Sammlung von Newsfeeds

NGOs fordern: Apple soll echte Interoperabilität umsetzen

netzpolitik.org - 16 Januar, 2025 - 18:19

Der Digital Markets Act der EU zwingt große Anbieter wie Apple, ihre Systeme für den Wettbewerb zu öffnen. Doch wie dies im Detail aussehen soll, ist hart umkämpft. Zivilgesellschaftliche Gruppen fordern nun von der EU-Kommission, Apple zu einem besseren Zusammenspiel mit der Konkurrenz zu zwingen.

Manche Dienste hat Apple in der Vergangenheit vor der Konkurrenz abgeschottet. Das soll der Digital Markets Act ändern. – Alle Rechte vorbehalten IMAGO / Dreamstime

Apple soll seine Betriebssysteme, die vom Digital Markets Act (DMA) erfasst werden, von Grund auf auf Interoperabilität ausrichten. Das fordern zivilgesellschaftliche Gruppen wie die Free Software Foundation Europe (FSFE) und European Digital Rights (EDRi) in einer gemeinsamen Stellungnahme. Diese hatte die EU-Kommission in einer letzte Woche zu Ende gegangenen öffentlichen Konsultation von interessierten Parteien eingeholt.

Der seit März des Vorjahres EU-weit geltende DMA soll sicherstellen, dass besonders große Digitalunternehmen ihre Marktmacht nicht missbrauchen. Als sogenannte Gatekeeper eingestufte Unternehmen und die von ihnen angebotene Dienste unterliegen eigenen Regeln. Zudem drohen ihnen bei Verstößen empfindliche Geldbußen von bis zu 10 Prozent des weltweiten Jahresumsatzes.

Apple zählt zu den insgesamt sieben IT-Firmen, die bislang von der EU-Kommission zu Gatekeepern erklärt worden sind. Im Fokus stehen hierbei der App Store, der Browser Safari sowie die mobilen Betriebssysteme iOS und iPadOS.

Apple muss seine Systeme öffnen

Als Folge des DMA muss Apple etwa alternative Vertriebswege für Apps bereitstellen, das Zusammenspiel von Smartwatches oder Kopfhörern anderer Hersteller mit seinen Betriebssystemen verbessern oder Airplay und Airdrop für Dritt-Anbieter ohne Hindernisse freigeben. Einige Auflagen setzt Apple bereits mal mehr, mal weniger um, gegen andere wehrt sich das US-Unternehmen teils juristisch, teils politisch. Im Falle des Messenger-Dienstes iMessage hat die Kommission nach einem Einspruch von Apple letztlich darauf verzichtet, ihn zu einem „zentralen Plattformdienst“ zu erklären.

In der jüngsten Konsultation der EU-Kommission ging es um Regulierungsvorschläge, die Brüssel im Dezember vorgelegt hatte. Demnach soll Apple eine Reihe an konkreten Maßnahmen ergreifen, um bestimmte Vorgaben des DMA vollumfänglich umzusetzen. Unter anderem geht es um Details der im EU-Gesetz skizzierten Regeln zur Interoperabilität.

Grundsätzlich sollen Dritt-Entwickler:innen etwa auf tief in den Betriebssystemen verankerte Funktionen zugreifen dürfen, die zuvor nur Apple offenstanden. Allerdings hat das Unternehmen eigene Vorstellungen davon, wie dieser Zugriff aussehen soll. Derzeit sieht der von Apple in die Welt gesetzte Prozess ein mühseliges Antragsverfahren vor, dem sich Entwickler:innen unterwerfen müssen – ohne Garantie, dass der gewünschte Zugriff letztlich wirklich gewährt wird.

NGOs fordern deutlich mehr Offenheit

Damit sind weder die EU-Kommission noch die Open-Source-Community zufrieden. In ihrer Stellungnahme drängen die zivilgesellschaftlichen Gruppen nun darauf, eine langfristig tragbare Lösung zu finden. „Wir begrüßen die Schritte der Europäischen Kommission, wirksame und transparente Maßnahmen von Apple zu fordern, aber eine grundlegende Umstellung auf ‚Interoperabilität durch Design‘ wäre die wirkungsvollste Verbesserung“, sagt Lucas Lasota von der FSFE.

Beim DMA gehe es nicht nur darum, so Lasota weiter, den Wettbewerb zwischen Gatekeepern zu regulieren, sondern auch darum, gleiche Wettbewerbsbedingungen für KMU und kleinere Softwareentwickler zu schaffen. Daher sei es von „entscheidender Bedeutung, Apples Ansatz zur Interoperabilität einer strengen Prüfung durch die Kommission und die Zivilgesellschaft zu unterziehen.“ Im Moment sei der von Apple gewählte Ansatz „offensichtlich mangelhaft und strukturell nicht in der Lage, die von der DMA geforderte effektive Interoperabilität zu gewährleisten“, führt die Stellungnahme näher aus.

Neben dieser grundlegenden Umstellung fordert die Stellungnahme eine längst überfällige, möglichst lückenlose und diskriminierungsfreie Dokumentation von Programmierschnittstellen, sogenannten APIs. Die Dokumentationen müssten zudem öffentlich zugänglich und kostenlos zur Verfügung stehen. Auch dürften Entwickler:innen nicht willkürlich von Apple gezwungen werden, Verschwiegenheitserklärungen zu unterzeichnen.

Verbesserungsbedarf sehen die NGOs auch beim Verifikationsprozess sowie beim von der Kommission vorgeschlagenen Feedback- und Bug-Tracking-System. Zudem solle Apple nicht willkürlich angebliche Sicherheitsbedenken ins Feld führen dürfen, um Wünsche nach Interoperabilität abzuschmettern. Außerdem sollte „Technologieneutralität“ ausdrücklich in den Regeln festgeschrieben und ein transparentes Tracking-System sowie eine kollaborative Plattform für Entwickler:innen eingerichtet werden.

Apple warnt vor Abschwächung der IT-Sicherheit

Auf den von der EU-Kommission im Dezember vorgelegten Vorschlag reagierte Apple bislang zurückhaltend. So habe das Unternehmen mehr als 250.000 APIs entwickelt, auf die Entwickler:innen Zugriff hätten, teilte es gegenüber Heise mit. Eine allzu freizügige Umsetzung von Interoperabilitätsvorschriften könnte jedoch die Sicherheit gefährden, warnt das Unternehmen. Es wolle aber weiterhin konstruktiv mit der Kommission zusammenarbeiten, um „einen Weg zu finden, der unsere EU-Nutzer:innen schützt und auch die Regulierung klarer macht“.

Die EU-Kommission wird die Stellungnahmen nun prüfen und voraussichtlich bis zum Frühjahr eine endgültige Entscheidung treffen. Dabei dürften sich Änderungen ergeben, wie sie in einem Dokument andeutet: „Die eingegangenen Eingaben können zu Anpassungen der Maßnahmen führen, die in die beiden endgültigen verbindlichen Entscheidungen aufgenommen werden.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Europäische Regeln für KI: Wo die Zivilgesellschaft nachjustieren möchte

netzpolitik.org - 16 Januar, 2025 - 17:41

Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission.

Es gibt noch eine Menge Stellschrauben. – Public Domain Pexels / picjumbo.com

Die EU-Kommission soll dafür sorgen, dass die Verbote aus der europäischen KI-Verordnung möglichst umfangreich ausgelegt werden. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einer heute veröffentlichten Stellungnahme. Sie bezieht sich auf Leitlinien, an denen die Kommission momentan noch arbeitet.

Diese Leitlinien sollen dafür sorgen, dass auch „einfachere“ Systeme von den Regeln der KI-Verordnung betroffen sind, fordern die Organisationen. Die Kommission soll auch klarstellen, welche Arten von Systemen die verbotenen „inakzeptablen“ Risiken für Grundrechte haben. Außerdem sollen Grundrechte die zentrale Basis dafür sein, wie die KI-Verordnung praktisch umgesetzt wird.

Arbeit an Details läuft weiter

Die Europäische Union hat lange an ihren Regeln für Künstliche Intelligenz gefeilt. Intensiv diskutiert wurde etwa die Frage, welche Einsätze von KI in Europa ganz verboten werden sollten. Dabei ging es etwa um die biometrische Gesichtserkennung oder das sogenannte „Predictive Policing“. Die fertige KI-Verordnung schränkt beide Praktiken zwar ein, verbietet sie aber nicht ganz.

Die Verordnung selbst ist seit bald einem Jahr beschlossen und trat auch schon vor einigen Monaten in Kraft. Aber Obacht: Bei EU-Gesetzen heißt das nicht, dass alle ihre Regeln auch direkt gelten.

Zuvor gibt es noch einiges fertigzustellen. Zum Beispiel die sogenannten „Praxisleitfäden“, die genaue Regeln für KI-Modelle mit allgemeinem Verwendungszweck wie GPT-4 festlegen sollen. An denen arbeiten gerade die Anbieter solcher Modelle, andere Unternehmen und Vertreter:innen der Zivilgesellschaft unter Aufsicht der EU-Kommission. Bis April soll es einen fertigen Text geben.

Die Verbote gelten ab dem 2. Februar. Bis dahin will die EU-Kommission noch Leitlinien veröffentlichen, die Unternehmen dabei helfen sollen, sie einzuhalten. Außerdem will sie noch klarstellen, was genau denn ein KI-System überhaupt ist – und welche Systeme deshalb von der KI-Verordnung betroffen sein werden.

Ergebnis soll zählen, nicht die Art der Software

Auf diese Leitlinien bezieht sich nun die zivilgesellschaftliche Koalition, an der unter anderem European Digital Rights (EDRi), Access Now, AlgorithmWatch und Article 19 beteiligt sind. Caterina Rodelli von Access Now hält die Leitlinien für ein „zentrales Werkzeug“, um mangelhafte Menschenrechtsregeln der Verordnung noch auszubessern.

Die erste Forderung der Koalition bezieht sich auf „einfachere“ Software. „Wir sind besorgt, dass Entwickler:innen vielleicht die Definition von KI und die Einstufung von Hochrisiko-KI-Systemen ausnutzen können, um die Verpflichtungen der KI-Verordnung zu umgehen“, schreiben die Organisation. Unternehmen könnten ihre KI-Systeme zu normaler, regelbasierter Software umwandeln und so nicht mehr vom Gesetz betroffen sein, obwohl es die gleichen Risiken geben würde.

Die Organisationen fordern deshalb, dass sich Gesetze an möglichem Schaden orientieren sollten, nicht an den genutzten technischen Mitteln. Sie beziehen sich auf das Beispiel des niederländischen SyRI-Systems. Dieses System beschuldigte Empfänger:innen von Sozialhilfe fälschlicherweise des Betrugs und beeinträchtigte so Tausende von Familien. Der Skandal führte 2021 zum Sturz der damaligen niederländischen Regierung.

Dabei wirkte das zugrundeliegende System einfach und erklärbar, betont das Statement. Die Auswirkungen auf eine Vielzahl an Personen waren trotzdem verheerend.

Mehr Systeme einbeziehen

Die Koalition fordert außerdem, dass die Leitlinien marginalisierte Gruppen besser schützen sollen. Dafür soll die Kommission ausdehnen, welche Fälle unter die verbotenen „inakzeptablen“ Risiken für die Grundrechte fallen.

So soll das Verbot von „Social Scoring“ etwa auf Anwendungen ausgedehnt werden, die heute in Europa schon gang und gäbe sind: Etwa für Empfänger:innen von Sozialhilfe, wie im niederländischen Fall, oder für Migrant:innen. Die Leitlinien sollten deshalb etwa Daten schützen, die über Bande Informationen wie die Ethnie oder den sozioökonomischen Status preisgeben könnten, wie zum Beispiel die Postleitzahl.

