvergaben benachteiligt werden. Eine Umfrage ergab noch weitere Probleme. Die Verbraucherschutz-Organisation fordert: Patient:innen müssen Arzttermine auch per Telefon oder direkt vor Ort buchen können. Von Zeynep Yirmibesoglu –
Artikel lesen

Deutsche Wohnen: Europäischer Gerichtshof klärt Grundsatzfragen beim Datenschutz

Deutsche Wohnen sammelte massenhaft Kopien von Personalausweisen, Kontoauszügen und anderen sensiblen Dokumenten von Mieter:innen. Im Streit um ein Rekordbußgeld der Berliner Datenschutzbehörde klärte der Europäische Gerichtshof nun gleich zwei Grundsatzfragen. Von Chris Köver –
Artikel lesen

Push-Dienste: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps

Smartphone-Apps verschicken Benachrichtigungen über Apple und Google, auch vermeintlich sichere Messenger. Damit können Behörden Nutzer-Daten bei Smartphone-Firmen abfragen. Bis jetzt verweigern alle Beteiligten Auskunft darüber. Nach unserer Initiative fordert jetzt ein US-Abgeordneter Transparenz. Von Andre Meister –
Artikel lesen

eIDAS-Reform: Schlagabtausch zwischen Forschenden und EU-Parlament

Eine neue EU-Verordnung könnte es staatlichen Behörden ermöglichen, die Kommunikation aller Bürger:innen auszuspähen, so die Kritik von hunderten Wissenschaftler:innen und dutzenden NGOs. Abgeordnete des Europaparlaments reagieren darauf – und offenbaren ihr technisches Unverständnis über die Praxis der Selbstregulierung bei Zertifikaten. Von Daniel Leisegang –
Artikel lesen

Schufa: Der Score allein darf nicht entscheidend sein

Ein automatischer Score allein darf nicht darüber entscheiden, ob Verbraucher:innen einen Kredit bekommen oder Verträge abschließen dürfen. Das urteilte der Europäische Gerichtshof. Datenschützer freuen sich über das Urteil, doch auch die Auskunftei Schufa gibt sich zufrieden. Von Anna Biselli –
Artikel lesen

eIDAS 2.0: Industrieausschuss des EU-Parlaments stimmt für digitale Brieftasche

Die europäische digitale Brieftasche rückt näher. Eine entsprechende Verordnung hat heute im Europaparlament eine Hürde genommen – ungeachtet der anhaltenden Kritik von Bürgerrechtsgruppen, Sicherheitsfachleuten und Datenschützer:innen. Von Daniel Leisegang –
Artikel lesen

Artikel 45 der eIDAS-Verordnung: Die Axt an der Wurzel des Online-Vertrauens

Im Netz gibt es das digitale Äquivalent zum analogen Notarsiegel: Zertifikate. Hierfür plant die EU im Rahmen der eIDAS-Verordnung neue Regeln für Browser-Anbieter, was auf heftigen Widerstand stößt. Darüber sprechen Anja Lehmann, Jiska Classen und Constanze Kurz mit Marcus Richter: Was sind Zertifikate und wie gefährlich ist es, wenn die EU hier eine Parallelinfrastruktur schafft? Von Constanze –
Artikel lesen

Kategorien: Blogs

Artikel 45 der eIDAS-Verordnung: Die Axt an der Wurzel des Online-Vertrauens

netzpolitik.org - 7 Dezember, 2023 - 18:23

Wie sich eine KI digitale Brieftaschen vorstellt (Diffusion Bee)

In Zukunft sollen sich Menschen europaweit per digitaler Brieftasche ausweisen können: die „European Digital Identity Wallet“ (ID-Wallet). Aktuell liegt ein Verordnungsentwurf auf dem Tisch, über den noch das EU-Parlament final abstimmen muss. Der zuständige Parlamentsausschuss hat heute zugestimmt.

Doch es gibt harsche Kritik daran, auch weil im Rahmen der eIDAS-Verordnung Browseranbieter verpflichtet werden sollen, bestimmte qualifizierte Zertifikate der EU-Mitgliedstaaten in ihre Zertifikatelisten aufzunehmen. Mehr als 550 IT-Sicherheitsfachleute und dutzende Nichtregierungsorganisationen haben ihre Kritik an dem entsprechenden Artikel 45 des Verordnungsentwurfs in einem offenen Brief erläutert. Die Wissenschaft und die Zivilgesellschaft, aber auch Mozilla und Google laufen also Sturm gegen das Vorhaben und waren mit den Änderungen vor der heutigen Abstimmung keineswegs zufrieden.

Die Kritik ist auch Thema im Podcast „Chaosradio“. In Zusammenarbeit mit dem Chaos Computer Club erscheint bei netzpolitik.org ein Teil aus der Chaosradio-Podcastfolge „Vertrauen, beglaubigt vom digitalen Notar“ in gekürzter schriftlicher Form: ein Gespräch zwischen Anja Lehmann, Jiska Classen und Constanze Kurz, moderiert von Marcus Richter.

Anja Lehmann

Anja Lehmann ist Professorin am Hasso-Plattner-Institut, Universität Potsdam. Sie beschäftigt sich seit mehr als fünfzehn Jahren mit Kryptographie und der Entwicklung von Protokollen mit beweisbaren Sicherheitsgarantien. Ein Schwerpunkt ihrer Forschung sind datenschutzfreundliche Technologien, unter anderem zur sicheren und datensparsamen Authentisierung.

Jiska Classen

Dr.-Ing. Jiska Classen leitet am Hasso-Plattner-Institut eine Nachwuchsforschungsgruppe im Bereich drahtlose und mobile Sicherheit. Die Schnittstelle dieser Themen bedeutet, dass sie sich mit Interna von Betriebssystemen wie iOS und Android beschäftigt, drahtlose Firmware rückwärtsentwickelt und proprietäre Protokolle analysiert. Ihre praxisnahe Forschung hat Schwachstellen in Milliarden von mobilen Geräten aufgedeckt und behoben, insbesondere im Bereich der Bluetooth-Kommunikation.

Constanze Kurz

Constanze Kurz ist promovierte Informatikerin mit den Schwerpunkten Ethik in der Informatik, informationelle Selbstbestimmung und Überwachungstechnologien sowie Wahlcomputer. Sie arbeitet seit 2015 in der Redaktion von netzpolitik.org und ist ehrenamtliche Sprecherin des Chaos Computer Clubs.

Marcus Richter

Marcus Richter moderiert im Radio, auf (virtuellen) Bühnen und in Podcasts. Seine Themen sind digital, aber vielfältig: Kultur, Spiel, Bildung und gesellschaftlicher Wandel. Außerdem unterstützt er Medien und Institutionen bei der Entwicklung und Umsetzung neuer Digitalformate. Er ist vor allem im Deutschlandfunk Kultur zu hören oder in den Podcasts Chaosradio, Rechtsbelehrung, Indie Fresse und Der Weisheit.

Ein offener Brief

Marcus Richter: Es gibt einen offenen Brief gegen Artikel 45, den aktivistische Organisationen, Wissenschaftler:innen und Google unterschrieben haben. Wer steckt dahinter?

Anja Lehmann: Der Brief entstand aus einer Initiative von verschiedenen Forscher:innen, die gesehen haben, dass da was schiefläuft. Sie haben ein paar andere Kolleg:innen zusammengetrommelt, um das Thema zu durchdringen und sich auf einen Text zu einigen. Und dann fängt man an, Unterschriften zu sammeln.

Zu Beginn waren es nur Forscher:innen, die den offenen Brief unterzeichneten. Dann wurde es aber geöffnet und NGOs und auch größere Firmen haben sich dem Ganzen angeschlossen.

eIDAS Wir berichten seit zwei Jahren unter dem Stichwort eIDAS (electronic IDentification, Authentication and trust Services) über das Vorhaben der „digitalen Brieftasche“. Unterstütze unsere Arbeit!

Jetzt Spenden

Marcus Richter: Was steht in Artikel 45 drin? Was ist die Idee?

Anja Lehmann: In Artikel 45 geht es darum, dass Browser gewisse Zertifikate, die von der EU ausgestellt werden, äquivalent zu Root-Zertifikaten akzeptieren müssen.

Die Datenübertragung im Internet ist gut gesichert dank der Verschlüsselung durch das TLS-Protokoll. Das heißt, wir sind in der Lage, zwischen Client und Server eine sichere Verbindung aufzubauen, die transportverschlüsselt ist. Zwischen Client und Server wird dafür Schlüssel-Material ausgetauscht. Dann werden alle Daten verschlüsselt, so dass jemand, der die Verbindung abhört, aber den Schlüssel nicht kennt, nichts mehr über die ausgetauschten Nachrichten lernen kann.

Die Frage ist: Wie kommt man an den Schlüssel, also wie tauschen Client und Server diesen Schlüssel aus, der nachher für die Verschlüsselung eingesetzt wird? Das ist die erste Phase in dem TLS-Protokoll: Da wird ein gemeinsamer Schlüssel zwischen Client und Server durch wunderschöne Kryptographie über einen unsicheren Kanal etabliert. Die Kryptographie sorgt dafür, dass ein Angreifer, der den Austausch abgehört hat, nichts über den Schlüssel lernt.

Wichtig für die Sicherheit ist, dass ich tatsächlich mit der Partei, mit der ich kommunizieren möchte, den Schlüssel ausgetauscht habe. Denn damit wird der Rest meiner Kommunikation geschützt. Und da kommen jetzt Zertifikate ins Spiel, denn der Schlüsselaustausch muss authentisiert sein. Das heißt, ich muss mir sicher sein, dass der Server, mit dem ich kommunizieren möchte, auch der ist, mit dem ich den Schlüssel ausgetauscht habe. Ansonsten könnte sich irgendjemand dazwischen hängen und einfach nur so tun, als wäre er eigentlich dieser Server. Der Schlüssel-Austausch und die anschließende Verschlüsselung sind nur so sicher, wie ich mir sicher sein kann, dass ich mit der richtigen Partei kommuniziere.

Marcus Richter: Das Zertifikat ist letztlich ein Stück Mathematik oder ein Stück Code?

Anja Lehmann: Ein Zertifikat ist etwas, wo Dinge drinstehen, die zertifiziert wurden. Ein analoges Zertifikat ist beispielsweise ein Führerschein.

Kryptographie kann Sicherheit, aber keinen Kontext liefern. Dieser Kontext kommt über Zertifikate zustande. Das Wichtige ist hier: Zu wem gehört ein öffentlicher Schlüssel? Das steht in dem Zertifikat drin …

Marcus Richter: … also im Prinzip wie eine Urkunde?

Constanze Kurz: Mal angenommen, du möchtest deine eigene Webseite mit einem Zertifikat ausstatten, dann würdest du dir das digitale Äquivalent von einem Notar suchen. Solch ein digitaler Notar ist beispielsweise „Let’s Encrypt“, die Zertifikate ausstellen.

Das Beispiel „Let’s Encrypt“

Anja Lehmann: Zertifikate binden also kryptographisches Material – das starke Sicherheit leisten kann, ohne Kontext aber nichts wert ist – an diesen Kontext: Wem gehört denn dieser Schlüssel und mit wem baue ich die sichere Verbindung auf? Dafür benötigt es eine Stelle, die diesen Kontext bestätigt und der wir vertrauen.

Eine solche Stelle ist zum Beispiel „Let’s Encrypt“. Das ist eine Zertifizierungsstelle, der man vertrauen kann. Der Grund, warum man glaubt, dass man „Let’s Encrypt“ vertrauen kann, ist wiederum ein Zertifikat. Auch sie wurden von einer Stelle durch ein vertrauenswürdiges Zertifikat bestätigt. Dahinter steht eine Public-Key-Infrastruktur, also eine Hierarchie von Zertifikatsanbietern. Und ganz oben, am Ende der Wurzelspitze dieses Baumes, steht dann das Root-Zertifikat, sozusagen die Wurzel des Vertrauens im Internet. Davon können wir das Vertrauen immer weiter ableiten.

Marcus Richter: Woher kennt mein Computer oder mein Smartphone die Zertifikate?

Jiska Classen: Das ist eine zentrale Entscheidung, weil davon abhängt, welchen Ketten ich vertraue. Jetzt kommt zum Beispiel Mozilla ins Spiel, denn Browser-Hersteller wie Mozilla können sagen, welche Zertifikate in einem Browser sind. Oder ein Betriebssystemhersteller kann sagen, welche Zertifikate in seinem Betriebssystem sind und welchen vertraut wird. Das heißt: Letztlich sind es Softwarehersteller, die entscheiden können, welcher Liste von Zertifikaten wir vertrauen.

Das wird auch regelmäßig überprüft. Also wenn beispielsweise rauskommt, dass es Sicherheitsvorfälle gab, können sogar Zertifikate-Aussteller komplett rausfliegen oder schlechte Zertifikate entfernt werden.

Anja Lehmann: Es liegt also relativ viel Verantwortung und auch Einflussmöglichkeiten bei den Browser-Herstellern. Sie können entscheiden, ob sie gewissen Root-Zertifikatsausstellern nicht mehr vertrauen und diese rausnehmen.

Eine Parallelinfrastruktur schaffen

Marcus Richter: In Artikel 45 steht nun drin: Die EU gibt in Zukunft auch Root-Zertifikate heraus.

Jiska Classen: Das ist in dem Artikel aber gegenüber den etablierten Begrifflichkeiten ein bisschen umbenannt. Länder können sie ausstellen, sie heißen aber nicht mehr wie normale Zertifikate, sondern QWACs: Qualified Website Authentication Certificates.

In Artikel 45 wird also eine Art Parallelinfrastruktur festgelegt. Anstelle der Browser-Hersteller, die entscheiden, wer ist gut und wer ist schlecht, wird nun einfach gesagt: Jedes EU-Land ist gut, wir geben den Ländern die Möglichkeit für eine Zertifikatsausstellungsstelle, dieser muss in dieser Parallelinfrastruktur vertraut werden.

Also das Gesetz sagt: EU-Länder sind vertrauenswürdig und sie dürfen Zertifikate ausstellen. Das Gesetz legitimiert die Länder dazu, eine Hoheit darüber zu haben, ihre eigenen QTSPs (Qualified Trust Service Provider) zu haben, die Zertifikate ausstellen, unabhängig davon, ob mal was schiefläuft. Und wir wissen ja, wie gut Länder solche digitalen Infrastrukturen aufbauen.

Die Vertrauenskette wird dadurch aufgebrochen. Zertifikate werden an allen möglichen Stellen benutzt und sichern vieles ab. Zum Beispiel bei Software-Updates möchte ich der Gegenseite vertrauen, wo ich mir die Software hole. Vielleicht ziehe ich mir jetzt ein Software-Update, wo zwischendrin jemand die Software austauscht, die ich mir dann installiere.

Constanze Kurz: Letztlich baut man hier absichtlich eine Schwachstelle ein. Dass sich dagegen die technische Community wehrt, ist verständlich.

Marcus Richter: Welche Motivation gab es für diesen Artikel 45?

Anja Lehmann: Ich vermute, dass die Befürchtung ist, dass wir in Europa zu abhängig von US-amerikanischen Firmen und von Browser-Herstellern werden. Wir müssten unsere digitale Souveränität sichern. Ein Browser-Hersteller hat eine Menge Macht, kann entscheiden, welche Root-CAs (Certificate Authority) akzeptiert werden. Hier gibt es aktuell wohl-etablierte Standards und Sicherheitsvorkehrungen. Aber es könnte eventuell irgendwann passieren, dass beispielsweise Google sagt, nur noch Root-CAs sind sicher, die bei uns in der Google-Infrastruktur laufen.

Mit Artikel 45 wird aber nicht das grundlegende Problem der Abhängigkeit gelöst, sondern gesagt: Lasst uns doch noch mehr Root-CAs hinzufügen und verlangen, dass sie akzeptiert werden.

In Artikel 45 steht nicht nur, dass es diese Zertifikate geben wird, die verpflichtend akzeptiert werden müssen. Es wird auch ein Maximum an erlaubten Sicherheitsprüfungen festgelegt. Bei den Root-CAs wird mit viel Maschinerie und Aufwand sichergestellt, dass deren Schlüssel sehr gut geschützt sind. Die Verordnung verlangt nun, dass die Europäische Standardisierungsbehörde ETSI die Regularien für die europäischen Root-CAs vorgeben kann. Die Browser-Hersteller dürfen keine zusätzlichen Checks und Regeln ansetzen, um die Sicherheit und das Vertrauen der Root-CAs zu überprüfen.

Ich glaube, es wäre die bessere Lösung, erstmal das grundlegende Problem zu lösen: Wenn wir so unglaublich von US-amerikanischen Browser-Herstellern abhängig sind, wie einige befürchten, dann lasst uns doch EU-Gelder auf europäische Browser werfen und eine alternative Infrastruktur entwickeln.

Jiska Classen: Die Frage ist auch: Warum sollten wir eine zweite Schatteninfrastruktur mit anderen Sicherheitsrichtlinien einrichten?

Anja Lehmann: Wir haben funktionierende Lösungen. Wenn ein EU-Land sagt, es möchte selbst eine Root-CA anbieten, dann kann es ja eine solche Root-CA gründen. Es gibt dafür Prozesse, sie müssen sich an die Sicherheitsstandards halten und diese erfüllen. Dann werden sie auch akzeptiert.

Einzelne dieser europäischen Root-CAs in den Browsern auszuschließen, soll übrigens nicht möglich sein.

Ein Ohr an der Wirtschaft

Marcus Richter: Sind politisch gesehen eigentlich alle in Europa dafür?

Constanze Kurz: Federführend ist nicht der Ausschuss für bürgerliche Freiheiten oder der Innenausschuss, sondern der Industrieausschuss ITRE. Da sind viele wirtschaftsfreundliche Parlamentarier drin, die also ein Ohr an der Wirtschaft haben und weniger an den Lippen der Zivilgesellschaft hängen oder die Academia von vorne bis hinten lesen. Mein Eindruck ist, dass gar nicht auf die Argumente eingegangen wird, die schriftlich in dem offenen Brief der IT-Sicherheitsfachleute und Nichtregierungsorganisationen dargelegt sind.

Außerdem wird der Academia der Vorwurf gemacht, man hätte sich da mit Google ins Bett gelegt oder mit Mozilla, die ja dieselbe inhaltliche Position vertreten. Der Vorwurf ist natürlich infam.

Marcus Richter: EU-Politiker:innen sagen, die Wissenschaft wäre sozusagen Opfer von Lobbyismus geworden?

Anja Lehmann: Es gibt viele Statements, die das so direkt sagen.

Jiska Classen: Auf die Kritiken wird nicht seriös eingegangen. Die Begründungen für die Zurückweisung der Kritik lesen sich für jemanden, der technisch nicht so tief drinsteckt, als wäre der offene Brief von Wissenschaftlern und Wissenschaftlerinnen falsch. Man muss sich sehr intensiv mit der Technik beschäftigt haben, um zu wissen, wer hier eigentlich wen anlügt.

Marcus Richter: Wer hat denn ein Interesse daran, den Artikel 45 beizubehalten?

Anja Lehmann: Mit „Let’s Encrypt“ wurden sehr viele Zertifikate kostenlos. Die Zertifikatsanbieter würden aber gern ihr altes Businessmodell wieder herausholen.

Constanze Kurz: Es gibt eine Verpflichtung in der geplanten Verordnung, dass ganze Wirtschaftsbranchen mitmachen müssen. Das ist quasi eine Gelddruckmaschine.

Marcus Richter: Vielen Dank für das Gespräch!

Das gesamte Gespräch ist beim Podcast „Chaosradio“ zu finden.

Kategorien: Blogs

eIDAS 2.0: Industrieausschuss des EU-Parlaments stimmt für digitale Brieftasche

netzpolitik.org - 7 Dezember, 2023 - 17:01

Lederne Brieftasche, ein Auslaufmodell? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Ethan Rougon

Der Industrieausschuss des EU-Parlaments (ITRE) hat heute mit großer Mehrheit der eIDAS-2.0-Verordnung zugestimmt. Der Ausschuss bestätigt damit den Kompromiss, auf den sich EU-Kommission, der Ministerrat und das EU-Parlament am 8. November im Rahmen ihrer Trilogverhandlungen geeinigt hatten.

eIDAS 2.0 gilt als das größte digitalpolitische Projekt der Europäischen Union. Die Verordnung sieht vor, dass alle 27 EU-Mitgliedstaaten ihren Bürger:innen bis zum Jahr 2026 eine digitale Brieftasche anbieten, mit der diese sich dann on- wie offline in fast allen Lebensbereichen ausweisen können.

Geht es nach der Kommission, verfügen bis zum Jahr 2030 mindestens 80 Prozent der EU-Bevölkerung über eine solche „European Digital Identity Wallet“ (ID-Wallet).

Anhaltende Kritik von Datenschützer:innen

Bürgerrechtsgruppen und Datenschützer:innen warnen indes davor, dass Staaten durch die Wallet eine „panoptische Vogelperspektive“ erhielten.

Sie nennen vor allem zwei Gründe: Zum einen drohe die Reform eine technische Infrastruktur zu schaffen, die es theoretisch ermöglicht, EU-Bürger:innen on- wie offline massenhaft zu identifizieren und zu überwachen. Zum anderen könnten nicht nur öffentliche, sondern auch private Stellen – also etwa Unternehmen – die Wallet einsetzen und ihre Kunden damit potenziell umfassend überwachen.

Erst vor wenigen Tagen hatten mehr als 550 IT-Sicherheitsexpert:innen und dutzende Nichtregierungsorganisationen ihre Kritik an Artikel 45 des Verordnungsentwurfs bekräftigt. Er soll Browseranbieter dazu verpflichten, bestimmte qualifizierte Zertifikate (QWACs) zu akzeptieren, die einzelne EU-Mitgliedstaaten bereitstellen. Das aber könnte schwerwiegende Folgen für die Privatsphäre und die Sicherheit aller europäischen Bürger:innen und das Internet insgesamt haben, so die Mahnung der Fachleute und NGOs.

Verordnung tritt frühestens im Frühjahr 2024 in Kraft

Auch Patrick Breyer, EU-Abgeordneter der Piratenpartei, sieht das Vorhaben weiterhin kritisch. „Diese Verordnung ist ein Blankoscheck zur Online-Überwachung der Bürger und gefährdet unsere Privatsphäre und Sicherheit im Internet”, so Breyer. Auch er kritisiert, dass die neue Verordnung die Browsersicherheit untergrabe.

Obendrein drohe mit der Wallet eine Überidentifizierung, die das Recht auf anonyme Nutzung digitaler Dienste aushöhlt. Die Fraktion Breyers hat im ITRE-Ausschuss gegen den Entwurf gestimmt.

Die Verordnung muss im Februar 2024 noch im Plenum des Europaparlaments abgestimmt werden. Frühestens im nächsten Frühjahr könnte sie dann in Kraft treten.

Kategorien: Blogs

Schufa: Der Score allein darf nicht entscheidend sein

netzpolitik.org - 7 Dezember, 2023 - 11:29

Egal ob beim Handyvertrag oder beim neuen Stromanbieter: Die Schufa spielt eine große Rolle. Sie weist Menschen einen Bonitätsscore zu. Nach eigenen Angaben hat die private Auskunftei Daten zu „68 Millionen natürlichen Personen und 6 Millionen Unternehmen“. Fällt der Score positiv aus, kann er Türen öffnen. Stellt er uns ein negatives Zeugnis aus, wird es schwieriger. Der Europäische Gerichtshof hat nun zwei wichtige Grundsatzfragen zur Schufa und Kreditauskunfteien im Allgemeinen geklärt.

In der ersten ging es um die automatische Bonitätsbeurteilung. Das „Scoring“ ist demnach nicht zulässig, wenn die Kund:innen der Schufa „wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen“, urteilte der EuGH. Das bedeutet: Als ausschlaggebender oder sogar alleiniger Faktor darf der Score nicht genutzt werden. Bei der Frage, ob Verbraucher:innen einen Vertrag schließen können oder einen Kredit bekommen, müssen auch andere Umstände berücksichtigt werden. Kurzum: Eine wichtige Entscheidung für einen Menschen darf nicht allein eine Maschine treffen.

Marco Blocher von der Datenschutzorganisation NOYB begrüßt den Gerichtsbeschluss: „Bürgern einfach irgendwelche Kredit-Scores zu geben und dann automatisch Verträge zu verweigern, ist mit dem EuGH-Urteil in der gesamten EU nun Geschichte“, so Blocher.

Recht auf Neuanfang

Bei der zweiten Frage ging es um die Möglichkeit, frühere Negativfaktoren abzulegen: Private Register dürfen Daten zur Restschuldbefreiung nicht länger speichern als das öffentliche Insolvenzregister, so der EuGH.

Wenn also beispielsweise jemand Privatinsolvenz beantragen musste, darf das nicht übermäßig lang bei der Schufa nachvollziehbar sein. In Deutschland sind die Daten sechs Monate im Insolvenzregister, bei der Schufa flossen sie bis zu drei Jahre in die Bonitätsbeurteilung ein. Das ist nicht rechtmäßig: „Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung“, schreibt der EuGH.

Neben Insolvenzen kann es jedoch auch andere sogenannte Negativdaten wie etwa zu unbezahlten Rechnungen geben. Auch auf die werde sich die Gerichtsentscheidung auswirken, sagt Blocher: „Das Urteil ist auch richtungsweisend für andere negative Informationen, die oft trotz minimalen Zahlungsverzug lange gespeichert werden.“

Der EuGH befasste sich mit der Schufa, weil das Verwaltungsgericht Wiesbaden ihm die Fälle vorgelegt hatte. Zur ersten Frage hatte eine Frau geklagt, die wegen eines schlechte Schufa-Scores keinen Kredit bekam. Ihre Beschwerde beim hessischen Datenschutzbeauftragten blieb erfolglos; die Behörde war außerdem der Meinung, dass ihre Bescheide nicht gerichtlich überprüfbar seien. Betroffene Personen hätten zwar ein Beschwerderecht, ein Gericht könne die Entscheidung der Aufsichtsbehörde aber inhaltlich nicht überprüfen.

Entscheidungen von Datenschutzbehörden sind gerichtlich überprüfbar

Dieser Auffassung erteilte der EuGH eine klare Absage. Das Luxemburger Gericht stellt klar, dass „die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.“

Die Schufa gab sich nach dem Urteil ebenso zufrieden wie die Datenschützer. „Das weit überwiegende Feedback unserer Kunden lautet, dass Zahlungsprognosen in Form des Schufa-Scores für sie zwar wichtig, aber in aller Regel nicht allein entscheidend für einen Vertragsabschluss sind“, so die Auskunftei. Die Schufa beruft sich also darauf, dass ihre Scores nur ein Faktor unter vielen seien.

Auf Grundlage der EuGH-Entscheidungen muss das Wiesbadener Gericht nun unter anderem prüfen, ob das Bundesdatenschutzgesetz eine gültige Ausnahme von dem Scoring-Verbot formuliert. Und wenn ja, ob diese Ausnahme mit europäischen Datenschutzregeln im Einklang steht.

Kategorien: Blogs

eIDAS-Reform: Schlagabtausch zwischen Forschenden und EU-Parlament

netzpolitik.org - 7 Dezember, 2023 - 09:47

– Midjourney (A boxing ring in a training hall, an EU flag hanging in the background)

Bis zum Jahr 2030 will die EU allen Bürger:innen eine „European Digital Identity Wallet“ (ID-Wallet) zur Verfügung stellen. Sie soll on- wie offline bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internetshopping zum Einsatz kommen.

Mehr als 550 IT-Sicherheitsexpert:innen und Forschende sowie dutzende Organisationen der Zivilgesellschaft kritisieren die geplante eIDAS-Reform. Sie äußerten vor wenigen Wochen in einem offenen Brief die Befürchtung, dass die neue Verordnung es staatlichen Behörden ermöglichen könnte, die Kommunikation im Netz umfassend zu überwachen.

Konkret geht es um Artikel 45 des Verordnungsentwurfs. Er sieht vor, Browseranbieter dazu zu verpflichten, bestimmte qualifizierte Zertifikate (QWACs) zu akzeptieren. Zertifikate sollen im Internet die Authentizität, Integrität und Vertraulichkeit der Kommunikation sicherstellen.

„Irreführende Informationen“

Der offene Brief hat einen regelrechten Schlagabtausch ausgelöst. Auf der einen Seite stehen die Abgeordneten des EU-Parlaments, auf der anderen Vertreter:innen der Wissenschaft und der Zivilgesellschaft.

Die Abgeordneten bezeichneten die Kritik an der eIDAS-Reform vor wenigen Tagen in einem Informationsschreiben als „aggressive Desinformationskampagne“. Darauf haben die Verfasser:innen des offenen Briefes nun reagiert (PDF). Aus ihrer Sicht enthält das Schreiben der Abgeordneten „sehr verwirrende und manchmal irreführende Informationen“, die sie richtigstellen wollten. Sie sehen das Recht auf Privatsphäre und sichere Online-Kommunikation durch den Verordnungsentwurf weiterhin als nicht angemessen umgesetzt und schätzen das Risiko als erheblich ein.