Das Verbot für „Predictive Policing“ soll eine weite Bandbreite an Systemen einbeziehen, die kriminalisiertes Verhalten vorhersagen sollen. Im Verbot des allgemeinen Scrapens von Gesichtsbildern sehen die Organisationen einige Schlupflöcher, die sie gerne geschlossen haben würden. Außerdem soll eine Definition einer Gesichtsbild-Datenbank gelöscht werden, weil durch diese Anbieter wie Pimeyes oder Clearview außen vor bleiben würden.

Löcher schließen bei der Gesichtserkennung

Bei den Verhandlungen zur KI-Verordnung wollte das Europäische Parlament ein umfassendes Verbot von Systemen zur Emotionserkennung durchsetzen, ist damit aber gescheitert. Die Leitlinien sollen nun zumindest klar zwischen echten medizinischen Geräten wie Herzmonitoren und Geräten wie „Aggressionsdetektoren“ unterscheiden, fordern die Organisationen – denn medizinische Geräte sind von den Verboten ausgenommen.

Außerdem sollen die Leitlinien die Regeln für automatisierte Gesichtserkennung verschärfen. Auch in Deutschland gab es schon Forderungen, einige der in der KI-Verordnung dafür offen gelassenen Schlupflöcher zu schließen. Auf europäischer Ebene fordert die zivilgesellschaftliche Koalition nun, dass die Entwicklung von Gesichtserkennungssystemen für den Export unter das Verbot fallen soll. Zudem soll es nicht ausreichen, wenn Behörden nur mit einem Schild auf Zonen hinweisen, in denen Gesichtserkennung genutzt wird. Videoaufzeichnungen sollen erst nach 24 Stunden biometrisch ausgewertet werden dürfen.

In Zukunft bitte mehr Zeit

Eine Menge Wünsche für die Leitlinien – die Koalition hat aber auch noch einige Kritik für deren Entstehen übrig. Der Prozess sei nicht vorher angekündigt worden, habe kurze Fristen gelassen, es sei kein Entwurf veröffentlicht worden, schreiben sie. Außerdem seien manche der Fragen suggestiv formuliert gewesen. So habe die Kommission etwa nur nach Systemen gefragt, die aus der Definition von KI ausgeschlossen werden sollten, und nicht nach Systemen, für die die Regeln gelten sollten, bemängeln die Organisationen.

Das Statement fordert deshalb die Kommission auf, in Zukunft die Zivilgesellschaft besser einzubeziehen. „Die EU-Kommission muss Interessengruppen mit begrenzten Ressourcen eine Stimme geben, und dafür muss sie längere Zeiträume für so umfassende Befragungen vorsehen“, so Nikolett Aszodi von AlgorithmWatch.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Zuck goes Trump: Instagram-Alternative Pixelfed wächst kräftig

netzpolitik.org - 16 Januar, 2025 - 14:39

Immer mehr Menschen kehren Instagram den Rücken, weil ihnen die Politik des Meta-Konzerns nicht mehr passt. Die offene Alternative Pixelfed profitiert gerade davon. Sie ist werbefrei und bietet einen besseren Schutz der Privatsphäre.

Immer mehr Leute haben keine Lust mehr auf Zuckerbergs Instagram. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Nico Cavallini

Nachdem Mark Zuckerberg sich für Trump stark macht und für Instagram laxere Moderationsregeln angekündigt hat, die Frauenfeindlichkeit, Homophobie und Transfeindlichkeit zulassen, suchen immer mehr Nutzer:innen nach einer neuen digitalen Heimat für ihre Bilder und Videos.

Eine freie und dezentrale Alternative für Instagram ist Pixelfed im Fediverse. Dort lassen sich werbefrei und mit deutlich besserem Privatsphärenschutz Fotos teilen. Das ganze System ist Open Source und bietet im Unterschied zu Instagram eine chronologische Timeline, die nicht durch einen undurchsichtigen Algorithmus gesteuert wird.

Im Gegensatz zu Instagram ist Pixelfed nicht eine Plattform in der Hand eines Konzerns, sondern eine Art Netzwerk aus Servern (Instanzen), die über das ActivityPub-Protokoll miteinander sprechen. Will man sich einen Account anlegen, sucht man sich eine Instanz aus und nimmt dann aus dieser heraus am sozialen Netzwerk teil. Pixelfed hat gerade auch Apps für iOS und Android gestartet, die derzeit viel heruntergeladen werden.

Meta ist aufgescheucht

Das Wachstum von Pixelfed und der Exodus von Nutzer:innen bereitet Meta offensichtlich so große Sorgen, dass es nun Links zu Pixelfed.org und den großen Instanzen pixelfed.social und pixelfed.de auf seinen Plattformen als „Spam“ sperrt und entfernt. Ein Schritt, der so lächerlich wie ängstlich wirkt angesichts der gerade mal 370.000 Accounts auf dem offenen Netzwerk. Zum Vergleich: Instagram kann monatlich über zwei Milliarden aktive Nutzer:innen verbuchen.

Darüber hinaus hat ein unabhängiger Entwickler aus Berlin angekündigt, dass in Kürze auch über die Technologie des angesagten Twitter-Rivalen Bluesky mit „Flashes“ eine Bilder-App starten soll, berichtet TechCrunch. Bluesky ist derzeit eine ernstzunehmende Alternative für Twitter und erfreut sich mit mehr als 27 Millionen Nutzer:innen großer Beliebtheit. Jüngst hatte das Projekt „Free Our Feeds“ angekündigt, digitale Ökosysteme und soziale Netzwerke rund um das AT Protokoll fördern zu wollen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Offener Brief an EU-Kommission: Kritik an geplantem Europol-Abkommen mit Ägypten

netzpolitik.org - 16 Januar, 2025 - 12:10

Anstatt Ägyptens repressive Politik zu unterstützen, soll die EU-Kommission Verhandlungen mit der Militärdiktatur stoppen und Reformen fordern. Das schreiben mehr als 40 Nichtregierungsorganisationen in einem offenen Brief an den Innenkommissar.

Ein Mitglied der ägyptischen Sicherheitskräfte hält am 25. Januar 2016, dem fünften Jahrestag der Aufstände von 2011, in Kairo Wache. – Alle Rechte vorbehalten IMAGO / Pond5 Images

Die EU-Kommission sei kurz davor, ein sogenanntes Arbeitsabkommen zwischen Ägypten und der Polizeiagentur Europol zu unterzeichnen, erklärte im vergangenen Herbst die damalige EU-Innenkommissarin Ylva Johansson gegenüber der Presse. Die Regierung unter Abdel Fatah Al-Sisi sei ein „echter strategischer Partner der EU und für die Stabilität in der Region“, hieß es zur Begründung. In einem heute veröffentlichen offenen Brief an den neuen Innenkommissar Magnus Brunner warnen jedoch 41 Menschenrechts-, Flüchtlings-, Digital- und Bürgerrechtsorganisationen vor den Risiken einer solchen Polizeikooperation.

Die Unterzeichnenden sind neben nordafrikanischen Organisationen auch EDRI, Access Now, EuroMed Rights Network, Statewatch und Privacy International. Sie sehen in dem geplanten Abkommen eine Legitimierung des ägyptischen Sicherheitsapparats, der für systematische Menschenrechtsverletzungen bekannt ist. Die Kommission soll deshalb ihre Verhandlungen stoppen und Druck auf Ägypten ausüben, damit das Land Reformen zum Schutz der Menschenrechte, bürgerlicher Freiheiten, der Justiz und der Demokratie verabschiedet.

Die Organisationen verweisen auf die Willkürjustiz in Ägypten: Schätzungsweise 60.000 politische Gefangene befinden sich demnach in Haft – unter ihnen ist auch der Blogger und Aktivist Alaa Abd el-Fattah, über dessen Fall netzpolitik.org regelmäßig berichtet. UN-Gremien bestätigen systematische Folter durch Polizei und Militär, besonders gegen Regierungskritiker:innen. Anti-Terror-Gesetze werden missbraucht, um Oppositionelle zum Schweigen zu bringen.

Unterstützung von repressivem Migrationsregime

Besondere Sorge bereitet den Unterzeichner:innen das Thema Migration. Während die Kommission Ägyptens Behandlung von Geflüchteten und Migrant:innen insbesondere aus dem Sudan lobte, dokumentieren Menschenrechtsorganisationen systematische Verhaftungen und Zwangsrückführungen.

Zwar hat Ägypten mittlerweile ein Asylgesetz erlassen, es enthält aber auch Verschärfungen. Wer Geflüchtete ohne Benachrichtigung der Behörden unterbringt, riskiert strafrechtliche Konsequenzen. Die Regierung hat weitreichende Befugnisse erhalten, um während Sicherheitskrisen, Anti-Terror-Operationen oder in Kriegszeiten „notwendige Maßnahmen“ gegen Flüchtlinge zu ergreifen.

Das repressive ägyptische Migrationsregime wird durch EU-Mittel unterstützt. Die Kommission hat dazu im vergangenen Jahr 200 Millionen Euro für „Schleuserbekämpfung“, Grenzüberwachung und -kontrolle, Rückkehrprogramme sowie Förderung privilegierter Migration für benötigte Arbeitskräfte zur Verfügung gestellt. Die Anstrengungen haben vermutlich dazu beigetragen, dass Ankünfte über die zentrale Mittelmeerroute aus Ägypten im Jahr 2024 um zwei Drittel sanken.

Kommission drängt auf Folgeabkommen

Das nun geplante Arbeitsabkommen mit Europol ist strategischer Natur und soll keinen Austausch personenbezogener Daten umfassen. Auf Basis ähnlicher Abkommen arbeitet Europol etwa mit der Polizei in Singapur, Chile, Mexiko und Israel zusammen. Im Falle Ägyptens plant die Kommission aber offenbar noch ein weitergehendes Folgeabkommen, das den Austausch persönlicher Daten ermöglicht. Das könnte die Repression gegen im ausländischen Exil lebende Menschenrechtsverteidiger erleichtern, warnen die Kritiker:innen.

Problematisch am gegenwärtig verhandelten Abkommen ist auch der Datenschutzaspekt: Obwohl Ägypten 2020 ein erstes entsprechendes Gesetz verabschiedete, wurde dieses nie implementiert. Damit fehlt ein rechtlicher Rahmen für den Datenschutz – eine wesentliche Voraussetzung für ein Abkommen zum Austausch personenbezogener Informationen mit der EU.

Die Organisationen fordern die Kommission deshalb dazu auf, eine umfassende Folgenabschätzung für Menschenrechte und Datenschutz durchzuführen. Sie verweisen auf eine Resolution des Europäischen Parlaments aus dem Jahr 2018, die eine solche Prüfung bereits forderte. Der Rat erlaubte der Kommission jedoch die Verhandlungen mit Ägypten, ohne das Parlament zu konsultieren.

Weitere Abkommen geplant

Auch grundsätzlich kritisieren die Unterzeichner:innen die EU-Strategie der Zusammenarbeit mit autoritären Regimen im Mittelmeerraum in den Bereichen Polizei, Justiz und Migrationskontrolle. Diese stelle Sicherheitsinteressen über Demokratie und Menschenrechte. Statt mehr Polizeikooperation anzustreben, solle die EU ihren Einfluss nutzen, um Reformen für Menschenrechte, bürgerliche Freiheiten und Demokratie in Ägypten zu fordern.