Tatsächlich zeigt die Argumentation der Abgeordneten, dass diese zum einen offenkundig nicht verstehen, wie die Selbstregulierung bei den Zertifikaten bislang funktioniert. Zum anderen will die EU eine parallele Infrastruktur einrichten, was die jetzige Form der Selbstregulierung aushebeln und damit die Sicherheit im Internet gefährden würde. Deutlich wird dies an drei zentralen Behauptungen der Abgeordneten.

Behauptung Nr. 1: Es gibt bisher keinen Missbrauch von QWACs

So deute aus Sicht der Abgeordneten erstens nichts darauf hin, „dass der Einsatz von QWACS seit 2014 zu einer Massenüberwachung der Bürger durch die Regierungen geführt hat“ (Frage 2). Die Abgeordneten beziehen sich darauf, dass Artikel 22 der bestehenden eIDAS-Verordnung schon jetzt Mitgliedstaaten dazu verpflichtet, vertrauenswürdige Listen von qualifizierten Vertrauensdiensteanbietern zu erstellen, zu führen und zu veröffentlichen.

Die Forschenden entgegnen, dass die bestehende eIDAS-Verordnung Browseranbieter aber noch nicht dazu verpflichte, bestimmte qualifizierte Zertifikate der EU-Mitgliedstaaten in ihre Zertifikatelisten (certificate stores) aufzunehmen. Dies soll sich mit der geplanten Reform ändern – was einen Missbrauch einfacher ermögliche, so die Forschenden.

Außerdem hätten in der Vergangenheit nicht nur Kasachstan, China und Russland, sondern auch das EU-Mitglied Frankreich Zertifikate dazu genutzt, um die Internetkommunikation auszuspähen.

Behauptung Nr. 2: QWACs dienen nur der Identifikation

Zweitens verkennen die Abgeordneten des EU-Parlaments offenbar, dass diese Ausspähung technisch relativ einfach möglich ist. So behaupten sie, dass QWACs „keine andere Funktion haben, als die Identität hinter einer Website zu bescheinigen“ (Frage 8).

Das aber sei technisch falsch, so die Forschenden. Vielmehr würden QWACs sowohl für die Identifikation der kommunizierenden Stellen als auch für die Absicherung der Verschlüsselung der Kommunikation eingesetzt. Es gebe derzeit keinen Standard, der das eine von dem anderen trenne – ein QWACs-Zertifikat also, das nur die Identität beglaubige, und ein weiteres, das nur den öffentlichen Schlüssel für die vertrauliche Kommunikation angibt. Werden QWACs daher mit einem falschen Schlüssel ausgestellt, ließen sich damit also auch verschlüsselte Nachrichten abfangen und mitlesen.

Browseranbieter hätten zudem – anders als die Abgeordneten behaupten – nicht die Möglichkeit, die QWACs-Zertifikate eigenständig zu prüfen. Sie gewähren den Zertifikaten „nicht auf Grundlage ihrer eigenen Verfahren Zugang, sondern auf Basis von Verfahren, die von anderen festgelegt wurden“. Und die finale Entscheidung könnte laut Artikel 45 künftig „einer nationalen Aufsichtsbehörde“ obliegen, so die Forschenden. (Frage 9)

Behauptung Nr. 3: Browseranbieter missbrauchen ihre Marktmacht

Die Abgeordneten behaupten drittens, dass die eIDAS-Reform „ein Kräftegleichgewicht zwischen der EU und den Browsern“ (Frage 11) schaffe. Aus ihrer Sicht sind die Browseranbieter zweierlei: Zum einen konkurrierten sie mit Qualified Trust Service Providern (QTSPs), da auch sie Website-Zertifikate etwa für Cloud-Hosting-Kunden ausstellen. Zum anderen seien sie „Regulatoren“ von QTSPs, weil sie eigene Regeln aufstellten. Sie verfügten demnach über zu viel Macht.

Dass sie ihre „monopolistischen Regulierungsbefugnisse“ auch missbrauchen würden, zeige sich laut den Abgeordneten daran, dass sie „alle Website-Besitzer und QTSPs zur Umstellung auf automatische 90-Tage-Website-Zertifikate (anstelle der derzeitigen 13-monatigen Zertifikatsgrenze) [zwingen], obwohl es im Internet-Ökosystem weit verbreiteten Widerstand gibt“.

Die Forschenden halten dagegen, dass sie sich nicht gegen eine Regulierung von Browseranbietern ausgesprochen hätten. Sie würden vor allem kritisieren, dass die eIDAS-Reform eigentlich darauf abziele, eine europäische ID-Wallet zu schaffen. Sie sei aber kein Sicherheitsgesetz und solle den Behörden daher auch nicht mehr Befugnisse bei Sicherheitsentscheidungen geben, so die Forschenden.

Darüber hinaus sprächen sich die meisten IT-Expert:innen für eine kürzere Gültigkeitsdauer von Zertifikaten aus. Auf diese Weise ließen sich unsichere Zertifikate schneller aus dem Verkehr ziehen. Dass die Abgeordneten ausgerechnet eine 13-monatige Laufzeit von Zertifikaten fordern, die damit eine jährliche Abrechnung erlaubt, sei aus Sicht der Forschenden kaum anders als mit kommerziellen Interessen zu begründen.

Fehlendes Verständnis auch beim deutschen Digitalministerium

Nicht nur in Brüssel, sondern auch im Digitalauschuss des Deutschen Bundestages war der offene Brief der Sicherheitsexpert:innen und NGOs zuletzt ein Thema. Dort stand am vergangenen Mittwoch unter anderem Marlene Letixerant den Abgeordneten Rede und Antwort. Im Bundesministerium für Digitales und Verkehr (BMDV) ist sie Referentin im Referat Datenschutz und Cybersicherheit in der digitalen Welt / Vertrauensdienste digitale Identitäten

Letixerant stellte im Ausschuss – auch wenn sie „es technisch nicht wirklich erklären“ könne – ebenfalls die Behauptung auf, dass die Browseranbieter den offenen Brief initiiert hätten (Videoaufzeichnung, ab Minute 46:20). Hintergrund sei, dass die Anbieter „natürlich“ kein Interesse daran hätten, QWACs in ihre Root-Stores aufzunehmen – obwohl diese sicherer seien als andere Zertifikate, so die Ministeriumsreferentin. Den rund 550 IT-Expert:innen, die den Brief bislang unterzeichnet haben, unterstellte Letixerant damit, nicht aufgrund ihrer technischen Sachkenntnis, sondern interessengeleitet zu argumentieren.

Kategorien: Blogs

Push-Dienste: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps

netzpolitik.org - 6 Dezember, 2023 - 18:27

Apple stellt Push-Dienst vor, 2008. – CC-BY 2.0 Erik Pitti

Das Smartphone piept oder vibriert – eine neue Nachricht. Solche Benachrichtigungen funktionieren über Push-Dienste.

Apps wollen jederzeit Benachrichtigungen über neue Aktivitäten erhalten und anzeigen können. Gleichzeitig müssen Smartphones sparsam mit Strom und Daten umgehen. Deshalb läuft nicht jede App immer und wartet aktiv auf Neuigkeiten. Sondern die großen Smartphone-Anbieter betreiben zentrale Push-Dienste für alle Apps und Nutzer:innen.

Alle iPhones verbinden sich mit Apple-Servern, fast alle Android-Geräte mit den Servern von Google oder Huawei. Diese Dienste weisen jedem Gerät eine ID zu, über die sie erreichbar sind. Will eine App ihre Nutzer:innen benachrichtigen, schickt die App diese Information an die großen Tech-Firmen – und diese leiten sie an das Endgerät.

Nutzen auch verschlüsselte Messenger

Das tun fast alle Apps, nicht nur Spiele und soziale Medien, sondern auch verschlüsselte Messenger. Ob Signal, Threema oder Wire: Auf iPhones verschicken alle Messenger-Apps Benachrichtigungen über den Push-Dienst von Apple. Die meisten Android-Geräte haben Google-Dienste, dann erfolgen die Benachrichtigungen über den Push-Dienst von Google, auch bei Signal, Threema und Wire. Threema bietet Android-Geräten von Huawei an, Benachrichtigungen über den Push-Dienst von Huawei zu schicken.

Ist ein Android-Gerät nicht bei Google oder Huawei eingeloggt, verschicken diese Messenger die Benachrichtigungen auch selbst an die Endgeräte. Android ohne Google nutzen aber nur sehr wenige Menschen: Es ist kompliziert einzurichten und schränkt viele Features ein.

Wir haben Signal, Threema und Wire gefragt, wie viele Nutzer-Accounts sie haben und wie viele davon die Push-Dienste von Apple, Google, Huawei verwenden. Threema und Wire wollen keine Zahlen zu Accounts oder Push-Diensten herausgeben, auch keine relativen Angaben. Signal hat auf unsere wiederholte Presseanfrage nicht geantwortet.

Die drei sicheren Messenger verweigern Auskunft darüber, wie oft sie Push-IDs an Behörden herausgegeben haben. Auch in ihren Transparenzberichten machen sie dazu keine Angaben.

Von Messenger-ID zu Google/Apple-Account

Vor einem Jahr haben wir die Messenger-Anbieter schon einmal danach gefragt. Damals sagte ein großer Anbieter, dass er über Push-Dienste nicht öffentlich reden möchte. Es sei nicht in ihrem Interesse, „das Thema an die große Glocke zu hängen oder ins Detail zu gehen, da die Sorge besteht, es den Behörden damit nur leichter zu machen“. Doch Polizei und Geheimdienste wissen von den Push-Diensten.

Viele Messenger werben damit, keine Kommunikationsinhalte sowie nur wenige Meta- und Bestandsdaten ihrer Nutzer:innen zu kennen. Doch die Messenger-Anbieter haben zu fast jedem Nutzer-Account einen „Push-Token“. Und die Push-Anbieter verknüpfen diese Push-IDs mit einem Nutzerkonto bei ihnen. So wird aus einer pseudonymen Messenger-ID ein Google- oder Apple-Account. Und die beinhalten jede Menge personenbezogene Daten.

Behörden fragen Push-Dienste

Der Technologe Raphael Robert hat das Verschlüsselungsprotokoll Messaging Layer Security mitentwickelt. Davor war er bei Wire für die Sicherheit verantwortlich. Robert hat erlebt, dass Ermittlungsbehörden bei Messenger-Anbietern explizit nach Push-Tokens fragen. Er bezeichnet sie als „langlebige Nutzer-IDs“. Mit dieser Information können sie dann zu Apple und Google, um weitere Nutzerdaten zu erhalten.

Gegenüber netzpolitik.org kommentiert Robert: „Technologien zum Schutz der Privatsphäre finden immer mehr Verbreitung. Aber ihre Wirkung wird durch die Art und Weise, wie Google und Apple Push-Benachrichtigungen umsetzen, stark eingeschränkt. Wir brauchen hier dringend mehr Transparenz und, wo diese möglich sind, auch technische Änderungen.“

Transparenz dringend notwendig

Wir haben uns erkundigt, wie oft Google und Apple solche Anfragen erhalten und dazu Daten herausgeben. Bisher leider erfolglos.

Also haben wir uns an das Büro des US-Abgeordneten Ron Wyden gewandt. Apple und Google mauern aber auch gegenüber dem US-Parlament. Deshalb wendet sich Wyden heute per Brief an den US-Justizminister. Wir veröffentlichen eine Übersetzung des Briefs. Das Ministerium soll Apple und Google erlauben, diese Daten transparent zu machen.

Apple hat bereits reagiert. Gegenüber Reuters äußerte sich das Unternehmen schriftlich: „Nun, da diese Methode öffentlich ist, aktualisieren wir unsere Transparenzberichte, um diese Art von Anfragen detailliert darzustellen.“ Hoffen wir, dass die anderen Anbieter sich ein Beispiel nehmen und ihr Schweigen ebenfalls brechen.

Hier der Brief aus dem PDF befreit und maschinell übersetzt:

Datum: 6. Dezember 2023
Von: Ron Wyden, Senator, USA
An: Merrick B. Garland, Generalstaatsanwalt, Justizministerium, USA

Sehr geehrter Generalstaatsanwalt Garland:

Ich schreibe, um das Justizministerium zu bitten, Apple und Google zu erlauben, ihre Kunden und die Öffentlichkeit über Forderungen nach Smartphone-App-Benachrichtigungsdaten zu informieren.

Im Frühjahr 2022 erhielt mein Büro einen Hinweis, dass Regierungsbehörden im Ausland von Google und Apple Aufzeichnungen über Smartphone-„Push“-Benachrichtigungen verlangen. Meine Mitarbeiter sind diesem Hinweis im vergangenen Jahr nachgegangen und haben sich unter anderem an Apple und Google gewandt. Als Antwort auf diese Anfrage teilten die Unternehmen meinen Mitarbeitern mit, dass Informationen über diese Praxis von der Regierung nicht veröffentlicht werden dürfen.

Bei Push-Benachrichtigungen handelt es sich um Sofortbenachrichtigungen, die von Apps an Smartphone-Benutzer gesendet werden, z. B. eine Benachrichtigung über eine neue Textnachricht oder ein Nachrichten-Update. Sie werden nicht direkt vom App-Anbieter an die Smartphones der Nutzer gesendet. Stattdessen laufen sie über eine Art digitales Postamt, das vom Anbieter des Betriebssystems des Telefons betrieben wird. Bei iPhones wird dieser Dienst von Apples Push Notification Service bereitgestellt, bei Android-Telefonen ist es Googles Firebase Cloud Messaging. Diese Dienste sorgen für eine rechtzeitige und effiziente Zustellung von Benachrichtigungen, aber das bedeutet auch, dass Apple und Google als Vermittler im Übertragungsprozess fungieren.

Wie bei allen anderen Informationen, die diese Unternehmen für oder über ihre Nutzer speichern, können Apple und Google, da sie Push-Benachrichtigungsdaten liefern, insgeheim von Regierungen gezwungen werden, diese Informationen herauszugeben. Wichtig ist, dass App-Entwickler nicht viele Möglichkeiten haben. Wenn sie wollen, dass ihre Apps auf diesen Plattformen zuverlässig Push-Benachrichtigungen liefern, müssen sie den von Apple bzw. Google angebotenen Dienst nutzen. Folglich befinden sich Apple und Google in einer einzigartigen Position, um die staatliche Überwachung der Nutzung bestimmter Apps zu erleichtern. Zu den Daten, die diese beiden Unternehmen erhalten, gehören Metadaten, aus denen hervorgeht, welche App wann eine Benachrichtigung erhalten hat, sowie das Telefon und das zugehörige Apple- oder Google-Konto, an das die Benachrichtigung zugestellt werden sollte. In bestimmten Fällen können sie auch unverschlüsselte Inhalte erhalten, die von Backend-Richtlinien für die App bis hin zum tatsächlichen Text reichen können, der einem Nutzer in einer App-Benachrichtigung angezeigt wird.

Apple und Google sollten die Möglichkeit haben, die gesetzlichen Anforderungen, die sie erhalten, insbesondere von ausländischen Regierungen, transparent zu machen, so wie die Unternehmen ihre Nutzer regelmäßig über andere Arten von staatlichen Datenanforderungen informieren. Diese Unternehmen sollten die Erlaubnis haben, generell offenzulegen, ob sie gezwungen wurden, diese Überwachungspraxis zu unterstützen, Gesamtstatistiken über die Anzahl der bei ihnen eingehenden Anfragen zu veröffentlichen und, sofern sie nicht vorübergehend von einem Gericht geknebelt werden, bestimmte Kunden über Anfragen nach ihren Daten zu informieren. Ich möchte das DOJ bitten, alle Maßnahmen aufzuheben oder zu ändern, die diese Transparenz behindern.

Ich danke Ihnen für Ihre Aufmerksamkeit in dieser dringenden Angelegenheit. Wenn Sie Fragen haben oder eine Klärung wünschen, wenden Sie sich bitte an Chris Soghoian in meinem Büro.

Mit freundlichen Grüßen,

Ron Wyden, Senator der Vereinigten Staaten

Kategorien: Blogs

Deutsche Wohnen: Europäischer Gerichtshof klärt Grundsatzfragen beim Datenschutz

netzpolitik.org - 6 Dezember, 2023 - 17:01

Die Deutsche Wohnen hat sensible Daten ihrer Mieter:innen über Jahre gespeichert, auch wenn es dazu keinen Grund gab. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Florencia Viadana

Darf ein ganzes Unternehmen als juristische Person mit einem Bußgeld belegt werden, wenn es jahrelang zu Unrecht sensible Daten und Dokumente von Mieter:innen gehortet hat? Ja, darf es, urteilte jetzt der Europäische Gerichtshof im Fall des Wohnungskonzerns Deutsche Wohnen.

Nach jahrelangem Streit ist damit die Rechtsauffassung der Berliner Datenschutzbehörde bestätigt. Sie hatte 2019 ein Rekordbußgeld gegen die Deutsche Wohnen verhängt, weil das Unternehmen Unterlagen von Mieter:innen wie Kontoauszüge, Personalausweise oder Gehaltsnachweise in einer Datenbank sammelte – und auch nach mehrfacher Aufforderung der Behörde nicht löschte.

Das Gericht stellte aber auch fest: Ein Bußgeld darf die Aufsichtsbehörde nur dann verhängen, wenn der Verstoß schuldhaft war. Dazu muss er vorsätzlich oder fahrlässig begangen werden.

Urteil mit Strahlkraft

Die Deutsche Wohnen hatte Widerspruch gegen den Bescheid eingelegt. Und hatte damit Erfolg: Das Landgericht Berlin hatte den Bußgeldbescheid in einem Beschluss für nichtig erklärt. Nicht etwa, weil die Datenschutzverstöße des DAX-Unternehmens strittig gewesen wären, sondern aus formalen Gründen: Nach der Rechtsauffassung des Landgerichts Berlin könnten juristische Personen wie Deutsche Wohnen nur dann bestraft werden, wenn einem konkreten Verantwortlichen, also einer natürlichen Person, bei der Firma Fehlverhalten nachgewiesen werden kann. Das aber hatte die Datenschutzaufsicht in ihrem Bescheid nicht getan.

Das Kammergericht Berlin hatte die Sache vom Europäischen Gerichtshof in Luxemburg prüfen lassen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne.

Die Antwort aus Luxemburg ist nun da und fällt deutlich aus. „Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß“, fasst die Berliner Aufsichtsbehörde das Urteil in einer Mitteilung zusammen.

Das Urteil ist damit nicht nur ein Erfolg für die Berliner Datenschutzbehörde – es hat auch eine Grundsatzfrage geklärt. Bereits 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) darauf hingewiesen, dass die nationalen Haftungsregeln in Deutschland nicht im Einklang mit den Datenschutzregeln der EU standen.

„Erforderliche Rechtssicherheit“

Meike Kamp, die vor etwas über einem Jahr den Posten der Berliner Datenschutzbeauftragten übernommen hat, begrüßt die Entscheidung: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen war in Deutschland gegenüber anderen EU-Mitgliedstaaten deutlich erschwert. Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der Datenschutzgrundverordnung.“ Gerade bei großen Konzernen sei es schwierig, eine konkrete Person festzustellen, die verantwortlich ist. Nun gebe es Rechtssicherheit – für Aufsichtsbehörden und Unternehmen gleichermaßen.

Auch die juristischen Vertreter der Deutsche Wohnen begrüßten das Urteil: „Wir freuen uns, dass der Europäische Gerichtshof nun klargestellt hat, dass nur ein vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO zu einem Bußgeld führen kann“, sagte eine damit befasste Anwaltskanzlei gegenüber LTO.

Das Kammergericht Berlin muss nun entscheiden und das Urteil aus Luxemburg dazu berücksichtigen.

Kategorien: Blogs

Arzttermine: Verbraucherzentrale findet Probleme bei Online-Buchungen

netzpolitik.org - 6 Dezember, 2023 - 16:23

Gesetzlich Versicherte fühlen sich gegenüber Privatpatient:innen benachteiligt. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com National Cancer Institute

Verbraucher:innen sind mit der Funktionalität und Benutzerfreundlichkeit von digitalen Buchungssystemen für Arzttermine unzufrieden. Das zeigt eine Umfrage der Verbraucherzentrale Bundesverband. Demnach würden Kassenpatient:innen oft benachteiligt, Datenschutzbestimmungen seien unzureichend und Arztpraxen teilweise kaum telefonisch erreichbar.

Die Befragten äußerten vor allem Kritik daran, dass gesetzlich Versicherte benachteiligt würden. Es stünden nur wenige oder gar keine zeitnahen Termine zur Verfügung. Trotz sichtbarer freier Termine könnten sie nicht darauf zugreifen, da diese für Privatversicherte und Selbstzahler:innen vorgesehen sind. Dabei ist die Bevorzugung von Selbstzahlenden kein neues Phänomen: Eine Untersuchung der Grünen in NRW zeigte im Jahr 2017, dass gesetzlich Versicherte im Schnitt 30 Tage länger auf einen Arzttermin warten mussten als Privatpatient:innen. 2011 waren es noch sechs Tage. Jetzt haben Kassenpatient:innen direkten Zugriff auf die Terminübersichten und erfahren Diskriminierung mit einem einfachen Mausklick.

Altersdiskriminierung und Datenschutzprobleme

Zusätzlich bemängeln die Verbraucherschützer:innen: Nachdem die Arztpraxen ihre Terminvergabe auf ein Online-Buchungsportal umgestellt haben, seien diese telefonisch kaum bis gar nicht zu erreichen. Für viele, die bisher wenig Erfahrung mit Online-Systemen hatten, kann diese Tatsache eine Herausforderung darstellen. Das kann vor allem für ältere Menschen problematisch werden, die in der Regel öfter auf Arztbesuche angewiesen sind.

Unklarheiten gibt es auch bei den Datenschutzbestimmungen: So würden Behandlungen bei fehlender Portalregistrierung verweigert. Dabei werden teilweise auch Daten von Patient:innen an die Portale übermittelt, wenn sie ihre Termine gar nicht über diese buchen. Thomas Moormann, Leiter des Teams Gesundheit und Pflege des VZBV fordert: „Wenn Patient:innen keine Datenübertragung zu Buchungsportalen wollen, müssen sie trotzdem ärztlich versorgt werden“. Es dürfe nicht sein, dass Arztpraxen Patient:innen die Behandlung verweigern, wenn sie aufgrund von Datenschutzbedenken der Übermittlung ihrer Daten an die Buchungsportale nicht zustimmen.

Neben den drei Hauptfaktoren wurden unter anderem auch unzuverlässige Filterfunktionen für die Versicherungsart, standardisierte Besuchsgründe, unerwünschte Terminerinnerungen und spät oder gar versäumte Terminstornierungen bemängelt.

Die deutschlandweite Befragung lief von Juli bis November dieses Jahres. Dabei wurden 85 Meldungen von Verbraucher:innen ausgewertet. Die Plattformen und Arztpraxen, bei denen die Missstände aufgedeckt wurden, werden vom VZBV nicht genannt. Auf unsere kurzfristige Anfrage zu möglichen Lösungsvorschlägen hat die Verbraucherzentrale bisher nicht reagiert. In der zugehörigen Pressemitteilung plädiert Moormann dafür, dass den Patient:innen immer eine Terminbuchung vor Ort oder telefonisch möglich sein muss.

Update vom 7. Dezember: Auf die Frage nach möglichen Lösungsansätzen für verbraucherfreundlichere Funktionen der Buchungsportale antwortet die Pressestelle des Vzbv: Auf einen Zwang zur Registrierung bzw. zur Eröffnung eines Kontos sollte verzichtet werden, da eine Buchung über einen Gastzugang vollkommen ausreiche. Zusätzlich sollte gewährleistet sein, dass alle Patient:innen unabhängig von ihrer Versicherungsart gleichberechtigt Termine wahrnehmen können.

Arztpraxen und Online-Portale stünden gleichermaßen in der Verantwortung, nur die ausschließlich für die Terminbuchung notwendigen Daten zu übertragen. Patient:innen, die einer Datenübertragung an ein Online-Buchungsportal nicht zustimmen, müssen trotzdem die Möglichkeit zur Terminvergabe und Behandlung erhalten.

„Die Online-Terminbuchung der Kassenärztlichen Bundesvereinigung „116117“ muss weiterentwickelt und konkurrenzfähig werden und sollte für alle Facharztrichtungen unbürokratisch möglich sein.“, teilte die Pressestelle auf Anfrage zu konkreten Empfehlungen für Verbesserungen bei den Online-Portalen mit.

Kategorien: Blogs

Erfolg für Quad9: DNS-Anbieter doch nicht für Urheberrechtsverletzungen verantwortlich

netzpolitik.org - 6 Dezember, 2023 - 15:12

Im März hatte das Landgericht Leipzig geurteilt, dass der DNS-Dienste-Anbieter Quad9 als Täter für Urheberrechtsverletzungen mitverantwortlich sei. Dagegen wehrte sich die gemeinnützige Stiftung hinter dem Anbieter und ging mit Unterstützung der Gesellschaft für Freiheitsrechte (GFF) in Berufung – mit Erfolg. Das Oberlandesgericht Dresden hat der Berufung stattgegeben, damit ist das Leipziger Urteil aufgehoben.

Der Streit zwischen der Sony Music Entertainment Germany GmbH und Quad9 dreht sich um ein Album der Band „Evanescence“. Eine Website verlinkte auf einen Filehoster, wo man sich das Album herunterladen konnte. Sony scheiterte daran, die Inhalte dort wegen der Urheberrechtsverletzung löschen zu lassen und forderte schließlich Quad9 dazu auf, eine Netzsperre einzurichten. Dann können Nutzer:innen die Seite nicht mehr ohne Tricks aufrufen.

DNS-Dienste wie Quad9 übersetzen die Namen von Internet-Seiten in numerische IP-Adressen. Damit können Nutzer:innen die gewünschten Inhalte abrufen, ohne sich kryptische Zahlenfolgen merken zu müssen – das können Computer wie die von Quad9 viel besser. Das erstinstanzliche Landgericht sah den Anbieter daher als „Täter“, er spiele „eine zentrale Rolle bei der Rechtsverletzung“, wenn er nicht eine solche Sperre einrichtet. Eine Sperre ist in der Regel jedoch nur für die gesamte Site umsetzbar. Es wird also nicht nur der rechtsverletzende Inhalt gesperrt, sondern viele andere auch.

Kein Täter, kein Störer

Nicht nur der Einstufung von Quad9 als Täter erteilte das Dresdner Gericht eine Absage, auch die Einstufung als sogenannter Störer teilt es nicht. Diese Sichtweise hatte das Landgericht Hamburg vertreten und DNS-Dienste damit anders eingestuft als Internetzugangsanbieter. Diese haften nicht für Urheberrechtsverletzungen, die über ihre Leitungen begangen wurden.

Hätte sich diese Auslegung durchgesetzt, wäre das auch ein Risiko für andere Dienste, die den Abruf von Webseiten ermöglichen, etwa Browser. Sie haben genauso wenig wie Quad9 mit einer konkreten Urheberrechtsverletzung zu tun, ermöglichen aber den Zugriff – genauso wie auf alle anderen Inhalte auch.

Außerdem, so das Gericht, habe Sony sich vor der Sperranfrage nicht ausreichend bemüht, direkt gegen die Website vorzugehen, von der die Rechtsverletzung ausging.

Verfahrenskoordinator Joschka Selinger von der GFF begrüßt den Ausgang: „Wenn Urheberrechtsverletzungen gezielt beseitigt werden, statt dass ganze Webseiten auf Zuruf gesperrt werden, profitieren davon Internetnutzer*innen und Rechteinhaber“, sagt der Jurist. Die GFF bezeichnet die Entscheidung als „wichtigen Erfolg für die Informationsfreiheit im Netz“. Zudem begrenze die Entscheidung „die Haftungsrisiken für neutrale Internetdienste“.

Eine Revision hat das Oberlandesgericht nicht zugelassen. Will Sony die Entscheidung nicht hinnehmen, könnte das Unternehmen beim Bundesgerichtshof noch eine Nichtzulassungsbeschwerde einlegen.

Kategorien: Blogs

Linke Netzpolitik im Bundestag: „Wir sind immer noch da“

netzpolitik.org - 6 Dezember, 2023 - 14:28

Die Fraktion der Linken im Bundestag ist seit heute aufgelöst. Die Abgeordneten der Partei bleiben, zunächst als fraktionslose Parlamentarier:innen. Das wird vieles ändern, auch für netzpolitische Oppositionspolitik. Denn mit dem Fraktionsstatus fallen auch viele Rechte für die Abgeordneten der Linken weg.

Kurz vor Auflösung der Fraktion wurde deshalb in der letzten Woche noch über viele Anträge der früheren Fraktion abgestimmt: etwa über ein Ende von Netzsperren, den Verzicht auf Privatadressen im Impressum oder für das Recht auf Offline-Zugang zu allen wichtigen Dienstleistungen des Staates. Alle wurden abgelehnt. Jetzt wird es noch schwieriger als bisher, linke Digitalpolitik auf die Agenda des Parlaments zu hieven.