Neben Ägypten plant die EU-Kommission weitere Europol-Abkommen mit Bolivien, Brasilien, Ecuador, Mexiko und Peru. Auch sie sollen den Austausch von personenbezogenen Daten ermöglichen, um die Bekämpfung von schwerer Kriminalität und Terrorismus zu unterstützen. Die Verhandlungen mit Brasilien sind abgeschlossen. Mit Bolivien wurden bislang drei Verhandlungsrunden durchgeführt, mit Ecuador zwei sowie ein technisches Treffen, mit Peru fanden zwei Treffen statt. Mit Mexiko haben die Verhandlungen bisher noch nicht begonnen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Mit fragwürdigen Methoden: Konservative US-Denkfabrik nimmt Wikipedia ins Visier

netzpolitik.org - 16 Januar, 2025 - 08:31

Eine Donald Trump nahestehende konservative US-Denkfabrik will die Identitäten unliebsamer Wikipedia-Autor:innen enthüllen. Das soll angeblich antisemitische Inhalte aus der freien Online-Enzyklopädie fegen. Wikimedia Deutschland sieht sich dagegen gewappnet.

Die freie Online-Enzyklopädie Wikipedia gerät im US-Kulturkampf zwischen die Fronten. – Alle Rechte vorbehalten IMAGO / imagebroker

Die konservative US-Denkfabrik Heritage Foundation bläst zur Jagd auf Wikipedia-Autor:innen der englischsprachigen Ausgabe. Einem Dokument zufolge, welches das Magazin Forward letzte Woche veröffentlicht hat, will der Think Tank die Identität von Wikipedianer:innen mit fragwürdigen Methoden entblößen und sie „ins Visier nehmen“.

Die Heritage Foundation gilt als eine der einflussreichsten Denkfabriken in den USA und ist bestens in konservativen Kreisen verankert. Zuletzt hatte sie mit dem „Project 2025“ Aufmerksamkeit erregt, einer detaillierten Blaupause für die Machtübernahme des kommenden US-Präsidenten Donald Trump. Auf eine Presseanfrage hat die Organisation nicht reagiert.

Unter dem Titel „Wikipedia Editor Targeting“ richtet sich die Aktion gegen Wikipedianer:innen, die angeblich ihre Position missbrauchen würden. Laut Forward sei das Dokument an diverse jüdische Organisationen und andere mögliche Unterstützer:innen des „Project Esther“ verschickt worden. Letzteres ist eine Initiative der Heritage Foundation, die sich laut Eigenaussage dem Kampf gegen Antisemitismus verschrieben hat, sich dabei aber selbst antisemitischer Anspielungen bedient.

Eine Reihe von Enthüllungstechniken

Um die wahre Identität anonymer beziehungsweise pseudonymer Wikipedianer:innen herauszufinden, soll eine Reihe von Techniken angewandt werden. Dazu zählen unter anderem Analysen von Texten und Benutzernamen, aber auch die Auswertung von Datenlecks, Fingerprinting, menschliche Quellen und technisches Targeting. Forward zufolge wird das Projekt von einem ehemaligen FBI-Agenten geleitet.

So würden etwa Handlungsmuster wie ein bestimmter Schreibstil, die Häufigkeit von Editierungen in der freien Online-Enzyklopädie oder Kollaborationen Hinweise darauf geben, wer hinter einem Wikipedia-Account steckt. Hierbei helfen sollen auch auf unterschiedlichen Online-Diensten verwendete Benutzernamen sowie Informationen aus Datenlecks. Weiter graben ließe sich unter anderem mit diversen OSINT-Anbietern oder mit der umstrittenen Gesichtserkennungssoftware von PimEyes.

Als aktive Methoden listet das Dokument beispielsweise Umleitungen auf, mit denen sich IP-Adressen, Fingerabdrücke von Browsern und andere Daten sammeln ließen. In Frage käme auch die Überwachung des Standorts, des verwendeten Netzbetreibers und andere Netzwerkdetails, die beim Aufrufen untergeschobener Links anfallen können. Zudem empfiehlt das Dokument, mit Hilfe sogenannter Sockenpuppen-Accounts Diskussionen anzustoßen und dabei womöglich entlarvende Reaktionen zu provozieren.

Anonymität respektive Pseudonymität ist nicht nur im Internet, sondern auch in demokratischen Gesellschaften unerlässlich. Dafür sprechen eine Vielzahl an Gründen, unter anderem, weil es gerade bei heiklen Themen den freien Austausch von Argumenten erleichtert. Umgekehrt haben wiederholt Studien gezeigt, dass eine Klarnamenpflicht oder gar unfreiwillig entblößte Identitäten nicht zu einer besseren Diskussions- oder Faktenkultur beitragen.

Konservative reiben sich an der Wikipedia

US-Konservativen ist Wikipedia schon seit langem ein Dorn im Auge. Der von Freiwilligen bestückten und auf belegten Fakten aufbauenden Online-Enzyklopädie werfen sie eine linke Schlagseite vor. Das freie Projekt tendiere dazu, ein „liberales – und in manchen Fällen sogar sozialistisches, kommunistisches und mit Nazis sympathisierendes – Weltbild zu projizieren, das in völligem Widerspruch zur konservativen Realität und Rationalität steht“, heißt es etwa im entsprechenden Artikel des von konservativen US-Aktivist:innen gegründeten Gegenprojekts Conservapedia.

Zuletzt hatte die konservative Influencerin Chaya Raichik, die unter der Online-Identität „Libs of TikTok“ kräftig den Kulturkampf in den USA befeuert, Stimmung gegen Wikipedia gemacht. Weil das Projekt Geld für Antidiskriminierung ausgebe, solle niemand mehr für die „Wokepedia“ spenden, schrieb sie kurz vor Ende der jährlichen Wikipedia-Spendenkampagne im Dezember auf X. Den Aufruf hatte der X-Chef und Donald-Trump-Vertraute Elon Musk verstärkt, wenn auch ohne nennenswerten Erfolg.

Zugleich schlägt der seit dem Terrorangriff der Hamas auf Israel laufende Krieg im Gazastreifen auch in den USA hohe Wellen. Das macht nicht vor der Darstellung des Konflikts in der Wikipedia Halt: Im Vorjahr hatte etwa der Jüdische Weltkongress der englischsprachigen Wikipedia-Ausgabe in einem Bericht „Desinformation und das Verbreiten negativer Stereotype“ rund um den Konflikt vorgeworfen. Weite Teile der Debatte lassen sich in einem eigenen Wikipedia-Artikel nachlesen, der zudem, wie in der offenen Enzyklopädie üblich, eine Änderungshistorie sowie die inhaltlichen Diskussionen enthält.

Weiter eskaliert ist die digitale Auseinandersetzung im vergangenen Sommer, nachdem die englische Wikipedia-Community die prominente US-Menschenrechtsorganisation Anti-Defamation League (ADL) zu einer nicht vertrauenswürdigen Quelle erklärt hat. Vorwürfe von Geschichtsrevisionismus hagelte es nach einer Überarbeitung des Eintrags über Zionismus, der nun auch Verweise auf Kolonialismus enthält.

Wikipedia-Prinzipien ein „gutes Schutzschild“

Die Kampagne der Heritage Foundation stößt bei der deutschen Wikipedia auf Unverständnis. „Sollte dieses Dokument echt sein, wäre es ein Einschüchterungsversuch, mit dem offenbar Menschen unter Druck gesetzt werden sollen, die ehrenamtlich verlässliches und belegtes Wissen teilen“, sagt eine Sprecherin von Wikimedia Deutschland. Aus ihrer Sicht sei nicht nachvollziehbar, warum die Heritage Foundation die Wikipedia als politischen Gegner betrachtet. Die Wissensplattform sei doch vor allem „ein enzyklopädisches Projekt, das quellen- und faktenbasiert Wissen über die Welt mit der Welt teilt“.

Zwar habe es in der Vergangenheit immer wieder Versuche gegeben, Inhalte zu manipulieren, sagt die Sprecherin. „Jedoch sind die große Community sowie die Wikipedia-Prinzipen, nach denen diese Community Wissen teilt, ein guter Schutzschild, um solche Versuche zu erkennen und abzuwehren.“

Auf einer ganz anderen Ebene spielen sich indes die Versuche ab, Klarnamen von Wikipedianer:innen gegen ihren Willen zu enthüllen. Auch das habe es in der Vergangenheit vereinzelt gegeben, sagt die Sprecherin. Es gebe allerdings Mechanismen und Vorkehrungen, um dies zu vermeiden – über die Wikipedia zum Schutz der Anonymität von Wikipedianer:innen nicht öffentlich sprechen will. Sollte diese Form des Kulturkampfs auch auf Deutschland überschwappen, wäre das von manchen als „digitales Weltwunder“ bezeichnete Projekt also gewappnet.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Databroker Files: Sieben Wege, um deinen Standort vor Databrokern zu schützen

netzpolitik.org - 15 Januar, 2025 - 17:08

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen.

Eingefangen. (Symbolbild) – Flügel: Pixabay; Kescher: PNGegg;Montage: netzpolitik.org

Fachleute sprechen vom kompletten Kontrollverlust, Betroffene haben die Schnauze voll. Die Standortdaten von Millionen Handy-Nutzer*innen weltweit stehen zum Verkauf. Databroker sammeln sie in Multi-Milliarden-Paketen. Ja, sie verschenken sie sogar als Vorschau auf Bezahlabos. Das belegen unsere Recherchen zu den Databroker Files, die auf nationaler Ebene begannen und nun auch den weltweiten Handel beschreiben.

In unserem neuen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern gibt es große Unterschiede in der Genauigkeit der Ortung: Viele der gehandelten Standortdaten haben eine Unschärfe von mehreren Kilometern. Andere sind auf den Meter genau. 2024 analysierten wird einen Datensatz mit 3,6 Milliarden hochgradig genauen Standortdaten allein aus Deutschland. Das kann offenbaren, wo eine Person wohnt und zur Arbeit geht, wo sie die Kinder zur Kita bringt, zur Psychotherapie geht oder ins Bordell.

Nicht nur Standortdaten kursieren. Viele weitere Daten können erfasst werden. Etwa, welches Handy man nutzt, welchen Netzbetreiber und welche Apps oder welche Websites man besucht hat. Auf dieser Grundlage wird man auch in Schubladen gesteckt, die einen beispielsweise als angebliche „fragile Senior*in“ outen sollen oder als „Shopping-versessene Mama“.

Wer das eigene Handy – wie die meisten Menschen – ohne besondere Sicherheitsmaßnahmen benutzt, ist mit hoher Wahrscheinlichkeit nach selbst betroffen. Denn über Apps und Website führen viele Wege in den Schlund der Databroker. Hier fassen wir einige simple Schritte zusammen, mit denen sich Handy-Nutzer*innen schützen können.

1. Mobile Advertising ID abschalten

Die „mobile advertising ID“ (MAID) ist eine Art Nummernschild. Die meisten Handys generieren diese Werbe-ID einfach im Hintergrund. Betroffen sind Geräte mit iOS, also Handys und Tablets von Apple, sowie die meisten handelsüblichen Handys mit Googles Betriebssystem Android.

Durch die Werbe-ID sind unsere Geräte – und damit auch wir – für die Werbeindustrie eindeutig wiedererkennbar. Oft steht die Werbe-ID dabei, wenn Apps unseren Standort an Datenhändler verraten oder personalisierte Werbung ausspielen.

Abschalten lässt sich diese Werbe-ID in den Systemeinstellungen. Der genaue Weg kann sich je nach Betriebssystem und dessen Version unterscheiden.

  • Für Google-basiertes Android: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung.
  • Für iOS: Einstellungen > Datenschutz > Tracking > Tracking für Apps verbieten.
2. Apps den Standort-Zugriff entziehen

Viele Apps möchten Zugriff auf den genauen Standort des Geräts haben. Wer sich vor dieser Form des Trackings schützen möchte, erlaubt das nicht. Oder nur in den wenigen Fällen, in denen man auf eine Ortung wirklich nicht verzichten möchte oder die App sie für ihre Kernfunktion benötigt. Etwa, wenn man sich von einer Navigations-Apps in Echtzeit den Weg zeigen lassen möchte.