Aufgeben ist aber für die Abgeordneten keine Option: „Mir liegt besonders viel daran, dass man uns nicht abschreibt, denn wir sind zwar keine Fraktion mehr, aber immer noch da“, schreibt Anke-Domscheit-Berg. Sie war bisher die digitalpolitische Sprecherin der aufgelösten Fraktion. „Wir werden uns weiter den Allerwertesten aufreißen, als einzige linke Opposition im Bundestag“, kündigt sie an.

Weitermachen als Gruppe

Um einen Teil der Rechte wiederzuerlangen, die ihnen als Fraktion zustanden, wollen 28 Abgeordnete der Partei eine sogenannte Gruppe bilden. Domscheit-Berg hofft, dass diese schnell vom Parlament bestätigt wird. „Dennoch werden wir auch vorher in unserer 28er-Gruppe schon gemeinsame Pläne schmieden, wie es nun weitergeht, wo wir welche Schwerpunkte legen wollen.“ Alles, das ist klar, geht nicht mehr. Dafür fehlen auch die Mitarbeiter:innen der Fraktion: Bisher waren es über 100 Menschen, die direkt bei der Fraktion angestellt waren.

„Ihre fachlich kompetente Arbeit war für uns extrem wichtig“, schreibt Domscheit-Berg. Vor allem der Weggang von Anne Roth als Referentin für Netzpolitik der Fraktion werde sich sehr negativ auswirken. Domscheit-Berg hofft, dass Roth und andere wieder eingestellt werden können, wenn sich die Gruppe gebildet hat. „Aber da es viel weniger Mittel geben wird für Personal, ist das leider noch unklar.“

Ohne Fragen keine Antworten

Ein wichtiges Werkzeug der Oppositionsarbeit sind Kleine Anfragen. Die Parlamentarier:innen können auf diesem Weg Informationen von der Regierung erfragen. Oft helfen diese Informationen, Themen in die Öffentlichkeit zu bringen. Wie steht es um das Ausländerzentralregister? Was will die Regierung gegen digitale Gewalt tun? Für welche kommerziellen Staatstrojaner interessieren sich deutsche Behörden? Das und vieles andere wissen wir dank des wichtigen Fragewerkzeugs.

Dieses Recht fällt ohne Fraktion weg, es bleiben nur noch vier Einzelfragen pro Monat für die Abgeordneten. „Die funktionieren für viele Themen nicht“, schreibt Domscheit-Berg. „Eine solche Frage darf nicht mehr als 28 Einzelelemente haben. Ich könnte also beispielsweise nicht fragen, welche Rechenzentren des Bundes Abwärme nutzen oder Ökostrom, weil es weit über 100 Rechenzentren im Bund gibt und bestimmt mehr als 28 davon Ökostrom nutzen. Ich könnte auch nie die KI-Projekte des Bundes in einer Schriftlichen Frage abfragen, denn das sind ja auch viel mehr als 28 mögliche Antworten.“

Sie hofft, bald als Teil der Gruppe wieder Kleine Anfragen stellen zu können. Und kündigt an, weiter mit ihren Fragen zu „nerven“, auch in Ausschüssen und anderswo: „Denn die bringen nicht nur Erkenntnisgewinn, sondern verändern hier und da auch wirklich etwas, weil sie zur richtigen Zeit an der richtigen Stelle Druck ausüben.“

„Der lange Arm der Zivilgesellschaft“

Die Abgeordneten können nun auch keine Expert:innen bei Sachverständigen-Anhörungen im Bundestag mehr vorschlagen. Domscheit-Berg schreibt, sie könne als Einzel-Abgeordnete deshalb nicht mehr dafür sorgen, dass die Stimme der Zivilgesellschaft in Anhörungen auch vorkommt. „Da ich mich als langen Arm der Zivilgesellschaft im Parlament betrachtet habe, schränkt das natürlich die Wirkung meiner Arbeit – hoffentlich nur vorübergehend – ein.“

Vieles ist noch ungewiss: in welchen Ausschüssen die linken Abgeordneten noch präsent sein werden, auf welche Themen sie sich mit ihren begrenzten Ressourcen konzentrieren, welche Gremien sie besetzen können. Es ist ein Präzendenzfall, dass eine Fraktion während einer laufenden Legislatur zur Gruppe wird. Wie sie ihre Arbeit fortsetzen kann, wird „wesentlich davon abhängen, wie demokratisch die Ampelmehrheit mit der linken Opposition umgeht“, so Domscheit-Berg.

Dabei geht es auch um ganz formale Dinge wie die Änderung von Tagesordnungen. „Da fliegt mal was raus und mal kommt was neu rein.“ Hier wären die Abgeordneten darauf angewiesen, dass andere sie mitinformieren, auch wenn sie keinen direkten Zugang zu den Daten mehr haben.

„Zu tun gibt es genug“

Domscheit-Berg verspricht, dass sie und die anderen der künftigen Gruppe „alle Spielräume maximal ausnutzen werden“. Sie konzentriere sich ohne Unterbrechung auf ihre fachliche Arbeit: „Zu tun gibt es da ja genug.“ Ihr ist besonders wichtig, dass man die linke Opposition nicht abschreibt.

„Wenn Euch also jemand erzählt: ‚Schade, dass die Linke jetzt weg ist‘ – dann widersprecht bitte und richtet gern von mir aus, dass wir immer noch da sind und immer noch für die gleichen Werte kämpfen“, so Domscheit-Berg.

Bei ihr sind sind das etwa der Einsatz gegen Überwachung und Chatkontrolle, für „everything open“ und für den gläsernen Staat. Sie will sich weiter einsetzen „für nachhaltige Digitalisierung und eine, die nicht diskriminiert, sondern gesellschaftliche Probleme löst, gegen Monopole und für echte Selbstbestimmung“.

Ein kritischer Punkt für die linken Bundestagsabgeordneten kommt jedoch noch: Am 19. Dezember wird das Bundesverfassungsgericht über die Wiederholung der Berliner Bundestagswahl entscheiden. Dort holte die Partei zwei Direktmandate. Nur diese hievten sie ins Parlament. Falls es also zu einer Wiederholung der Wahl kommen sollte, wird es spannend. Wenn nur eines der Mandate verloren gehe, „fliegen wir alle sofort aus dem Bundestag“, erklärt Domscheit-Berg. Ruhige Zeiten wird es also zunächst nicht geben für die Abgeordneten, die sich als Gruppe neu finden wollen.

Kategorien: Blogs

KI-Verordnung: Trilog-Einigung hängt am seidenen Faden

netzpolitik.org - 5 Dezember, 2023 - 18:46

– Midjourney (A robot hanging by a rope in the sky)

Die Wahrscheinlichkeit, dass die Trilog-Verhandlungen am Mittwoch abgeschlossen werden, stünden bei etwa 50 Prozent. Das sagte der Chefverhandler des Europaparlaments, Dragos Tudorache, in der vergangenen Woche gegenüber Journalist:innen in Brüssel.

Das ist ein erstaunlicher Wert, wenn man bedenkt, dass die KI-Verordnung seit mehr als einem Jahr in der Mache ist. Doch noch immer streiten Parlament, Rat und Kommission um große Baustellen: um den Umgang mit sogenannten Basismodellen wie ChatGPT, um biometrische Überwachungssysteme und um die Klassifizierung von Hochrisiko-Anwendungen.

Auch der Europaabgeordnete Axel Voss (EVP) ist skeptisch, dass es am Mittwoch zu einer Einigung kommt. „Es werden schwierige Verhandlungen“, sagte Voss gegenüber netzpolitik.org. „Die schwierigsten Punkte sind weiterhin unter anderem die Regulierung der Basismodelle und das Law Enforcement.“

Würden die Verhandlungen tatsächlich scheitern, könnte sich das derzeit wichtigste Gesetzesvorhaben der EU zumindest erheblich verzögern. Die KI-Verordnung soll das weltweit erste Gesetz werden, das sogenannte Künstliche Intelligenz umfassend reguliert.

Lobbyschlacht um die Regulierung von Basismodellen

Dass die Entscheidung auf der Kippe steht, verdankt sich aktuell vor allem den Regierungen in Frankreich, Deutschland und Italien. Sie haben sich vor zwei Wochen dagegen ausgesprochen, gesetzliche Vorschriften für sogenannte Basismodelle zu erlassen. Stattdessen plädieren sie für „eine verpflichtende Selbstregulierung durch einen Verhaltenskodex“.

Die Regierungen der drei größten EU-Staaten wollen nach eigenen Angaben so ausschließen, dass eine Regulierung der Basismodelle europäischen Unternehmen Wettbewerbsnachteile beschere. Basismodelle sind KI-Systeme, die für verschiedene Zwecke eingesetzt werden können. So basiert etwa ChatGPT aktuell auf einem Sprach-Basismodell namens GPT-4. Solche Modelle und die mit ihnen verbundenen Risiken sind seit rund einem Jahr in aller Munde.

Dem Positionspapier war eine gewaltige Lobbyschlacht vorausgegangen. Insbesondere das deutsche Start-up Aleph Alpha und das französische Unternehmen Mistral hatten in den vergangenen Monaten enormen Druck auf ihre Regierungen ausgeübt. Mistrals Cheflobbyist Cédric O behauptete zuletzt, die Verordnung könne das Unternehmen „töten“.

Selbst Thierry Breton ist genervt

Cédric O hatte auch einen offenen Brief angestoßen, in dem Manager:innen großer europäischer Unternehmen davor warnen, dass „der Gesetzesentwurf die Wettbewerbsfähigkeit und die technologische Souveränität Europas gefährdet“. Unterzeichnet haben den Brief unter anderem die Geschäftsführer:innen der Deutschen Telekom und der Holtzbrinck Publishing Group sowie von Merck, TUI, Renault und Danone.

Thierry Breton zeigt sich inzwischen deutlich genervt angesichts des massiven Lobbydrucks. Der EU-Kommissar für den Binnenmarkt ist eigentlich für seine industriefreundlichen Positionen bekannt. Nun aber scheint selbst für ihn das Maß voll.

Die Big-Tech-Unternehmen und Startups wie Mistral verteidigten nicht das öffentliche Interesse, sagte Breton vor knapp zwei Wochen. Die Sorge um das Gemeinwohl müsse bei der KI-Verordnung Vorrang haben. „Ich höre lieber auf jene, die das allgemeine Interesse repräsentieren, als auf diejenigen, die Einzelinteressen vertreten.“

Kritik aus Wissenschaft und Zivilgesellschaft

Auch zahlreiche Wissenschaftler:innen sowie zivilgesellschaftliche Organisationen hatten in den vergangenen Wochen massive Kritik an der Position der französischen, deutschen und italienischen Regierung geübt.

Führende KI-Forscher:innen und Unternehmer:innen raten in einem offenen Brief „dringend davon ab, bei Grundlagenmodellen lediglich auf ein System der Selbstregulierung zu setzen“. Verbindliche Regeln seien „sowohl aus ökonomischen als auch aus Sicherheitsgründen wichtig“. In einem weiteren Brief fordern Expert:innen, dass „Unternehmen nicht ihre eigenen Regeln machen sollten”. Die KI-Verordnung sei „mehr als nur ein Gesetz“, nämlich „eine Aussage darüber, welche Werte wir als Europäerinnen und Europäer fördern wollen und welche Art von Gesellschaft wir aufbauen wollen.“

Auch die Datenschutzkonferenz von Bund und Ländern (DSK) zeigt sich überaus skeptisch, dass eine Selbstregulierung ohne Sanktionen ausreiche. Nur mit einer „sachgerechten Zuweisung von Verantwortlichkeiten entlang der gesamten KI-Wertschöpfungskette“ ließen sich die Grundrechte wirksam schützen, so die DSK.

Wie neue Ausnahmen die Parlamentsposition verwässern könnten

Der Streit um die einflussreichen Basismodelle steht derzeit im Mittelpunkt. Doch auch in anderen Fragen gibt es noch Klärungsbedarf, etwa bei der biometrischen Überwachung. Mit ihr lassen sich Menschen identifizieren und massenhaft überwachen, gegebenenfalls auch in Echtzeit. Die Technologie bedroht damit unter anderem Privatsphäre und Versammlungsfreiheit.

Im Vorfeld des Treffens am Mittwoch hat die spanische Ratspräsidentschaft laut Euractiv den Trilog-Partnern einen Kompromiss vorgelegt. Demnach soll die Echtzeitnutzung von biometrischer Überwachung nicht verboten werden, wie es das EU-Parlament gefordert hatte, sondern nur als „hochriskant“ eingestuft werden. Im Gegenzug soll sie nur in Ausnahmefällen und unter strengen Sicherheitsvorkehrungen erfolgen. Auch die retrograde Videoüberwachung im Nachhinein will die Ratspräsidentschaft als hochriskant bewerten.

Weitere Ausnahmen sieht der Vorschlag der Ratspräsidentschaft bei Predictive Policing, Emotionserkennungs-KI und Systemen zur biometrischen Kategorisierung vor. Setzen sie Hochrisikosysteme ein, müssen Polizeibehörden diese zwar, wie vom EU-Parlament gefordert, in einer EU-Datenbank registrieren – allerdings nur in einem nicht-öffentlich einsehbaren Bereich. Und in der Regel müssen sie Betroffene über deren Einsatz auch nicht informieren. Obendrein soll es beim KI-Einsatz für die „nationale Sicherheit“ – insbesondere auf Wunsch der französischen Regierung – umfassende Ausnahmeregelung geben.

Damit aber drohen jene Verbesserungen, die das Parlament noch im vergangenen Juni beschlossen hatte, verwässert oder gar abgeräumt zu werden. Die KI-Verordnung könnte somit staatlicher biometrischer Massenüberwachung in den EU-Staaten und an den europäischen Außengrenzen den Weg ebnen, ohne dass sich Betroffene wirksam dagegen wehren können.

Ein Scheitern wäre dennoch „verantwortungslos“

Aus diesem Grund warnt auch ein zivilgesellschaftliches Bündnis aus 16 Nichtregierungsorganisationen rund um EDRi eindringlich davor, dass KI-Systeme zunehmend auch in Europa für staatliche Überwachung genutzt würden. Das Bündnis fordert den Rat dazu auf, den Einsatz von KI insbesondere im Bereich der Strafverfolgung, der Migrationskontrolle sowie bei nationalen Sicherheitsbehörden wirksam gesetzlich zu regeln.

Trotz der drohenden Verwässerungen wünscht sich Kilian Vieth-Ditlmann von der NGO AlgorithmWatch nicht, dass die Trilog-Einigung am Mittwoch scheitert. „Ein erfolgreicher Abschluss hängt aktuell am seidenen Faden. Und kommt es nicht zu einem tragfähigen Kompromiss, ist die Verabschiedung der gesamten KI-Verordnung in Gefahr“, so Vieth-Ditlmann. „Es wäre aber verantwortungslos, das Gesetzgebungsverfahren jetzt noch scheitern zu lassen.“

Um dies zu vermeiden, könnten die Trilog-Partner strittige Themen wie die Basismodelle oder die biometrische Videoüberwachung von einer Einigung vorläufig ausnehmen. Die belgische Regierung, die im Januar die Ratspräsidentschaft von Spanien übernimmt, müsste dann noch vor der EU-Wahl im kommenden Juni – und damit unter weiterhin hohem Druck – eine Einigung über die offenen Fragen erzielen.

Gelingt eine Einigung weder am 6. Dezember noch während der belgischen Ratspräsidentschaft, käme die KI-Verordnung mit hoher Wahrscheinlichkeit nach der EU-Wahl wieder auf die Agenda. Anders als im Deutschen Bundestag müssen in der EU Gesetzesvorhaben nach einer Wahl nicht von Beginn an neu verhandelt werden. Die Trilogverhandlungen könnten daher, wenn sich die Machtverhältnisse im Parlament nicht groß verändern, den Faden sogar an gleicher Stelle wieder aufnehmen.

Kategorien: Blogs

Pressefreiheit in Gefahr: FragDenStaat im Fadenkreuz der Staatsanwaltschaft

netzpolitik.org - 5 Dezember, 2023 - 18:34

Arne Semsrott, Projektleiter des Portals FragDenStaat kämpft für die Pressefreiheit – IMAGO / dts Nachrichtenagentur

Seit dem Spätsommer ermittelt die Berliner Staatsanwaltschaft gegen Arne Semsrott, Projektleiter und quasi Chefredakteur von FragDenStaat. Dabei geht es um amtliche Dokumente aus laufenden Strafverfahren, die die Transparenzinitiative im August veröffentlicht hatte. Obwohl die Betroffenen der Veröffentlichung zustimmten und persönlichen Daten geschwärzt wurden, betrachtet die Staatsanwaltschaft die Enthüllungen als illegal.

Mit der Veröffentlichung beabsichtigte die Initiative, unverhältnismäßige Ermittlungsmaßnahmen gegen Aktivist:innen der „Letzten Generation“ zu beleuchten. Eigentlich will man meinen, Missstände aufzudecken gehöre zum journalistischen Alltag dazu – doch die Freigabe amtlicher Dokumente aus Strafverfahren ist nach § 353d Nr. 3 StGB eine Straftat.

Kalkulierter Rechtsbruch

Kritik an der Strafnorm besteht schon seit vielen Jahren. Den in Absatz 3 geregelten Untertatbestand hält etwa das Fachmedium „Verfassungsblog“ für besonders problematisch. Der Abschnitt setzt Medienschaffende und Pressevertreter:innen einer möglichen strafrechtlichen Verfolgung aus, wenn sie vorzeitig Dokumente aus Strafverfahren offenlegen.

Dieses Risiko nahm Arne Semsrott bei der Veröffentlichung der Beschlüsse bewusst in Kauf – schon allein, weil laut FragDenStaat ein derartiges Veröffentlichungsverbot „in Bezug auf die freie Berichterstattung der Presse jedoch verfassungswidrig“ sei und gegen die Europäische Menschenrechtskonvention verstoße.

Gegenüber der Süddeutschen Zeitung argumentiert Semsrott, dass durch die strikte Anwendung von § 353d Journalist:innen nicht so frei berichten können, „wie das für unsere Demokratie gut wäre“. Ähnlich sehen dies die Autor:innen vom Verfassungsblog: Die Entfernung dieser Norm aus dem Strafgesetzbuch sei gerechtfertigt, da sie sowohl verfassungs- als auch völkerrechtswidrig sei.

Diese Argumentation dürfte nun einem juristischen Stresstest ausgesetzt werden. Wie die Gesellschaft für Freiheitsrechte (GFF) heute bekannt gab, unterstützt sie Semsrott bei dem laufenden Verfahren und reichte eine Stellungnahme bei der Staatsanwaltschaft Berlin ein. Letztlich geht es darum zu überprüfen, ob die Strafnorm verfassungswidrig ist und gegen die Pressefreiheit verstößt.

„Journalist*innen müssen über laufende Strafverfahren berichten können, ohne selbst ins Visier der Strafverfolgung zu geraten“, sagt Benjamin Lück, Verfahrenskoordinator bei der GFF. Die Strafandrohung von bis zu einem Jahr Freiheitsstrafe bedeute ein zu hohes persönliches Risiko, so der Jurist: „Bundesjustizminister Marco Buschmann hat eine Entschlackung des Strafgesetzbuches angekündigt – da gehört auch diese Norm auf den Prüfstand!“

Kategorien: Blogs

Rüstung: Regierung hält Kosten für Kampfjet-KI geheim

netzpolitik.org - 5 Dezember, 2023 - 11:25

FCAS soll den hier abgebildeten Eurofighter Typhoon ersetzen. – CC-BY-SA 2.0 Alan Wilson

Das Future Combat Air System – FCAS – ist ein gewaltiges Rüstungsprojekt, mit dem Frankreich, Deutschland und Spanien ihre Luftwaffen grundlegend modernisieren wollen. Kernstück des Projekts ist ein Kampfjet der nächsten Generation, aber das geplante System geht darüber hinaus: Die Pilot:innen sollen über eine „Combat Cloud“ mit unbemannten Drohnen vernetzt sein. Dabei soll, im Jahr 2023 wenig überraschend, auch Künstliche Intelligenz eine Rolle spielen.

Was diese Künstliche Intelligenz einmal können soll? Welche Ressourcen sie haben wird? Wie sie gebaut wird oder, ganz banal, wie teuer sie momentan schon ist oder wie teuer sie noch werden soll? Diese Fragen wollten uns weder das deutsche Verteidigungsministerium noch die beteiligten Unternehmen beantworten. Eine von uns eingereichte Anfrage nach dem Informationsfreiheitsgesetz hat die zuständige Behörde abgelehnt.

Drei beteiligte Unternehmen

Aber zuerst ein wenig Hintergrund: Bevor Künstliche Intelligenz eingesetzt werden kann, muss sie entwickelt werden, und dafür braucht es eine Entwicklungsumgebung. Am 7. August hat das Beschaffungsamt der Bundeswehr einen Vertrag unterzeichnet, und zwar für die Entwicklung dieser Entwicklungsumgebung – es werden also momentan die Werkzeuge gebaut, mit denen später einmal die KI gebaut werden soll. Auf Bundesseite ist für den Vertrag das Beschaffungsamt der Bundeswehr zuständig. Auf der anderen Seite steht das HIS-Konsortium, das aus drei Unternehmen besteht: Rohde & Schwarz, IBM Deutschland und Helsing, ein deutsch-britisches KI-Start-up mit Sitz in München.

Zwei dieser drei Unternehmen sind alteingesessen, das dritte dagegen ganz frisch: Helsing wurde erst vor zwei Jahren gegründet, diesen September bewerteten Investor:innen das Unternehmen aber bereits mit 1,8 Milliarden Euro. Es wurde damit zum ersten sogenannten „Unicorn“ im europäischen Verteidigungsbereich. Der FCAS-Vertrag ist auch nicht der erste große Vertrag, der an Helsing ging: Das Unternehmen soll auch den aktuellen Kampfjet der deutschen Luftwaffe, den Eurofighter Typhoon, mit KI-Fähigkeiten ausstatten. Der Jet soll dann Daten aus verschiedenen Sensoren sammeln und auswerten können.

Keine genauen Infos im Haushalt

Wir haben bei den beteiligten Unternehmen und dem Bundesverteidigungsministerium angefragt, ob sie uns mehr Details zu dem Vertrag nennen können. Die Antwort darauf war ein eindeutiges Nein. Man habe untereinander abgestimmt, über eine Pressemitteilung hinaus nicht über den Vertrag zu kommunizieren.

Nun kann man sich über Geld, dass die Bundesregierung – oder hier das Beschaffungsamt im Auftrag des Verteidigungsministeriums – ausgibt, noch an einer anderen Stelle informieren: im Bundeshaushalt. Im Haushalt für 2023, um den es nach dem Urteil des Bundesverfassungsgerichts im November noch einmal so viel Aufregung gab, taucht FCAS zwei Mal auf: Das Verteidigungsministerium hatte für die Entwicklung des Kampfjet-Kernstücks, dem Next Generation Weapon System, 462 Millionen Euro vorgesehen. Im 100-Milliarden-Sondervermögen für die Bundeswehr waren 478 Millionen Euro für das Projekt eingeplant.

Wofür genau diese Mittel verwendet werden sollten, steht in den Plänen nicht. Sollte es über die allgemeine Auflistung hinaus weitere Erläuterungen geben, dann wären diese als geheime Verschlusssache eingestuft, heißt es auf unsere Anfrage vom Bundestag. Einzelne Verträge würden dem Bundestag vorgelegt, wenn sie über 25 Millionen Euro wert sind. Das sei in dieser Legislaturperiode bei FCAS schon mehrere Male passiert, dabei sei es um vorbereitende Studien gegangen. Diese „25-Millionen-Vorlagen“ seien aber ebenfalls eingestuft und könnten nicht herausgegeben werden.

IFG-Anfrage abgelehnt

Der Einsatz von KI im Militär ist ein brenzliges Thema. Das haben anscheinend auch Airbus und ein Fraunhofer-Institut erkannt, die gemeinsam technologische Grundlagen für FCAS entwickelt haben. Sie haben vor einigen Jahren die „Arbeitsgemeinschaft Technikverantwortung“ gegründet, die die Entwicklung des Systems begleiten und beraten soll. Beteiligt sind dabei Vertreter:innen aus der Industrie und Militär, aber auch Forschende zu Geschichte, Politik und Ethik. Mit konkreten Aufträgen hätte das Gremium aber nichts zu tun, sagte ein Mitglied auf Anfrage von netzpolitik.org – also auch keine weiteren Details zum KI-Vertrag.

Damit blieb noch ein Weg übrig, potenziell mehr über den Vertrag zu erfahren: Eine Anfrage per Informationsfreiheitsgesetz. Die haben wir im September an das Beschaffungsamt geschickt, im Oktober kam die Ablehnung zurück. Das Amt hat ganz korrekt das HIS-Konsortium in ein Drittbeteiligungsverfahren eingebunden und meldet, die beteiligten Unternehmen hätten darin ausdrücklich keine Einwilligung zur Veröffentlichung erteilt. Interessant hier: Das Beschaffungsamt erwähnt nur noch zwei Unternehmen, nämlich Helsing und Rohde & Schwarz. IBM Deutschland wurde anscheinend nicht miteinbezogen.

Das Konsortium habe sein „erhebliches Interesse“ an der Geheimhaltung des Vertrags bereits während der Verhandlungen bekundet, heißt es im Schreiben der Behörde. „Dieser Geheimhaltungswille spiegelt sich auch in der Tatsache wider, dass sich die Parteien vertraglich dazu verpflichtet haben, den gesamten Vertrag, einschließlich der Anlagen, vertraulich zu halten.“ Dieser Einschätzung stimme man zu, es bestehe ein berechtigtes und schutzwürdiges Interesse. Die detaillierten im Vertrag enthaltenen Informationen könnten die Wettbewerbsposition der Unternehmen nachteilig beeinflussen. Wir haben gegen diese Entscheidung Widerspruch eingelegt, auch den hat das Beschaffungsamt bereits abgelehnt.

Kategorien: Blogs

Nach 100 Tagen: Große Internetkonzerne ignorieren Digital Services Act

netzpolitik.org - 4 Dezember, 2023 - 18:41

Für sehr große Internetkonzerne gilt der Digital Services Act heute schon – und er wird oft ignoriert, haben Verbraucherschützer:innen herausgefunden. – Gemeinfrei-ähnlich freigegeben durch unsplash.com James Yarema

Eigentlich soll der Digital Services Act (DSA, auf Deutsch „Gesetz über digitale Dienste“) Schluss machen mit manipulativen und undurchsichtigen Praktiken auf großen Online-Diensten. Doch seit das EU-Gesetz vor 100 Tagen in Kraft getreten ist, setzen große Anbieter wie Google, Amazon oder TikTok die Vorgaben immer noch nicht ausreichend um. Das geht aus einer Untersuchung des Verbraucherzentrale Bundesverband (Vzbv) hervor, der ein Dutzend Anbieter sehr großer Online-Plattformen und Suchmaschinen näher unter die Lupe genommen hat.

Demnach verwenden die Anbieter weiterhin täuschende Designelemente, sogenannte Dark Patterns, die Nutzer:innen bewusst in ihrem Verhalten- oder Wahrnehmungsmuster beeinflussen können. Ramona Pop, Vorständin des Vzbv, reagiert auf die Ergebnisse mit Unverständnis. Es sei „wirklich erstaunlich, mit welcher Beharrlichkeit Unternehmen die geltenden Gesetze missachten oder nur halbherzig umsetzen.“ Sie fordert, dass Verbraucher:innen besser vor intransparenten Geschäftsmodellen und Dark Patterns geschützt werden.

Mängel bei Werbetransparenz

Auch bei der Einhaltung der vorgeschriebenen Werbetransparenz entdeckten die Verbraucherschützer:innen teils gravierende Mängel. Gegenstand der Untersuchung waren in diesem Fall Instagram, Snapchat, TikTok und X (Twitter). Demnach erfüllt etwa keiner der geprüften Anbieter die Anforderung, Verbraucher:innen verständlich und leicht zugänglich darüber zu informieren, nach welchen Kriterien eine eingeblendete Werbeanzeige platziert wurde. Um diese Informationen zu erhalten, sollte ein direkter Klick auf die Werbung ausreichen. Snapchat hat der Untersuchung zufolge sogar vollständig dabei versagt, Werbeanzeigen als solche auszuweisen.

Die Umsetzung der neuen Bestimmungen wurde vom Vzbv anhand von zwölf ausgewählten Anbietern untersucht. Alle davon hatte die EU-Kommission im April als sogenannte „very large online platforms“ (VLOP) oder „very large online search enginges“ (VLOSE) eingestuft. Für sie gelten strengere Regeln als für kleinere Anbieter, zudem müssen sie sich jetzt schon an das Gesetz halten.

Vollständig in Kraft treten wird der DSA erst im Februar nächsten Jahres. Bis dahin müssen nicht nur Online-Dienste, sondern auch die EU-Länder ihre Hausaufgaben erledigen – und vor allem eine arbeitsfähige Aufsicht einrichten. Dabei könnte es knapp werden: So ringt etwa die deutsche Regierung bis heute ergebnislos mit der Frage, welche Behörden die Bundesnetzagentur bei der Aufsicht unterstützen sollen.