Den meisten anderen Apps kann man den Zugriff auf Standortdaten getrost verwehren. Gelegentlich möchten etwa Wetter-Apps Zugriff auf den genauen Geräte-Standort haben. Notwendig ist das nicht. Oftmals kann man einfach eintippen, für welche Stadt man gerne das Wetter sehen möchte.

Den Standortzugriff prüfen und nachträglich ändern kann man in den Systemeinstellungen für jede einzelne App (Android / iOS).

3. Ortungs-Technologien abschalten

Der Standort eines Geräts kann über mehrere Quellen bestimmt werden, zum Beispiel GPS, Mobilfunk, Bluetooth oder WLAN. Wer das Tracking-Risiko senken möchte, schaltet davon nur ein, was wirklich gerade gebraucht wird.

4. Ortung via IP-Adresse eindämmen

Auch über die öffentliche IP-Adresse ist eine grobe Ortung möglich. Man bekommt sie über den Anbieter des Internet-Zugangs. Sie wird automatisch übermittelt, wenn man Apps und Websites nutzt und ist zur Kommunikation technisch notwendig. Auf den ersten Blick hat eine IP-Adresse keine direkte Verbindung zu einem Standort. Anders als beim Zugriff auf beispielsweise den GPS-Standort müssen Apps für die IP-Adresse auch nicht gesondert um Erlaubnis bitten.

Aber dennoch lassen sich aus IP-Adressen Standorte ableiten – und unsere Recherchen zeigen, dass genau das massenhaft geschieht. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer ist die Zuordnung korrekt, teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.

Um sich davor zu schützen, gibt es mehrere Möglichkeiten.

  • Mithilfe von VPN-Diensten lässt sich die tatsächliche IP-Adresse gegenüber Apps und Websites verschleiern. Sie sehen dann nur die IP-Adresse des VPN-Anbieters. Anderseits müsste man in diesem Szenario auch dem VPN-Anbieter vertrauen – der wiederum kann die tatsächliche, öffentliche IP-Adresse sehen.
  • Einen eher grundlegenden Ansatz verfolgen Tracking- und Werbeblocker, wie Datenschutzexperte Mike Kuketz auf seinem Blog erklärt. Mithilfe von Blocklisten verhindern sie, dass das eigene Gerät überhaupt erst eine Verbindung zu bekannten Trackingdiensten aufnimmt und dabei allerlei Daten übermittelt. Diese Blocklisten müssen jedoch regelmäßig aktualisiert werden und können lückenhaft sein. Teils sind händische Nachbesserungen notwendig, etwa gezielt für die Apps, die man nutzen möchte.
  • Auch auf Ebene von Browsern gibt es Tracking- und Werbeblocker. Diese Blocker sind aber nur auf besuchte Websites im Browser beschränkt. Sie betreffen also nicht das Tracking per Apps.
  • Durch spezielle DNS-Server lässt sich Tracking ebenso unterbinden. DNS ist einer der wichtigsten Dienste im Internet. Er übersetzt Domainnamen in IP-Adressen. Bei den Anti-Tracking-DNS-Servern gibt es zusätzlich Filterlisten. Auf den Listen stehen bekannte Adressen, die Nutzer*innen durch Tracking gefährden. Die Kommunikation mit diesen Adressen wird unterbunden. Hier gibt es ein Tutorial zur Einrichtung.
Schritt 5: Tracking ablehnen, wo es nur geht

Für Websites und Apps gilt, auch wenn es lästig ist: Cookie-Banner und ähnliche Tracking-Begehren konsequent ablehnen.

Oft sind die entsprechenden Abfragen aber bewusst unübersichtlich gestaltet – oder das Ablehnen von Tracking ist gar nicht möglich. Dann bleibt einem nur der Griff zu Alternativen.

6. Umsatteln auf Tracking-freie Alternativen

Viele Apps, Websites, Dienste und Plattformen des alltäglichen digitalen Lebens basieren auf Tracking und damit auf Überwachung von Nutzer*innen. Nicht für alles, aber für vieles gibt es jedoch datensparsame Alternativen. Braucht es wirklich eine Wetter-, Navi- oder Shopping-App mit Hunderten „Werbepartnern“?

Erschwerend kommt hinzu, dass Daten auch ohne Wissen und Zustimmung der App-Betreiber*innen abfließen können, zum Beispiel weil von Dritten eingebundene Software-Pakete nicht nur das tun, was sie sollen. Gerade bei überladener oder veralteter, bei nicht-quelloffener oder sonstwie fragwürdiger Software ist das Risiko erhöht.

Ein kompletter Umstieg auf datensparsame Alternativen von heute auf morgen kann schnell überfordern. Aber man kann Stück für Stück vorgehen. Empfehlungen für datensparsame Apps gibt es zum Beispiel auf mobilsicher.de oder oder dem Blog von Mike Kuketz. Oft freuen sich die Betreiber*innen nicht-kommerzieller Software über Spenden.

Auch auf Ebene von Betriebssystemen gibt es Optionen. Es muss nicht immer iOS oder Google-basiertes Android sein. Anbieter von Google-freien Android-Versionen haben es sich zur Aufgabe gemacht, Alternativen zum Tracking-basierten Mainstream zu geben. Das geht oft zulasten des Komforts. Es wird aber kontinuierlich daran gearbeitet, dass nicht nur Nerds damit klarkommen.

7. Sich für politische Lösungen starkmachen

Wer sich sorgfältig um die eigene digitale Selbstverteidigung kümmert, kann die Gefahr durch Tracking deutlich eindämmen. Im Kreis von Freund*innen, Kolleg*innen und Familie kann man Anregungen teilen und Hilfe anbieten. Den meisten Menschen aber lassen sich die vielen, notwendigen Kniffe der digitalen Selbstverteidigung kaum zumuten – sie haben einfach andere Sorgen. Und viele wollen an dem von Tracking durchwirkten digitalen Leben teilhaben, an das sich ganze Generationen längst gewöhnt haben.

Die Massenüberwachung durch Handy-Daten ist ein Problem, dessen Lösung sich nicht auf Verbraucher*innen abwälzen lässt. Deshalb fordern viele seit Jahren politische Lösungen, etwa ein Verbot von Tracking und Profilbildung zu Werbezwecken. Denn Daten, die gar nicht erst erhoben werden, können auch nicht an Databroker gelangen. Der Verbraucherzentrale Bundesverband fordert das ebenso wie das Bundesverbraucherschutzministerium. Der Ball ist bei der EU, deren Bemühungen jedoch zuletzt am Lobbying durch Konzerne scheiterten.

Der geplante Digital Fairness Act der EU könnte ein Gelegenheit für einen neuen Anlauf sein. Interessierte könnten sich an ihre Abgeordneten wenden oder sich bei NGOs organisieren, die sich als Teil der Zivilgesellschaft für netzpolitische Themen stark machen.

Wer darüber hinaus aktiv werden will, kann sich auf seine Rechte laut Datenschutzgrundverordnung berufen und Auskunftsanfragen an Datenhändler stellen. Die Unternehmen sind verpflichtet, zu antworten, welche Daten sie über einen gespeichert haben. Auch wenn bei solchen Anfragen lange nichts passiert und Unternehmen außerhalb der EU oft schwer zu greifen sind: Anfragen machen sichtbar, dass Nutzer*innen ein Problem haben.

Wer das Gefühl hast, da ist etwas faul, kann daraufhin die zuständige Datenschutzbehörde einschalten, damit sie ein Unternehmen genauer unter die Lupe nehmen. Hier erklären wir mehr über Datenauskünfte und Beschwerden.

Schon jetzt kommen die Datenschutzbehörden kaum hinterher beim Abarbeiten der Anfragen. Gerade wenn Anbieter im Ausland sitzen, ist die Handhabe oft schwer. Doch auch wenn das Ergebnis einer Beschwerde in einigen Fällen mau sein wird: Es kann verdeutlichen, dass die bisherigen Instrumente nicht ausreichen und damit eine politische Signalwirkung haben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Databroker Files: New data set reveals 40,000 apps behind location tracking

netzpolitik.org - 15 Januar, 2025 - 13:42

380 million location data from 137 countries: a previously unknown data set from a US data broker shows the dangers of global data trading. 40,000 apps are affected, including queer dating apps. For some apps, the shared location data is very precise.

Data about users of popular apps end up at data brokers – Handy: Pixabay; App-Icons: Freepik; Auge: Auge: maxpixel.net/CCO; Nebel: Vecteezy; Montage: netzpolitik.org

This is the English summary of a longer German-language article. The publication is part of the „Databroker Files“ series.

A new data set obtained from a US data broker reveals for the first time about 40,000 apps from which users‘ data is being traded. The data set was obtained by a journalist from netzpolitik.org as a free preview sample for a paid subscription. It is dated to a single day in the summer of 2024.

Among other things, the data set contains 47 million “Mobile Advertising IDs”, to which 380 million location data from 137 countries are assigned. In addition, the data set contains information on devices, operating systems and telecommunication providers.

Ths investigation is part of an international cooperation by the following media: Bayerischer Rundfunk/ARD (Germany), BNR Nieuwsradio (Netherlands), Dagens Nyheter (Sweden), Le Monde (France), netzpolitik.org (Germany), NRK (Norway), SRF/RTS (Switzerland) and WIRED (USA).

Overview of our findings
  • The approximately 40,000 apps in the new dataset cover a wide range of categories, from gaming, dating and shopping to news and education. They include some of the most popular apps worldwide, with millions of downloads in some cases.
  • For a smaller number of apps, the data set contains alarmingly precise location data. This data can help to identify a person’s place of residence. These apps include the queer dating app Hornet with more than 35 million users; the messaging app Kik with more than 100 million downloads in the Google Play Store alone; Germany’s most popular weather app Wetter Online, which also has more than 100 million downloads in the Google Play Store; and the flight tracking app Flightradar24 with more than 50 million downloads in the Googles Play Store; the app of German news site Focus Online and classifieds apps for German users (Kleinanzeigen) and French users (leboncoin).
  • For a bigger number of apps, less precise locations which appear to have been derived from IP addresses can be found in the data set. This list includes popular apps such as Candy Crush, Grindr, Vinted, Happy Color, dating apps Lovoo and Jaumo, news aggregator Upday, German email apps gmx.de and web.de as well as the popular dutch weather app Buienalarm.
  • Since the sample only covers one day, it is difficult to identify people based on their locations from this data set alone. However, in combination with other data sets from the advertising industry, which the research team obtained from data brokers, it’s possible to identify and track people on a large scale. The location data might for example provide clues to their home and work addresses.
  • Thus, the team was able to identify users of Wetter Online in Germany and Kik in Norway. The individuals confirmed that the data must belong to their devices and their use of the respective apps.
  • Location data aside, the mere information about who uses which apps can already be dangerous. For example the data set includes numerous Muslim and Christian prayer apps, health apps (blood pressure, menstruation trackers) and queer dating apps, which hint at special categories of personal data under GDPR.
Where did the data set come from?

The research team obtained the data set from US data broker Datastream Group, which now uses the name Datasys. The company did not respond to multiple requests for comment.

Contact with the data broker was established through Berlin-based data marketplace Datarade. The company states in response to inquiries that it does not host any data itself. According to a spokesperson „Data providers use Datarade to publish profiles and listings, enabling users to contact them directly“. Datarade „requires data providers to obtain valid consent in case they’re processing personal data and to aggregate or anonymize data in case they’re processing sensitive personal data“.

Where does the data originate?