Für Ramona Pop macht die Untersuchung einmal mehr klar: „Um den Schutz der Verbraucher:innen wirklich sicherzustellen, muss die Bundesregierung auch national eine möglichst zentrale und schlagkräftige Aufsicht aller Online-Plattform einrichten.“

Kategorien: Blogs

EU: Parlament und Rat ringen um Recht auf Reparatur

netzpolitik.org - 4 Dezember, 2023 - 10:35

Künftig soll dieses Smartphone leichter zu reparieren sein. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Agê Barros / Unsplash

Fast einstimmig votierte das Europäische Parlament am 21. November für einen Gesetzentwurf, der ein Recht auf Reparatur einführen soll. Damit soll es künftig einfacher und attraktiver sein, Produkte zu reparieren, statt diese zu entsorgen und neu zu kaufen. Im Fokus stehen vor allem Elektrogeräte.

In der gleichen Woche wie das Parlament einigte sich auch der Ministerrat, in dem die Regierungen der Mitgliedstaaten vertreten sind, auf seine Position. Beiden Beschlüssen liegt der im März veröffentlichte Verordnungsentwurf der EU-Kommission zugrunde, den vor allem Umwelt- und Verbraucherschützer*innen als enttäuschend bewerteten.

Am Donnerstag gehen die Verhandlungen um ein Recht auf Reparatur mit den Trilog-Verhandlungen in die nächste Runde. Die Einigung wird vermutlich nicht leicht. Denn das Parlament zeigt sich bislang deutlich ambitionierter als der Rat. Von dessen Vorgaben würden vor allem unabhängige Reparaturwerkstätten, ehrenamtliche Initiativen wie Repair-Cafés sowie Menschen, die ihre Geräte selbst reparieren möchten, profitieren.

Ersatzteile für alle

Wer heute selbst eine Reparatur vornehmen oder dafür eine unabhängige Werkstatt aufsuchen möchte, scheitert oft an fehlenden oder teuren Ersatzteilen. Viele Menschen entscheiden sich daher dagegen, ihre defekten Geräte instand zu setzen.

Das EU-Parlament fordert aus diesem Grund, dass Unternehmen Ersatzteile und Reparaturanleitungen zu „angemessenen Preisen“ zur Verfügung stellen müssen – bis auf Weiteres allerdings nur für bestimmte Produktgruppen wie Waschmaschinen, Staubsauger, Smartphones oder Fahrräder.

Derzeit erschweren es einige Hersteller noch gezielt, dass Nutzer*innen ihre Geräte reparieren können. So ist etwa der Funktionsumfang einiger Smartphones deutlich eingeschränkt, wenn Nutzer*innen günstigere Akkus von Drittanbietern einsetzen. Derartige Praktiken will das EU-Parlament künftig unterbinden.

Auch will es Mitgliedsstaaten dazu auffordern, finanzielle Anreize zu setzen, etwa durch Reparaturgutscheine. Ähnliches gibt es bereits in Österreich und in Thüringen.

Reparaturpflicht für Händler und Hersteller

Darüber hinaus sollen Händler dazu verpflichtet werden, Produkte innerhalb der gesetzlichen Gewährleistungszeit, also innerhalb der ersten zwei Jahre nach deren Kauf, kostenlos reparieren zu müssen. Allerdings würde diese Pflicht nur greifen, wenn eine solche Reparatur technisch möglich und obendrein kostengünstiger ist, als das defekte Gerät gegen ein neues Produkt auszutauschen. Nach einer Reparatur verlängert sich die Gewährleistung einmalig um ein weiteres Jahr.

Die Händler stehen hier aber nur in der Pflicht, wenn ein*e Kund*in den Schaden nicht selbst verursacht hat. Doch auch dann sowie nach Ablauf der Gewährleistung sollen die Hersteller künftig kostenpflichtige Reparaturen anbieten müssen. Auch diese Regelung betrifft aber zunächst nur verschiedene Haushaltsgeräte, Smartphones, Fahrräder und einige weitere Produkte. Ist eine Reparatur nicht möglich, kann ein Unternehmen seinen Kund*innen ein gebrauchtes und bereits repariertes Ersatzgerät anbieten.

Warum wir endlich eine Kreislaufgesellschaft brauchen

Damit Verbraucher*innen Reparaturangebote leichter finden und miteinander vergleichen können, soll eine entsprechende Online-Plattform ins Leben gerufen werden. Auch sollen Anbieter unter anderem den Preis und die Dauer von Reparaturen transparent machen müssen.

Der deutsche EU-Abgeordnete René Repasi (S&D), der Berichterstatter für das Gesetz ist, äußerte sich zufrieden über den Beschluss des Parlaments: „Die Leute wollen die Lebensdauer ihrer Geräte verlängern, aber das ist oft zu kostspielig oder zu kompliziert. Wir haben eine Reihe von Maßnahmen verabschiedet, damit Verbraucherinnen und Verbraucher sich für eine Reparatur statt für ein neues Gerät entscheiden. Ein besonderer Schwerpunkt liegt dabei auf der Unterstützung unabhängiger Werkstätten und auf finanziellen Anreizen.“

Ausstehende Einigung im Trilog

Bevor das Recht auf Reparatur aber EU-weites Gesetz wird, muss sich das Parlament zunächst mit dem Ministerrat auf einen gemeinsamen Verordnungsentwurf einigen. Dessen Forderungen bleiben an entscheidenden Stellen hinter jenen des Parlaments zurück.

So finden sich in der Ratsposition keine Maßnahmen dazu, um den Zugang zu Ersatzteilen und Reparaturanleitungen zu erleichtern. Auch will der Rat Praktiken nicht verbieten, mit denen Hersteller es erschweren, dass ihre Produkte repariert werden. Darüber hinaus möchte er es den Kund*innen überlassen, ob sie eine Reparatur oder ein neues Produkt einfordern können, wenn sie innerhalb der Gewährleistungszeit einen Mangel reklamieren. Und im Gegensatz zum Parlament fordert der Rat, dass nicht nur die Ersatzteile, sondern auch die Reparaturen durch die Hersteller zu einem „angemessenen Preis“ erfolgen.

Wie auch immer die Trilog-Verhandlungen ausgehen, steht jetzt schon fest, dass die EU die Unternehmen stärker in die Pflicht nehmen wird, Reparaturen für ihre Produkte anzubieten. Offen ist derzeit aber noch, ob die Reparaturen künftig günstiger werden und ob es einfacher wird, sie selbst durchzuführen.

Kategorien: Blogs

Wegen Video-Sperrung: Aktionskünstler mahnen Bundesregierung ab

netzpolitik.org - 4 Dezember, 2023 - 07:46

Nachdem die Bundesregierung das Video von Aktionskünstlern wegen einer angeblichen Verletzung von Marken- und Urheberrechten bei Instagram und YouTube hat sperren lassen, haben die Künstler im Gegenzug die Bundesregierung abgemahnt. Sie sehen in der Maßnahme eine Zensur ihrer Kunst.

Das Zentrum für Politische Schönheit (ZPS) hat deswegen am Freitagnachmittag der Bundesregierung eine Abmahnung und eine strafbewehrte Unterlassungserklärung zugestellt. Das erklärte ein Sprecher der Künstlergruppe beim Podcast Logbuch:Netzpolitik, auch netzpolitik.org konnte die Abmahnung einsehen.

Gegenstand des Streits ist ein Video, in dem Bundeskanzler Olaf Scholz vermeintlich das Verbot der rechtsradikalen Partei AfD ankündigt. Das Video ist Teil der Kampagne afd-verbot.de, in der verfassungsfeindliche Bestrebungen der AfD in einem Archiv beleuchtet werden. Die Bundesregierung reagierte verärgert auf das Werk der Künstler, monierte Manipulation und versuchte in der Folge, das Video auf den Plattformen Instagram, Youtube, Twitter/X und Facebook wegen Marken- und Urheberrechtsverletzungen zu melden und dadurch löschen zu lassen.

Instagram sperrte das Video, weil dort das Flaggenstab-Logo des Kanzlers genutzt wurde, eine angebliche Markenrechtsverletzung. YouTube hingegen sperrte das Video unter Berufung auf eine Urheberrechtsverletzung, weil dort das Video von Scholz’ Ukraine-Rede genutzt würde. ZPS lud das Video in einer leicht veränderten Version wieder hoch, das Original ist noch bei Twitter/X zu sehen.

Urheberrecht der Bundesregierung fraglich

In der Abmahnung heißt es, markenrechtliche Ansprüche wegen der Wiedergabe des Flaggenstabs würden bereits daran scheitern, dass das ZPS nicht im geschäftlichen Verkehr handeln würde. Stattdessen nutze das ZPS es zu „genuin künstlerischen Zwecken und zum Zwecke der öffentlichen und privaten Meinungsbildung im Kernbereich der Demokratie“.

Auch urheberrechtliche Ansprüche des Bundes würden ausscheiden, so die Abmahnung. Die Ansprache von Olaf Scholz und die Laufbilder, die das ZPS als Vorlage für das Video verwendet habe, seien „als amtliche Werke im Sinne des § 5 Abs. 2 UrhG zu werten“. Es handele sich bei der Umgestaltung durch die Künstler um eine für „jedermann erkennbare Parodie im Sinne des § 51a UrhG, die als Satire in den Schutzbereich der grundgesetzlich geschützten Kunstfreiheit fällt“.

Darüber hinaus genieße das Video gemäß § 3 UrhG Werkcharakter, da der Anteil des ZPS an dem Video Schöpfungshöhe aufweise. Ist die Schöpfungshöhe eines urheberrechtlichen Werkes im Sinne von Originalität und Kreativität erreicht, greift der urheberrechtliche Schutz für die ZPS-Künstler, die ein eigenes Kunstwerk geschaffen hätten. Laut der Abmahnung bestünden deshalb keine marken- oder urheberrechtlichen Ansprüche des Bundes. Die Meldungen bei YouTube und Instagram seien unzulässig.

Das ZPS fordert deswegen die Bundesregierung auf, die Meldungen gegenüber den Plattformen zurückzunehmen, so dass das Video wieder abrufbar ist. Weil Wiederholungsgefahr bestehe, soll die Bundesregierung zudem eine strafbewehrte Unterlassungserklärung abgeben, heißt es in der Abmahnung. In dieser Unterlassungserklärung würde sie unterschreiben, dass sie es in Zukunft unterlässt, unwahre Behauptungen gegenüber YouTube und anderen Plattformen zu vermeintlich bestehenden Urheberrechten zu äußern. Bei Zuwiderhandlung drohe dann jeweils eine Strafe von mindestens 5.500 Euro. Sollte die Bundesregierung die Unterlassungserklärung nicht bis Dienstag um 18 Uhr abgeben, können die Künstler versuchen vor Gericht gegen die Bundesregierung vorzugehen, etwa um eine einstweilige Verfügung zu erwirken.

Ein Sprecher des Zentrums für Politische Schönheit sagte gegenüber netzpolitik.org: „Wir erwarten, dass Herr Hebestreit und das Bundespresseamt mit diesem unwürdigen Zensur-Theater aufhören und die Unterlassung unterschreiben.“ Steffen Hebestreit, Regierungssprecher der Bundesregierung, hatte die Satireaktion in der Bundespressekonferenz kritisiert und rechtliche Konsequenzen in den Raum gestellt.

Urheberrecht als Zensurinstrument

Der Anwalt und Urheberrechtsfachmann Till Kreutzer nannte schon vergangene Woche gegenüber netzpolitik.org den Einsatz des Urheberrechts gegen dieses Video „Quatsch“. Das Urheberrecht diene ja normalerweise dazu, dass Künstlerinnen und Autoren für ihre Werke angemessen vergütet werden. Im Fall des ZPS würde das Urheberrecht vom Staat aber als „Zensurinstrument“ genutzt, so Kreutzer.

Die Bundesregierung selbst wies am Freitag in der Bundespressekonferenz den Zensurvorwurf zurück und brachte stattdessen die Allgemeinen Geschäftsbedingungen der Plattformen vor. „Wir haben niemanden irgendwie angewiesen, da irgendetwas zu tun“, sagte die Regierungssprecherin Hoffmann. „Wir haben den Plattformen gemeldet, dass diese Videos nach unserem Verständnis gegen die AGB der Plattformen verstoßen.“ Auf die mehrfache Rückfrage von Journalisten, welches Urheberrecht denn verletzt sei, antwortete die Sprecherin ausweichend und wies auf „verschiedene problematische Aspekte“ hin. „Wo Bundesregierung draufsteht, muss auch Bundesregierung drin sein“, so die Sprecherin weiter.

Google/YouTube hat eine Presseanfrage von netzpolitik.org trotz Rückfrage seit Tagen nicht beantwortet. In einer ersten Antwort hatte sich der Konzern wegen der Zeitverschiebung mehr Zeit erbeten.

Kategorien: Blogs

Öffentliches Geld – Öffentliches Gut!: Warum Gewinne von Wissenschaftsverlagen die Gesellschaft doppelt kosten

netzpolitik.org - 3 Dezember, 2023 - 09:09

Offenere Wissenschaft ist gut, aber das allein reicht nicht. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Hans Reniers

Vor dem Internet haben vor allem wissenschaftliche Verlage die Erkenntnisse öffentlich finanzierter Wissenschaft publiziert: Sie erhielten Artikel von Wissenschaftler*innen, ließen sie begutachten und veröffentlichten sie in gedruckten Zeitschriften. Bibliotheken abonnierten diese Zeitschriften, damit Forschende und Studierende auf dem aktuellen Stand der Wissenschaft aufbauen konnten.

Offenere Wissenschaft durch Digitalisierung?

Mit der Digitalisierung sollte die Verbreitung wissenschaftlicher Erkenntnisse viel günstiger werden, da aufwändige Verlagsprozesse wie Druck und Eintrag in Datenbanken deutlich einfacher wurden. Diese Kostensenkung hat den Markt für Wissenschaftsverlage enorm konzentriert und hochprofitabel gemacht: Allein Elsevier, einer der größten Verlage, hat 2022 einen Gewinn von über einer Milliarde Euro erwirtschaftet, und das mit einer Gewinnmarge von 38 Prozent.

Weitere große Verlage folgen der gleichen Tendenz, zum Beispiel Springer Nature mit einer Marge von 27 Prozent und Wiley mit 23 Prozent. Zum Vergleich: Die durchschnittliche Marge der fünf großen Tech-Konzerne Alphabet, Apple, Meta, Amazon und Microsoft belief sich 2022 auf 21 Prozent.