According to our analysis, the data originates from Real Time Bidding (RTB), which is a process in the online advertising ecosystem. These are auctions in which advertising inventory of apps and websites is sold. In the process, apps and websites send data about their users to hundreds or thousands of companies. These data contains the information that we can see in our dataset. There have already been multiple warnings that advertising companies are collecting the data from RTB in order to sell it – often without the knowledge or explicit consent of the users or their apps.

What the apps say

None of the apps we confronted so far states they had business relations with Datastream Group / Datasys. The apps Hornet and Vinted for example wrote, that they cannot explain how their users‘ data ended up with data brokers. Queer dating app Hornet emphasizes that it does not share actual location data with third parties and announces an investigation. Other companies such as Kik, Wetter Online, Kleinanzeigen, Flightradar, Grindr and King, the company behind the game Candy Crush, did not respond to press inquiries.

Reactions

Experts from politics, government agencies and civil society expressed concern about the findings.

Michael Will, the Bavarian data protection commissioner, said there would be consequences. In an interview, he describes the findings of the investigation as disillusioning and alarming. The data protection official views the situation as a blatant breach of trust. “This is contrary to everything that the average users of apps would expect – to be able to track where they have been for months afterwards.” The data broker should not have had this data. ”This is beyond the agreed rules of the game.”

Will also expresses criticism on Real Time Bidding: anyone who uses it to display advertising must ask themselves whether their own contractual partners are really abiding by the contract. As a result of the investigation, the data protection authority wants to take action itself. “We have investigative powers. We will now make intensive use of them on the basis of the information you have provided,” says Will – and points out that his authority can also impose sanctions. “We have the option of imposing quite considerable fines.”

In view of the latest findings, the German Federal Ministry for Consumer Protection (BMUV) writes: The collection of the data alone must be prevented. “We need effective EU-wide protection against personalized advertising to prevent app providers from having incentives to collect more data than is necessary to offer an app.” The ministry continues to advocate a “consistent switch to alternative advertising models”.

In addition, the Ministry for Consumer Protection is calling for technical standards to prevent devices from collecting identifying data in the first place. “The manufacturers of operating systems and end devices also have a role to play here.” Finally, the supervisory authorities would need to take consistent action.

Michaela Schröder from the Federation of German Consumer Organizations (vzbv) comments: “The current findings show and confirm once again that the global online advertising market has escaped any control. Unscrupulous data traders collect and disseminate highly sensitive information about people, while websites and apps make these illegal practices possible in the first place and the supervisory authorities seem to be completely overwhelmed.”

Consumers are left defenceless against the massive risks posed by data trading, says Schröder. The vzbv is therefore calling for action at the European level. “It is long overdue for the European Commission to effectively protect consumers and present a proposal to ban personalized advertising – for example, through the announced Digital Fairness Act,” Schröder said.

Difference to Gravy Analytics leak

The results of our investigation confirm and expand on the insights that experts gained in early January from data obtained by hackers from US data broker Gravy Analytics. The Gravy Analytics leak also mentions thousands of apps; this data also apparently comes from Real Time Bidding. Among them are numerous apps that are also represented in our dataset from the Datastream Group: Candy Crush, Grindr, Kik, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen and many more.

However, the list of apps in our data set is much longer. For the first time, we can also differentiate between the apps for which only very rough location data is available and those for which users can be located exactly. It is this the precise location data that puts users at particular risk, as it allows to draw conclusions about their home address and movement patterns.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Databroker Files: „Schnauze voll!“ – das sagen Betroffene

netzpolitik.org - 15 Januar, 2025 - 10:17

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen in Deutschland. Viele haben erst durch unseren Databroker Checker erfahren, dass sie betroffen sind. Was macht das mit ihnen? Hier sprechen sie selbst.

Schockiert. (Symbolbild) – Motive: Pixabay; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk und ist Teil unserer Reihe zu den Databroker Files.

Millionen von Menschen in Deutschland funken ihre Standortdaten an Databroker, ohne davon zu wissen. Unsere fortlaufenden Recherchen mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern zeigen: Die Werbe-Industrie macht unsere Handys zu Peilsendern. Und wer will, kann sich diese Daten einfach besorgen.

Als Vorschau für ein Abonnement erhielten wir zunächst 3,6 Milliarden Standortdaten von Handys aus Deutschland. Sie offenbarten genaue Bewegungsprofile aus nahezu jedem Winkel des Landes. Später erhielten wir weitere Datensätze mit noch mehr Standortdaten.

Manche Betroffene konnten wir selbst identifizieren, weil uns die Daten zu ihren Privatadressen führten. Andere erfuhren durch unseren Databroker Checker, dass ihre Werbe-ID in unserem Datensatz auftaucht, und meldeten sich per E-Mail.

Was heißt es für die Betroffenen, wenn ihre Standortdaten auf dem Datenmarkt zirkulieren? Wenn praktisch jede*r wie aus Vogelperspektive verfolgen kann, wann sie wo gewesen sind? In diesen Protokollen kommen sie zu Wort.

Magnus aus Mecklenburg-Vorpommern: „Gefühl, überwacht zu werden“

„Dass meine ID im Datensatz auftaucht, ist für mich ein Ansporn, noch aufmerksamer zu sein. Komplett überrascht war ich nicht, weil ich davon ausgehe, dass man immer Spuren hinterlässt, auch wenn man vorsichtig ist.

Bei mir haben nur sieben Apps überhaupt die Erlaubnis, den Handy-Standort zu erfassen. Ich glaube zwar nicht, dass jemand direkt ein Auge auf mich hat. Aber ich glaube, es ist durchaus nachvollziehbar, wo ich gewesen sein könnte. Das gibt mir schon ein latentes Gefühl, überwacht zu werden.“

Hedi aus Bayern: „Es ist beklemmend“

„Ich komme mir total überwacht vor. Ich finde es einfach gruselig. Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.

Ich bin bei den Omas gegen Rechts. Wenn wir da unsere Mahnwachen machen, kommt zur Zeit immer einer von der AfD und fotografiert uns. Ich möchte nicht, dass einer von diesen Leuten weiß, wo ich wohne.“

Martin, IT-ler aus Niedersachsen: „Werde Google den Rücken zukehren“

„Von mir wurden Standorte auf dem Weg nach Oldenburg erfasst. Was mich daran besonders ärgert: Ich achte extrem viel auf Datenschutz und Privatsphäre. Ich hoste meinen eigenen E-Mail-Server und verwende für jeden Anlass separate E-Mail-Adressen, um genau zu prüfen, wer meine Daten verkauft. Meine Kontakte, Kalender und Daten habe ich nur in der eigenen verschlüsselten Infrastruktur. Also, ich weiß schon, was ich tue!

Jetzt fühle ich mich dabei ertappt, vollkommen inkonsequent zu sein, weil ich ein Handy mit Google-Diensten nutze und mit Apps, die meinen Hintern verkaufen. Dann kann ich mir den ganzen Aufriss gleich ganz sparen! Ich habe die Schnauze voll. Ich werde Google den Rücken zukehren und mir neues Handy kaufen mit einem freien Betriebssystem wie LineageOS oder GrapheneOS.

Es muss öffentlich werden, dass so etwas passiert! Leider interessiert das keinen. In der BILD-Zeitung wird davon nichts stehen. Und selbst wenn es mal Bußgelder gibt, das preisen die Konzerne doch einfach mit ein und machen weiter.“

Günther aus Sachsen: „Vertrauenswürdig sind die alle nicht“

„Mich hat das nicht gewundert, dass meine Werbe-ID in dem Datensatz ist. Diese ganzen kostenlosen Dienste wollen ja Geld mit unseren Daten verdienen. Die schreiben zwar nirgendwo deutlich, dass sie meine Standortdaten verkaufen, aber vertrauenswürdig sind die doch alle nicht.

Worüber ich mir am meisten Sorgen mache: Selbst man seine Werbe-ID löscht, ist man immer noch erkennbar durch all die anderen Spuren, die man hinterlässt, zum Beispiel Zahlungsdaten. Die alten und neuen Profile können zusammengeführt werden und ich glaube auch, dass das passiert.

Ich mache mir aber weniger Sorgen, dass mich jemand digital überwacht. Hier im Dorf sind etwa die Hälfte der Leute rechtsextrem, und die kennen mich persönlich. Ich bin ein Mann der Mitte und mache aus meiner Haltung auch kein Geheimnis. Wenn man hier SPD wählt, gilt man schon als linksextrem.“

Lukas aus Niedersachsen: „Datensammeln für Werbezwecke unnötig“

„Es gibt so viele gute Gründe, um Daten zu sammeln: zum Beispiel Verkehrswege optimieren oder Menschen mit Krankheiten helfen. Datensammeln für Werbezwecke finde ich einfach unnötig. Ich versuche zwar, weitestgehend vorsichtig mit meinen Daten zu sein. Aber ich war mir sicher, dass meine Daten trotzdem irgendwo liegen – und dass ich da nur nicht rankomme.

Deshalb hat mich das eher gefreut, als ich gesehen habe, dass meine Daten in eurem Datensatz stecken. Denn so hatte ich die Möglichkeit, endlich einmal selbst zu erfahren, was von mir erfasst wurde. Seltsamerweise geben die Apps, die ich benutze, nach eigenen Angaben keine Standortdaten an Dritte weiter. Entweder war das in meinem Fall also ein Versehen oder die Apps verheimlichen etwas. Das fände ich ein No-Go, so sollte man nicht mit Mitmenschen umgehen.

Für mich persönlich sehe ich keine große Gefahr darin, wenn meine Standortdaten verfügbar sind. Es gibt aber Menschen – auch in meinem Umfeld – die ins Visier von Rechtsextremen geraten. Ich kann mir schon vorstellen, dass zum Beispiel auch Journalist*innen oder Lehrer*innen mithilfe solcher Daten verfolgt werden. Es gibt genug Fälle, in denen Rechte solche Menschen einschüchtern wollen. Ich finde, gerade wenn man das Privileg hat, nicht selbst im Visier zu sein, sollte man sich erst Recht für seine Mitmenschen einsetzen.“

Corinna aus Berlin: „Sprachlos und schockiert“

„Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist. Auf jeden Fall fühle ich mich jetzt beobachtet. Mein Vertrauen in den Datenschutz von Handy-Apps ist weniger geworden.

Ein Stück weit bin ich auch sauer. Gerade in der Politik wurde so oft über Datenschutz geredet. Datenschutz hier und Datenschutz da. Aber trotzdem ist man dann so gläsern. Wie kann das sein???“

Sebastian aus Bayern: „Versuche grundsätzlich, auf ‚Ablehnen‘ zu klicken“

„Ich wusste vorher zwar, dass irgendwelche Werbefirmen mit meinen Daten handeln, aber das war sehr abstrakt. Jetzt sehe ich konkret, dass zumindest ein paar ungenaue Standortdaten aus meinem Wohnort in diesem Datensatz gelandet sind. Das hat mich erstmal überrascht.

Ich nutze mit GrapheneOS ein von Google losgelöstes Android, aber ich habe für manche Apps doch Google-Dienste aktiviert. Der möglichen Einschränkung oder Vermeidung der Werbe-ID habe ich bisher keine Beachtung geschenkt, was sich durch die Recherche auf jeden Fall geändert hat.

Wenn ich wüsste, welche App genau meine Standortdaten verkauft hat, wäre ich schon sauer. Ich versuche grundsätzlich auch bei allen Cookie-Fenstern auf ‚Ablehnen‘ zu klicken. Aber gerade wenn man auf bestimmte Apps oder Dienste nicht verzichten will, hat man keine Wahl und muss sehr umfangreiche Datenschutzbestimmungen akzeptieren.“

Jetzt testen: Wurde mein Handy-Standort verkauft?

In unseren Protokollen spiegelt sich die typische Leser*innenschaft von netzpolitik.org wieder. Viele Menschen, die sich bei uns gemeldet haben, waren IT-affin und männlich. Die Massenüberwachung durch Daten der Werbe-Industrie betrifft aber uns alle. Wer wissen möchte, ob das eigene Gerät im Datensatz mit 3,6 Milliarden Standortdaten auftaucht, kann das jetzt hier prüfen.

Einige unserer Gesprächspartner*innen wehren sich mithilfe digitaler Selbstverteidigung gegen das Tracking durch die Werbeindustrie, zum Beispiel durch Google-freies Android. Damit lässt sich das Problem zwar eindämmen, aber nicht für alle lösen. Einerseits können auch trotz solcher Maßnahmen einige Daten gesammelt werden – andererseits haben viele Nutzer*innen nicht die Mittel, so etwas selbst umzusetzen.

Deshalb fordern nicht zuletzt etwa das Bundesministerium für Verbraucherschutz und der Verbraucherzentrale Bundesverband Änderungen auf politischer Ebene – das Verbot von Tracking und Profilbildung zu Werbezwecken.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Databroker Files: Neuer Datensatz enthüllt 40.000 Apps hinter Standort-Tracking

netzpolitik.org - 15 Januar, 2025 - 05:00

380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen.

Abgesaugt. (Symbolbild) – Handy: Pixabay; App-Icons: Freepik; Auge: Auge: maxpixel.net/CCO; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.

Dienstag, 2. Juli 2024, ein ganz normaler Sommertag. In einem begrünten Wohngebiet mitten im niedersächsischen Dinklage checkt jemand die Wetter-Online-App mit seinem Samsung Galaxy S7 Edge. Aber Sommerträume werden heute nicht mehr wahr: In Dinklage ziehen sich Wolken zusammen, die Temperaturen werden nicht über 16 Grad Celsius steigen.

Gut 300 Kilometer südlich, in der hessischen Stadt Bensheim, lässt sich jemand auf seinem Huawei-Handy mit „Hornet“ orten, einer App für queere Sex-Dates. Er befindet sich dabei mitten auf dem Gelände einer Firma, die unter anderem elektronische Systeme für Kriegsschiffe und Kampfjets fertigt. Das Symbol der Dating-App ist eine Hornisse mit phallischem Stachel.

In Hannover wiederum spielt jemand auf dem Xiaomi-Handy ein Gratis-Game, in dem kleine blaue Soldaten die Häuser von kleinen roten Soldaten stürmen. Zugang zum Internet hat das Handy dabei übers Netz der dortigen gesetzlichen Unfallversicherung, die Menschen nach Arbeitsunfällen und bei Berufskrankheiten versorgen soll.

Was diese drei Personen gemeinsam haben: Sie alle wurden überwacht und lokalisiert. Datenhändler wissen, an welchen Orten sie welche Apps nutzen. Angeblich werden solche Informationen nur zu Werbezwecken erhoben. Aber Händler verkaufen sie in gigantischen Datensätzen. Ja, sie verschenken die Daten sogar an Interessierte, wenn man freundlich danach fragt.

Rund 40.000 Apps, 137 Länder

Ein solcher Datensatz ist über einen US-Händler zu netzpolitik.org gelangt. Als Gratis-Vorschau soll er Lust auf ein Monatsabo mit tagesaktuellen Daten machen. Obwohl es sich nur um eine Kostprobe handelt, zeichnet dieser Datensatz ein bislang einzigartiges Bild vom weltweiten Datenhandel. Datiert auf einen Tag im Juli 2024 beinhaltet er 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps, deren Nutzer*innen kaum ahnen dürften, was mit ihren Daten geschieht.

Zu den Standortdaten im Datensatz gehören außerdem sogenannte Mobile Advertising IDs. Diese Werbe-Kennungen funktionieren wie Nummernschilder und machen Nutzer*innen eindeutig erkennbar. Zu finden sind auch Infos über das verwendete Handy-Modell und Netzbetreiber, etwa Vodafone oder Telekom.

Die Karte zeigt die Handy-Ortungen von nur einer Stunde aus unserem Datensatz. - Alle Rechte vorbehalten Martin Gundersen/NRK

Gemeinsam mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern haben wir den Datensatz mehrere Monate lang analysiert, Betroffene identifiziert, mit App-Betreibern und AdTech-Unternehmen gesprochen. Wir veröffentlichen die ersten Ergebnisse gemeinsam mit Le Monde (Frankreich), SRF/RTS (Schweiz), NRK Beta (Norwegen), BNR Nieuwsradio (Niederlande) und Dagens Nyheter (Schweden).

Es ist eine Fortsetzung der Databroker Files, unseren Recherchen zu Online-Werbung und Datenhändlern. Im Mittelpunkt steht ein neuer Datensatz, den wir vom US-Datenhändler Datastream Group erhalten haben. Darin befinden sich neben Werbe-IDs und Standortdaten auch die Verbindungen zu Apps von Android und iOS. Inzwischen tritt die Datastream Group unter dem Namen Datasys auf. Auf unsere Presseanfragen hat das Unternehmen nicht reagiert.

Jüngst hat die Kritik am Datenhandel Fahrt aufgenommen, weil Hacker erbeutete Daten eines anderen Databrokers aus den USA veröffentlicht haben: Gravy Analytics. Das Leak offenbarte ebenfalls Tausende Apps, deren Daten bei Databrokern kursieren.

Die Liste der Apps im uns vorliegenden Datensatz ist jedoch länger. Auch können wir erstmals differenzieren, zu welchen Apps es nur sehr grobe Standortdaten gibt – und bei welchen Apps exakte Ortungen von Nutzer*innen vorliegen. Gerade die genauen Standortdaten gefährden Nutzer*innen besonders, da sie Rückschlüsse auf ihre Privatadresse und Bewegungsprofile zulassen.

Wetter Online, Kleinanzeigen, Focus Online und mehr

Die rund 40.000 Apps im neuen Datensatz decken eine breite Vielfalt an Kategorien ab: über Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung. Darunter sind einige der beliebtestens Apps der Welt, teils millionenfach heruntergeladen.

Zu einigen der Apps konnten wir auffällig exakte Standortdaten finden. Eine davon ist Deutschlands populärste Wetter-App, Wetter Online. An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzer*innen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzer*innen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24.

Weitet man den Blick auf alle Standortdaten im Datensatz, so entdeckt man weitere bekannte Apps – darunter Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich.

Als Reaktion auf unsere Recherche fordert das Bundesministerium für Verbraucherschutz „konsequentes Handeln“ und einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Um die Erhebung der Daten zu verhindern, seien auch die Hersteller der Betriebssysteme und Handys gefragt. Der Verbraucherzentrale Bundesverband (vzbv) spricht von „skrupellosen“ Datenhändlern, denen Verbraucher*innen „schutzlos ausgeliefert“ sind.

Kontrolle über eigene Daten ist eine Täuschung

Was lässt sich lernen aus diesem einen ganz normalen Tag in der Welt der werbebasierten Massenüberwachung? Unsere Recherche zeigt: Nutzer*innen haben keine Kontrolle über ihre Daten. Auch wenn die Werbe-Industrie mit ihren Transparenz-Labels und Einwilligungs-Abfragen gerne einen anderen Eindruck erwecken möchte. Anhand unseres Datensatzes können wir verfolgen, wo Millionen Menschen auf der ganzen Welt welche Apps benutzen.

Die Daten gelangen aus dem Werbe-Ökosystem an Datenhändler, werden zusammengerührt und weiterverkauft, auch zu anderen Zwecken als Werbung. Das kann absichtlich passieren oder durch Nachlässigkeit. Die verantwortlichen AdTech-Unternehmen können dabei in der Masse untergehen. So wird aus dem Geschäft zu Werbezwecken ein Geschäft zur Massenüberwachung.

Nicht alle Apps im Datensatz sind in gleichem Ausmaß an der Überwachung ihrer Nutzer*innen beteiligt. Das Spektrum beginnt bei Apps, die schon im Google Play Store oder in Apples App Store offenlegen: Ja, wir orten unsere Nutzer*innen präzise, auch wenn es für die App nicht nötig wäre, und wir können diese Daten mit Dritten teilen.

Das Spektrum endet bei Apps, die nach eigenen Angaben keine Standortdaten erheben. Auf den ersten Blick mag das überraschen. Dass selbst augenscheinlich datensparsame Apps in diesem Datensatz landen konnten, zeugt von den verschlungenen Wegen, auf denen Databroker an ihre Ware gelangen. Dazu später mehr.

Potenziell Millionen Nutzer*innen von Wetter Online betroffen

Welche Apps laufen also auf den rund 795.000 Handys, die an einem Tag in Deutschland geortet wurden und in unserem Datensatz gelandet sind? Zu den spannendsten gehören zwei miteinander verwandte Wetter-Apps: „Wetter Online mit Regenradar“ und „RegenRadar mit Unwetterwarnung“, beide angeboten von der WetterOnline GmbH.

Im Ranking der meist genutzten Wetter-Apps in Deutschland steht „WetterOnline mit RegenRadar“ derzeit auf Platz 1, sowohl für iOS als auch für Android. Allein im Play Store verzeichnet die App mehr als 100 Millionen Downloads.

Auch in unserem Datensatz haben die Wetter-Online-Apps Spitzenpositionen: Sie sind unter den Apps mit den meisten in Deutschland georteten Handys. Allein „Wetter Online mit Regenradar“ für Android läuft auf rund 34.875 Handys, die laut Datensatz am 2. Juli 2024 in Deutschland geortet wurden.

Unter den Apps, die im Datensatz die meisten Standortdaten aus Deutschland aufweisen, sind die Wetter-Online-Apps ebenso weit vorne. Oft haben deren entsprechende Geo-Koordinaten sechs Nachkommastellen; das verspricht eine Genauigkeit von unter einem Meter.

Unser Datensatz deckt nur einen Tag ab; entsprechend schwierig ist es, darin die möglichen Bewegungsprofile von Personen zu erkennen. Es ist uns trotzdem gelungen, getrackte Wetter-Online-Nutzer*innen zu identifzieren. Dabei halfen uns Standortdaten aus anderen Datensätzen, die uns dank vergangener Recherchen vorliegen. Häufungen von Handy-Ortungen führten uns zu den Wohnadressen der Nutzer*innen. Zwei Personen bestätigen uns: Ja, sie erkennen sich in den Daten wieder, und ja, sie nutzen Wetter Online.

Über eine der Personen fanden wir sogar noch mehr heraus: Sie lebte laut unseren Daten in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik in einer bayerischen Großstadt. Zum Schutz ihrer Privatsphäre nennen wir ihren Namen nicht.

Wetter Online schweigt

Auf der eigenen Website nennt Wetter Online sogenannte Werbepartner, also Unternehmen, die Daten von Nutzer*innen erhalten können. Stand 10. Januar sind das insgesamt 833, darunter Branchenriesen wie Google und Microsoft-Tochter Xandr. Laut Eintrag im Google Play Store darf Wetter Online den genauen Standort zwecks Werbung und Marketing teilen.

Wie stellt Wetter Online sicher, dass die mit anderen Firmen geteilten Daten nicht weiter verbreitet werden? Wie erklärt sich Wetter Online, dass Standortdaten seiner Nutzer*innen bei Databrokern landen konnten? Auch nach mehrfachen Kontaktversuchen per E-Mail und Telefon erhielten wir keine Antworten.

Das Fazit ist ernüchternd: Die teils genauen Standortdaten von Zehntausenden Wetter-Online-Nutzer*innen aus Deutschland sind in unserem Datensatz. Viele Millionen weitere Nutzer*innen der populärsten Wetter-App Deutschlands könnten potenziell betroffen sein. Aber es gibt keine Erklärung, wie die Daten an Databroker geflossen sind.