Mit den großen Plattformen haben die Verlage nicht nur ihre beachtliche Profitabilität gemeinsam, sondern auch Teile des Geschäftsmodells. So wie Plattformen Anbieter*innen und Käufer*innen oder Werbende und Nutzende zusammenbringen, bedienen Verlage Wissenschaftler*innen in verschiedenen Funktionen: als Autor*innen, Leser*innen und als Gutachter*innen, die die eingereichten Artikel beurteilen.

Alle Seiten wollen, dass die jeweils anderen Seiten möglichst gut vertreten sind, das sind die sogenannten Netzwerkeffekte. So können die Verlage von mehreren Seiten Geld verlangen.

Das etablierte Geschäftsmodell der Verlage war, für die veröffentlichten Zeitschriften bei den Leser*innen eine Abo-Gebühr zu verlangen. Üblicherweise waren das staatlich finanzierten Bibliotheken. Dieses Modell zog zunehmend Kritik auf sich, unter anderem wegen steil steigender Abo-Preise. Für Forschende an weniger gut finanziell ausgestatteten Einrichtungen, insbesondere außerhalb von Industrieländern, waren die nicht bezahlbar.

Die Antwort darauf sollte Open Access sein. Open-Access-Publikationen sind frei zugänglich für die wissenschaftliche Community und sogar die breite Öffentlichkeit. Damit wird Wissen viel freier geteilt und erlaubt einen offenen Austausch jenseits von Paywalls. Doch dafür nehmen die Verlage Geld von den Autor*innen der Artikel, die sie veröffentlichen. Diese Gebühren, die „Article Processing Charges“, stellen weiterhin sicher, dass Wissenschaftsverlage exorbitante Gewinne erwirtschaften.

Offenheit ist nicht genug

Open Access verbreitet sich zunehmend. Aktuelle Schätzungen gehen von der Hälfte der Neuveröffentlichungen aus. Doch das Open-Access-Modell löst nicht alle Probleme: Weiterhin sind es nur wenige Verlage, die einen Großteil des Marktes kontrollieren und aufgrund ihrer etablierten Reputation weiterhin die besten Artikel anziehen.

Je besser das Ansehen, umso höher der Preis: Einige Zeitschriften von Springer Nature haben 2021 9.500 Euro für jeden veröffentlichten Artikel verlangt. Solche Preise machen es insbesondere jüngeren Forschenden und solchen aus weniger reichen Ländern oder Institutionen nahezu unmöglich, ihre Forschungsergebnisse zu veröffentlichen und zum geteilten Wissen beizutragen. Die tatsächlichen Kosten für eine Veröffentlichung werden auf etwa 400 US-Dollar geschätzt. Denn der Hauptaufwand, die Begutachtung der Einreichungen, erfolgt ehrenamtlich.

Hinzu kommt, dass statt eines qualitativ hochwertigen Wettbewerbs neue Zeitschriften sprießen, die gern verzweifelten Wissenschaftler*innen Geld abknöpfen für eine fragwürdige Begutachtung. Solche „Predatory Journals“ fluten den Markt mit Veröffentlichungen, in einem Fall mit 187.000 Artikeln in 17.000 Spezialausgaben in nur einem Jahr. Das wiederum senkt die durchschnittliche Qualität veröffentlichter Artikel und erschwert es neuen Zeitschriften, sich von Predatory Journals abzuheben und sich am Markt durchzusetzen.

Während der Zugang zu Erkenntnissen unter Open Access kein Problem mehr ist, ist es der Zugang zur Veröffentlichung: Forschende mit begrenzten Ressourcen müssen sich zwischen überteuerten etablierten Zeitschriften und qualitativ fragwürdigen, bezahlbareren Alternativen entscheiden.

Für die Verlage sind beide Varianten außerordentlich lukrativ. Denn Steuerzahlende kommen gleich doppelt für sie auf: Die meisten Artikel in Zeitschriften basieren auf öffentlich finanzierter Forschung. Und unabhängig davon, ob die Forschenden für die Veröffentlichung oder den Zugang zu Veröffentlichungen zahlen, fällt es auf die öffentlich finanzierten Forschungseinrichtungen und Bibliotheken zurück.

Für eine offene, unabhängige Wissenschaft

Die Problematik ist auch in Deutschland bekannt. Doch wie man dagegen vorgehen sollte, ist noch unklar. In einem Fall haben 40 Verleger*innen als Reaktion auf überhöhte Veröffentlichungsgebühren Elsevier verlassen, um nicht-gewinnorientierte Alternativen aufzubauen.

Mehrere Länder verhandeln mit den großen Verlagen, damit einzelne Universitäten nicht von den Forderungen überrumpelt werden. 2018 eskalierten diese Verhandlungen in mehreren europäischen Ländern insbesondere wegen Vorbehalte der Verlage gegenüber den Open-Access-Wünschen der Forschenden und kamen teilweise erst 2023 zu einem Abschluss.

Zudem setzen sich viele Beteiligte dafür ein, das „Platin-Modell“ von Open Access weiter durchzusetzen: Hier übernehmen öffentliche Einrichtungen, Zusammenschlüsse von Universitäten oder anders geformte wissenschaftliche Gruppen die Qualitätskontrolle selbst und vermeiden so Veröffentlichungs- und Abogebühren.

Die Forschungsförderung kann noch stärker die frei zugängliche Veröffentlichung von Ergebnissen zur Bedingung für Finanzierung machen, um so auch etablierte Forschende dazu zu bewegen, nicht weiterhin in aktuell noch angesehenen „geschlossenen“ Zeitschriften zu veröffentlichen.

Ein weiterer Hebel erscheint besonders gut geeignet, um die Exzesse der Verlage zu beschränken: Bei Online-Plattformen haben die Untersuchungen von Wettbewerbsbehörden wie dem Bundeskartellamt und der Europäischen Kommission dazu beigetragen, dass sie inzwischen deutlich mehr Maßnahmen ergreifen können, um den Missbrauch von Marktmacht zu verhindern.

Das kann auch bei Wissenschaftsverlagen funktionieren: Beispielsweise kann das Bundeskartellamt seit der diesjährigen Kartellrechtsreform auch in Märkte eingreifen, wenn in einer Sektoruntersuchung eine Störung des Wettbewerbs auch ohne Rechtsverstoß nachgewiesen wird. Es geht auch um die Freiheit von Wissen – es würde sich lohnen, diese Option genauer zu untersuchen.

Kategorien: Blogs

Bullshit-Busters: Eindringliche Warnung vor der „Ultra-Hyperpower-Bummkrachpeng-Future-KI-6.000“

netzpolitik.org - 3 Dezember, 2023 - 07:48

Who you gonna call? Bullshit-Busters! Wir räumen auf mit Mythen, Lügen und falschen Versprechungen. Tagein, tagaus bekämpfen wir den Bullshit der digitalen Welt. Und wir kämpfen für Eure Grund- und Freiheitsrechte. In den kommenden Wochen berichten wir Euch in kurzen Beiträgen, welchen Bullshit wir dieses Jahr aufgedeckt und bekämpft haben. Im Folgenden schildert Sebastian, wie er gegen den Mythos einer gefährlich-intelligenten „KI“ kämpft.

Endlich bricht die Science-Fiction-Zukunft an, auf die uns Star Wars, Star Trek und The Terminator all die Jahrzehnte lang vorbereitet haben. ChatGPT ist nur die Spitze des Eisbergs. Jeden Tag erscheinen Dutzende neue gehirnwegpustende KI-Anwendungen, die zuerst Deine Produktivität ins Unermessliche steigern und Dich danach in einen Zustand unendlicher Glückseligkeit versetzen. Spring jetzt auf den Hype-Zug auf, sonst wirst Du vom rasenden Fortschritt zermalmt!

So – oder so ähnlich – ist der Sound des KI-Hypes, der seit der Veröffentlichung von ChatGPT durch Wirtschaft, Politik und Medien dröhnt. Tech-Konzerne lassen Milliarden fließen, Staaten liefern sich ein Wettrennen um die schnellste KI-Regulierung, Medienmacher*innen befeuern den Hype mit eigens eingerichteten KI-Newslettern und Podcasts, und vermeintliche Fachleute schreiben den Weltuntergang herbei.

Zocken gegen den Bullshit

play now

Als leidenschaftlicher Star-Trek-Gucker habe ich ja ein Herz für solche Erzählungen. Aber nur solange man unterscheiden kann, was Fiktion und was Realität ist. Das Hype-Theater um moderne Chatbots lenkt von den realen Gefahren durch KI-Systeme ab – und genau das dürfte im Interesse jener Tech-Milliardäre sein, die gerade mit ihren neuen Diensten um Marktmacht ringen.

Diese drei Bullshit-Mythen rund um sogenannte KI gehören gründlich „gebustet“:

Mythos #1: „Künstliche Intelligenz“ – Okay, einige von Euch werden sich jetzt vielleicht denken, hier hat sich Sebastian wohl vertippt. Da fehlen doch Wörter! Aber nein: Der bloße Begriff „Künstliche Intelligenz“ ist schon Bullshit. Bereits 1955 setzte ihn ein Forscher als Marketing-Trick zur Selbst-Profilierung ein. Seitdem ist „KI“ ein Label, um Leute zu beeindrucken. Es beschreibt vor allem Rechenprogramme, an die wir uns noch nicht gewöhnt haben. Oder wer würde es heute noch als „KI“ bezeichnen, wenn man eine Textnotiz nicht ins Handy tippt, sondern kurz per Spracherkennung diktiert? Im Jahr 2017 ging das als KI durch. Auch der gehypte Text-Generator ChatGPT ist ein Rechenprogramm: Er berechnet Worte auf Grundlage von Wahrscheinlichkeiten. Wie Autocomplete, nur viel besser. Die Software hat aber kein Bewusstsein und erst recht keine Seele. Und ob sie Intelligenz hat, hängt sehr von der Definition ab – auf jeden Fall ist es nicht die Intelligenz von Data, C3PO oder HAL 9000, die wir aus der Popkultur kennen. Die Bullshittigkeit hinter dem Begriff würde uns wohl mehr ins Auge springen, wenn wir statt „KI“ konsequent Hokus-Pokus-Fidibus-Denkomat sagen. Oder eben Ultra-Hyperpower-Bummkrachpeng-Future-KI-6.000.

Mythos #2: „KI ist gefährlich.“ Das ist so irreführend, dass es Bullshit in Reinform ist. Denn Technologie ist nur so gefährlich wie die Menschen, die sie einsetzen. Und hier gibt es tatsächlich Grund zur Sorge. Zum Beispiel, wenn Staaten mit asylfeindlicher Politik per Gesichtserkennung an der Grenze Menschen aussortieren, denen sie keinen Schutz gewähren wollen. Oder wenn Angehörige einer weißen, männlichen, ableisierten Mehrheitsgesellschaft ein KI-System entscheiden lassen, welche Job-Bewerbung in die engere Auswahl kommt. Oder wenn Autopiloten bewaffnete Drohnen steuern, bevor sie angebliche Feinde in die Luft sprengen. Alarmistische Berichte darüber, wie GPT-4 versucht, ein Captcha zu lösen, muten dagegen eher wie Produktwerbung an. Und Warnungen vorm vermeintlichen Weltuntergang durch KI sind vor allem heiße Luft mit Marketing-Effekt. Leider dominieren solche Berichte die Schlagzeilen. Viel wichtiger ist die unangenehme Frage, wie KI-Systeme schon jetzt im Kontext von Machtverhältnissen entwickelt und eingesetzt werden.

Mythos #3: „Die Gefahren von KI können wir technisch lösen.“ Auch Bullshit. Das Thema KI lädt dazu ein, soziale Probleme zuerst technologisch zu beschreiben und dann auch noch technologisch lösen zu wollen. Ja, Bildgeneratoren wie Midjourney sind auch Werkzeuge für Desinformation – und das ist vor allem ein Problem der Medienkompetenz. Ja, durch Text-Generatoren wie ChatGPT lässt sich so manche menschliche Arbeit auch von der Maschine erledigen – und das ist vor allem ein Problem der fairen Verteilung von Geld. Ja, Gesichtserkennung durch die Polizei kann unter anderem People of Color benachteiligen – und das ist vor allem ein Problem von Rassismus. Solche Probleme lassen sich mit technischen Audits, Transparenz-Berichten oder virtuellen Wasserzeichen allenfalls eindämmen. An der Wurzel packen lassen sie sich aber nur mit dem unermüdlichen Engagement für Grund- und Menschenrechte. Dafür setzen wir uns bei netzpolitik.org ein.

Eure Spenden machen unsere Arbeit bei netzpolitik.org erst möglich. Unterstütze jetzt unseren Einsatz für digitale Freiheitsrechte.

Dieser Artikel ist Teil unserer diesjährigen Spendenkampagne Bullshit-Busters.

Kategorien: Blogs

Piratenpartei Schwalm-Eder

Navigation

Kalender

Dezember

Piraten in Hessen

Bullshit-Busters: Finger weg vom Smartphone!

KI-Verordnung: Schraffierte rote Linien als Kompromiss

KW 49: Die Woche, in der wir uns etwas wünschen

Artikel 45 der eIDAS-Verordnung: Die Axt an der Wurzel des Online-Vertrauens

eIDAS 2.0: Industrieausschuss des EU-Parlaments stimmt für digitale Brieftasche

Schufa: Der Score allein darf nicht entscheidend sein

eIDAS-Reform: Schlagabtausch zwischen Forschenden und EU-Parlament

Push-Dienste: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps

Deutsche Wohnen: Europäischer Gerichtshof klärt Grundsatzfragen beim Datenschutz

Arzttermine: Verbraucherzentrale findet Probleme bei Online-Buchungen

Erfolg für Quad9: DNS-Anbieter doch nicht für Urheberrechtsverletzungen verantwortlich

Linke Netzpolitik im Bundestag: „Wir sind immer noch da“

KI-Verordnung: Trilog-Einigung hängt am seidenen Faden

Pressefreiheit in Gefahr: FragDenStaat im Fadenkreuz der Staatsanwaltschaft

Rüstung: Regierung hält Kosten für Kampfjet-KI geheim

Nach 100 Tagen: Große Internetkonzerne ignorieren Digital Services Act

EU: Parlament und Rat ringen um Recht auf Reparatur

Wegen Video-Sperrung: Aktionskünstler mahnen Bundesregierung ab

Öffentliches Geld – Öffentliches Gut!: Warum Gewinne von Wissenschaftsverlagen die Gesellschaft doppelt kosten

Bullshit-Busters: Eindringliche Warnung vor der „Ultra-Hyperpower-Bummkrachpeng-Future-KI-6.000“

Suche

Mitmachen

Deutschland

Blogs