Was sagt die Datenschutzbehörde dazu? Wetter Online hat seinen Sitz in Bonn, zuständig ist also die Landesdatenschutzbeauftragte Nordrhein-Westfalen. Zu konkreten Fällen äußern will sich die Behörde auf Anfrage nicht. Generell teilt ein Sprecher mit: Standortdaten seien besonders schützenswert, da sich damit Bewegungsprofile erstellen ließen – für Zwecke der Werbung und Überwachung.

Die von Nutzer*innen eingeholten Einwilligungen nach der DSGVO seien praktisch meist unwirksam, „weil nicht hinreichend transparent über den Umgang mit den Daten aufgeklärt wird“, so der Sprecher weiter. Verbraucher*innen sei „dringend davon abzuraten, in einen Handel mit den eigenen Standortdaten einzuwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann“.

Apps können vulnerable Gruppen exponieren

Bereits im Sommer 2024 haben wir einen umfangreichen Datensatz untersucht, den wir von der Datastream Group erhielten. Vermittelt wurde der Kontakt zu dem Datenhändler über den Berliner Datenmarktplatz Datarade. Datarade betont auf Anfrage, dass es als Vermittler selbst keine Daten speichere. „Anbieter nutzen Datarade, um Profile und Angebote zu veröffentlichen, sodass Nutzer*innen sie direkt kontaktieren können“, schreibt uns die Plattform auf Englisch. Wer auf Datarade personenbezogene Daten anbiete, müsse laut Richtlinien entsprechende Einwilligungen vorhalten.

Damals hatten wir aufgedeckt, wie offen gehandelte Standortdaten aus Handy-Apps Menschen gefährden können. Stalker*innen können ihren Opfern nachstellen. Wer in sicherheitsrelevanten Bereichen wie Behörden, Militär und Geheimdiensten arbeitet, kann erpressbar werden. So offenbarten die Standortdaten von Databrokern etwa auch Besuche in Bordellen, Suchtkliniken oder Gefängnissen.

Nun haben wir einen neuen Datensatz, der zusätzlich verrät, welche Apps eine Person verwendet. Im Datensatz sind viele unverfängliche Apps, die praktisch jede*r haben könnte, etwa fürs Wetter. Zu finden sind allerdings auch Apps, die besonders sensible Einblicke liefern – etwas, wovor die Datenschutzgrundverordnung (DSGVO) Menschen in der EU eigentlich schützen sollte.

  • Dating-Apps können offenbaren, dass jemand gerade auf Partner*innen-Suche ist. In unserem Datensatz vertreten sind auch queere Dating-Apps wie Grindr oder Hornet, von denen sich auf die sexuelle Orientierung schließen lässt. Solche Informationen gelten laut Artikel 9 der DSGVO als besonders sensibel.
  • Gesundheits-Apps können etwas über Krankheiten und Lebensumstände verraten. So fanden sich in unserem Datensatz mehrere Apps für Patient*innen mit Blutdruck-Problemen. Auch dabei waren Apps zum Tracken der Periode. Gesundheitsdaten fallen ebenso unter Artikel 9 der DSGVO.
  • Gebets-Apps legen nahe, dass eine Person eine Religion praktiziert. Im Datensatz fanden wir mehrere Apps für Verse aus der Bibel oder dem Koran. Als besonders schützenswert beschreibt die DSGVO ausdrücklich Daten zu „religiösen oder weltanschaulichen Überzeugungen“.
Populäre Apps, genaue Standorte

Schon die Information, wer welche App verwendet, kann also für manche ein Risiko sein. Hinzu kommen Angaben zu genutzten Geräten und Betriebssystemen. So lassen sich Stück für Stück umfangreiche Profile von Menschen erstellen. Und dann sind da noch die Standortdaten, die mehr oder weniger genau verraten, wo sich eine Person aufhält.

Aus den rund 40.000 Apps im Datensatz haben wir zunächst mehrere Tausend als potenziell bedenklich herausgefiltert. Das Kriterium: Die ihnen zugeordneten Standortdaten sind möglicherweise genau genug für detaillierte Bewegungsmuster. Ihre Nutzer*innen wären dadurch besonders gefährdet. Da im Datensatz überwiegend Android-Apps mit aussagekräftigen Daten vertreten waren, haben wir uns auf sie konzentriert.

Doch auch diese Liste war zu lang, um alle dazu gehörigen Apps einzeln in Augenschein zu nehmen. Deshalb haben wir eine Auswahl erstellt und die dazu gehörigen Standortdaten unter die Lupe genommen. Für diese Auswahl haben wir besonders solche Apps berücksichtigt, die auch für Nutzer*innen in Deutschland relevant sind. Außerdem haben wir darauf geachtet, dass unsere Auswahl eine Bandbreite verschiedener Apps abbildet.

Andere verdienen ihr Geld mit euren Daten, wir nicht! Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.

Jetzt Spenden

Konkret haben wir geprüft, welche Muster sich aus den Standortdaten ergeben und ob diese Muster für eine genaue Ortung sprechen – etwa durch Häufungen von Standorten in Gebäuden oder entlang von Straßen und Wegen. Auch wenn es üblich ist, dass Databroker mit solchen Standortdaten handeln: Es lässt sich nicht belegen, dass alle Einträge im Datensatz korrekt sind, also dass die Standortdaten zutreffen und von den App-Nutzer*innen stammen.

Vieles spricht jedoch dafür, dass zumindest ein großer Teil korrekt ist: So fanden wir mehrere Übereinstimmungen mit Bewegungsmustern und Werbe-IDs aus dem Datensatz unserer ersten Recherche. Das internationale Team konnte zudem Nutzer*innen einzelner Apps identifizieren. Die Anbieter der Apps hinter den von uns näher untersuchten Daten haben wir um Stellungnahme gebeten.

Das Wichtigste vorab: Kein Unternehmen, das uns geantwortet hat, will Beziehungen zur Datastream Group oder Gravy Analytics haben.

  • Focus Online ist eines der reichweitenstärksten Nachrichten-Portale in Deutschland. Zur Erfassung genauer Standortdaten von Nutzer*innen haben wir dem Anbieter, Burda Forward GmbH aus München, Fragen geschickt. Zumindest innerhalb der Frist konnte sich das Unternehmen zunächst nicht inhaltlich äußern. Update 5. Januar, 16:45 Uhr: Eine Antwort des Unternehmens erreichte uns nach der Veröffentlichung des Textes. Demnach habe Burda Forward keine Geschäftsbeziehungen zu dem Datenhändler; auch Geschäftspartner seien nicht autorisiert worden, Userdaten an ihn weiterzugeben. „Besorgt nehmen wir diesen weltweiten Datenmissbrauch zur Kenntnis und hoffen sehr, dass eine Aufklärung erfolgt, an welcher Stelle die rechtswidrige Weitergabe von Daten stattgefunden hat.
  • Mit FlightRadar24 lassen sich weltweit und in Echtzeit Flüge verfolgen, die App wurde allein im Play Store mehr als 50 Millionen mal heruntergeladen. Der Anbieter mit Sitz in Schweden hat ebenso nicht auf unsere Anfrage reagiert.
  • Kleinanzeigen, früher bekannt als Ebay Kleinanzeigen, bezeichnet sich selbst als „Deutschlands meistbesuchtes Kleinanzeigen-Portal“. Antworten auf unsere Fragen erhielten wir nicht.
  • Kik ist ein kostenloser Messenger ohne Ende-zu-Ende-Verschlüsselung. Unsere norwegischen Kolleg*innen von NRK Beta fanden mithilfe des Datensatzes eine Person, die den Messenger nutzt. Sie sagt: „Ich finde das beängstigend und möchte nicht, dass irgendjemand ständig weiß, wo ich bin und was ich mache. Das ist auch ein Grund, warum ich nicht mehr im Telefonbuch stehe.“ Von der US-amerikanischen Firma hinter Kik, MediaLab, gab es keine Antwort auf unsere Anfragen.
  • Unter dem Namen WordBit gibt es dutzende Sprach-Lern-Apps, die auch in großer Zahl in unserem Datensatz auftauchen. Die Anzahl der Apps ist so hoch, weil WordBit je eigene Apps für verschiedene Kombinationen aus Mutter- und Fremdsprachen anbietet. Vonseiten der Anbieter, die ihren Firmensitz auf der eigenen Website nicht offenlegen, gab es keine Reaktion.
  • Hornet ist eine queere Dating-App mit nach eigenen Angaben mehr als 35 Millionen Nutzer*innen. Auf Anfrage schreibt Hornet-CEO Christof Wittig: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“ Das betreffe aber wahrscheinlich von IP-Adressen abgeleitete Standorte. Als wir dem sichtlich erstaunten CEO beschreiben, dass uns durchaus genaue Standortdaten vorliegen, kündigt er eine Untersuchung an. „Unter keinen Umständen teilt Hornet absichtlich echte Geodaten“, betont Wittig.
Populäre Apps, ungefähre Standorte

Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse. Diese Adresse erhält man über den Anbieter seines Internet-Zugangs; sie wird bei der Nutzung von Apps und Websites automatisch übermittelt.

Die IP-Adresse hat zunächst keine direkte Verbindung zu einem Standort. Internetanbieter weisen jedoch ihren Netzknoten bestimmte Adressen zu. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer sind die Daten aktuell. Bei dieser IP-basierten Ortung können auch spektakuläre Fehler passieren. Teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.

Diese IP-basierte Ortung rückt Nutzer*innen weniger eng auf die Pelle. Anders als beim Zugriff auf den GPS-Standort müssen Apps für die IP-Adresse nicht gesondert um Erlaubnis bitten, weil sie technisch gesehen kein Standort ist. Somit können auch dem Anschein nach datensparsame Apps betroffen sein.

Auch in unserem Datensatz fanden wir datensparsame Apps, deren Entwickler sich im direkten Gespräch ratlos zeigten. Sie konnten nicht nachvollziehen, wie Werbe-IDs ihrer Nutzer*innen bei Databrokern landen konnten.

Dennoch kann IP-basierte Ortung je nach Lebenslage verräterisch sein, lassen sich damit doch Städetrips oder Auslandsreisen ablesen. Ein heimliches Doppelleben? Konspirative Treffen im Ausland? Die IP-Adresse kann es verraten. Hinzu kommen die weiteren Eckdaten aus dem Datensatz wie Handy-Modell und Werbe-Kennung. All das kann dabei helfen, eine Person eindeutig zu identifzieren.

Auch unter den Apps mit offenbar IP-basierter Handy-Ortung gibt es viele deutsche Nutzer*innen. Wir haben einige der App-Betreiber*innen um Stellungnahme gebeten. Unsere Auswahl bildet wieder eine Bandbreite ab – darunter sind einige der weltweit populärsten Apps.

  • Candy Crush Saga gehört mit mehr als einer Milliarde Downloads allein im Google Play Store zu den populärsten Handy-Spielen der Welt. Vom internationalen Anbieter – King – erhielten wir keine Antworten auf unsere Anfragen.
  • Happy Color bezeichnet sich selbst als „das weltweit beliebteste Gratis-Ausmalspiel“, mehr als 100 Millionen Mal wurde es im Play Store heruntergeladen. Die Zielgruppe dürfte schon bei jüngeren Kindern beginnen. Immerhin wirbt Happy Color damit, dass man mit wenigen Fingertipps Simba aus dem Disney-Klassiker „König der Löwen“ ausmalen kann. Mehr als 38.000 verschiedene Werbe-Kennungen von Happy-Color-Nutzer*innen aus Deutschland finden sich im Datensatz. Der Anbieter X-Flow mit Sitz in Zypern hat auf unsere Anfrage nicht reagiert.
  • Auf Vinted können Nutzer*innen etwa Second-Hand-Kleidung und Kosmetik verkaufen, frühere Töchter der Plattform waren Kleiderkreisel und Mamikreisel. Der Anbieter aus Litauen schreibt, er untersuche, wie Nutzer*innen etwa durch Drittanbieter betroffen sein könnten.
  • Grindr bezeichnet sich selbst als „weltgrößte Netzwerk-App für schwule, bi, trans und queere Menschen“. Die US-amerikansiche Firma hat unsere Anfrage nicht beantwortet.
  • Lovoo und Jaumo sind beides Dating-Apps mit Sitz in Deutschland. Von Jaumo gab es keine Antwort auf unsere Fragen. Ein Lovoo-Sprecher lässt uns wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Daten über deren sexuelle Orientierung gebe man grundsätzlich nicht weiter. Mit externen Partnern bestünden zudem Datenschutzvereinbarungen.
  • upday ist ein Newsaggregator, den der Axel-Springer-Konzern mit Samsung entwickelt hat. Unsere Presseanfrage blieb unbeantwortet.
  • web.de und gmx sind in Deutschland ansässige Portale für kostenlose E-Mail-Postfächer und Nachrichten. Sie gehören zur selben Unternehmensgruppe. Auf Anfrage erklärt ein Pressesprecher, aus den Apps von web.de und gmx würden keine Standortdaten stammen.
Daten aus dem Real Time Bidding

Warum reagieren die meisten App-Betreiber*innen so schmallippig auf die Frage, wie genau die Daten ihrer Nutzer*innen geflossen sind? Möglicherweise kennen sie die Antwort selbst nicht genau. Denn die Wege der Daten sind selbst für Insider verschlungen.

Vieles spricht dafür, dass der uns vorliegende Datensatz größtenteils aus dem sogenannten Real Time Bidding (RTB) stammt. RTB entscheidet darüber, welches Unternehmen uns Online-Werbung vor die Nase setzt. Alles geschieht automatisiert innerhalb von Millisekunden („real time“) durch eine Auktion („bidding“).

Damit diese Auktion stattfinden kann, funkt eine App ein Info-Paket an eine oder mehrere Plattformen. Von dort fließt das Paket an hunderte oder tausende Firmen. Es enthält die sogenannten Bidstream-Daten, darunter die Werbe-ID und unsere IP-Adresse. Per IP-Adresse lässt sich auf die Region schließen, in der wir uns aufhalten. Als würde ein Marktschreier rufen: „Werbeplatz in Dating-App aus Leipzig zu vergeben!“

Mehr noch: Die unzähligen Empfänger der Bidstream-Daten können uns dank früherer Datensammlungen zusätzlich in Schubladen stecken, sogenannte Segmente. Diese Segmente sollen uns etwa als „fragile Senioren“ outen oder als „Shopping-versessene Mütter“.

Dann bieten die Unternehmen Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Werbung ausspielen – aber unsere Daten haben alle bekommen.

Die Datensammler handeln im Verborgenen

In der Masse der Beteiligten reicht es, wenn nur ein Unternehmen diese Daten abzwackt, um daraus Pakete für Databroker zu schnüren. Weder die App-Anbieter*innen noch die Nutzer*innen bekommen das direkt mit.

Eine Anhäufung solcher Bidstream-Daten ist offenbar der uns vorliegende Datensatz. Ein großer Teil der Standortdaten aus unserem Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabelle entspricht den für RTB üblichen Standards, wie uns mehrere Branchenkenner bestätigten.

Es gibt außerdem Hinweise, dass Daten wie die uns vorliegenden durch mehrere Hände gingen – und nicht exklusiv bei nur einem Databroker kursierten. In einem Online-Forum schreibt ein Nutzer über einen identisch strukturierten Datensatz, jedoch mit Verweis auf eine völlige andere Quelle. Unsere Gratis-Probe mit 380 Millionen Einträgen ist für Insider*innen also gar nicht mal so ungewöhnlich.

Dafür spricht auch der bereits erwähnte Leak von Gravy Analytics: Darin finden sich zahlreiche Apps, die ebenso im uns vorliegenden Datensatz der Datastream Group vertreten sind: Candy Crush, Grindr, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen und viele mehr. Die Parallelen zwischen diesen beiden Quellen unterstreichen: Das Geschäft mit unseren Handy-Daten führt zu einem umfassenden Kontrollverlust. Allerdings enthält der Gravy-Analytics-Leak offenbar vor allem IP-basierte Standortdaten, während der uns vorliegende Datensatz für einige Apps eine metergenaue Ortung nahelegt.

Datenschutzbehörde: „Jenseits der Spielregeln, die vereinbart sind“

Wir haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Die Erkenntnisse aus unserer Recherche beschreibt er im Interview als „ernüchternd“ und „erschreckend“. Der Datenschützer sieht darin einen krassen Vertrauensbruch. „Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben.“ Der Datenhändler hätte diese Daten nicht haben dürfen. „Das ist jenseits der Spielregeln, die vereinbart sind.“

„Schnauze voll!“ – das sagen Betroffene

Mit Spielregeln ist unter anderem die DSGVO gemeint. Das Gesetz sieht vor, dass Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Datensammlungen zu Werbezwecken, da sind die Datenschutzbehörden deutlich, bedürfen zum Beispiel einer informierten Einwilligung der Betroffenen. Zudem dürfen Daten nur zu dem Zweck verarbeitet werden, dem die Nutzer*innen zugestimmt haben, in diesem Fall also Marketing und Werbung. Auch mehrere Apps aus unserem Datensatz bitten Nutzer*innen um Einwilligungen zu diesem Zweck. Nutzer*innen können in vielen Fällen jedoch kaum überblicken, an wen die Daten übermittelt werden. Beim Verkauf von Daten wird zudem der Zweck verändert.

Zum Real Time Bidding merkt Michael Will kritisch an: Wer mit dessen Hilfe Werbung ausspielt, müsse sich fragen, ob die eigenen Vertragspartner wirklich vertragstreu seien.

In Folge der Recherche will die Datenschutzbehörde selbst aktiv werden. „Wir haben Untersuchungsbefugnisse. Von denen werden wir jetzt auf Grundlage Ihrer Informationen auch intensiv Gebrauch machen“, sagt Will – und weist darauf hin, dass seine Behörde auch Sanktionen aussprechen kann. „Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen.“

Wie die Werbeindustrie zur Gefahr für alle wurde

Standortdaten sind ein wichtiger Rohstoff in der Industrie der Online-Werbung. Anzeigen können damit Zielpersonen erreichen, die sich an bestimmten Orten aufhalten, etwa an Flughäfen, in Casinos oder im Regierungsviertel. In den USA beispielsweise wird das auch im Wahlkampf eingesetzt. Wer bestimmte Wahlkampf-Events besucht hat, kann daraufhin gezielte Online-Werbung von Parteien ausgespielt bekommen.

2023 deckte netzpolitik.org gemeinsam mit dem Privacy-Forscher Wolfie Christl auf, wie uns die Werbeindustrie in 650.000 unterschiedliche Segmente steckt. Grundlage war die versehentlich veröffentlichte Angebotsliste des Datenmarktplatzes Xandr, einer Microsoft-Tochter. Viele der Segmente basierten auf Standorten: Menschen, die in die Kirche gehen oder in Sexshops; die in wohlhabenden Vierteln wohnen oder auf dem Land.

Adtech-Firmen leiten also aus besuchten Orten Eigenschaften von Menschen ab, die sie dann für zielgerichtete Werbung einsetzen. Erst Ende 2024 stufte die US-amerikanische Regulierungsbehörde FTC diese Praxis zum Teil als rechtswidrig ein und verbot zwei Adtech-Firmen etwa aus Besuchen bei Praxen und Kliniken Gesundheitsinformationen abzuleiten.

In dem Geschäft mischen jedoch nicht nur US-Firmen mit, wie unsere Xandr-Recherche zeigte, auch mehrere deutsche Unternehmen haben ortsbezogenes Targeting im Angebot.

Die umfassende Analyse unserer Bewegungen und Eigenschaften soll uns besonders anfällig für zielgerichtete Werbung machen. Wie die Xandr-Recherche zeigte, zielen viele der Segmente auf Schwächen von Menschen ab – etwa Personen, die nicht mit Geld umgehen können, die bestimmte Krankheiten haben oder in familiären Schwierigkeiten stecken.

Längst ist bekannt, dass nicht nur die Werbebranche diese Daten nutzt, sondern auch Geheimdienste. Der Fachbegriff dafür ist ADINT (Advertising-based Intelligence). Gegen ADINT sind Bundeswehr und NATO schlecht gerüstet, wie unsere früheren Recherchen zum Datenhandel zeigten.

Globale Überwachung durch Online-Werbung Eine Stunde aus unserem Datensatz mit Handy-Ortungen rund um den Globus. - Alle Rechte vorbehalten Martin Gundersen/NRK

Deutschland ist nur eines von 137 Ländern in unserem Datensatz. Die Anzahl der anhand ihrer Werbe-ID georteten Handys unterscheidet sich drastisch von Land zu Land. Insgesamt erfasst wurden 47 Millionen Geräte. Ganz vorne liegen die USA mit rund 33 Millionen verschiedenen Werbe-IDs an nur einem Tag. Deutschland ist mit rund 795.000 Werbe-IDs auf Platz 7. Zu den in Deutschland georteten Handys liegen rund 13 Millionen Standortdaten vor.

Weniger aussagekräftig sind die Daten aus insgesamt 73 Ländern, in denen weniger als 1.000 Handys geortet wurden.

„Länder mit den meisten Geräte-IDs im Datensatz“ von Datawrapper anzeigen

Es werden Daten an Datawrapper übertragen.

Inhalt von Datawrapper immer anzeigen

„Länder mit den meisten Geräte-IDs im Datensatz“ direkt öffnen

var _oembed_872c9eeb76edfbf065f6a7adfa221ecc = '{\"embed\":\"<iframe title="Länder mit den meisten Geräte-IDs im Datensatz" aria-label="Tabelle" id="datawrapper-chart-VMzYv" src="https:\\/\\/datawrapper.dwcdn.net\\/VMzYv\\/3\\/" scrolling="no" frameborder="0" style="width: 0; min-width: 100% !important; border: none;" height="924" data-external="1"><\\/iframe><script type="text\\/javascript">!function(){"use strict";window.addEventListener("message",(function(a){if(void 0!==a.data["datawrapper-height"]){var e=document.querySelectorAll("iframe");for(var t in a.data["datawrapper-height"])for(var r=0;r<e.length;r++)if(e[r].contentWindow===a.source){var i=a.data["datawrapper-height"][t]+"px";e[r].style.height=i}}}))}();<\\/script>\"}';

Das Ranking beschreibt jedoch nur die Proportionen unseres Datensatzes. Ein repräsentatives Bild der weltweiten Überwachung durch Handy-Werbung kann es nicht liefern. Immerhin ist die Grundlage nur der Vorschau-Datensatz eines einzelnen US-Databrokers, datiert auf einen einzigen Tag.

Außerdem sind Zweifel an der Verlässlichkeit von gehandelten Daten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Größe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Angebote aufgebläht. Das NATO-Forschungszentrum Stratcom hat dazu geforscht und schreibt im Jahr 2021: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

Dennoch haben unsere Recherchen mehrfach gezeigt: Auch mit schlecht gepflegten Datensätzen lassen sich Menschen in großem Stil überwachen.

Verbraucherschutzministerium fordert „effektiven EU-weiten Schutz“

Die ersten Veröffentlichungen zu den Databroker Files schlugen im Sommer hohe Wellen; Politik und Zivilgesellschaft äußerten sich schockiert und forderten Konsequenzen.

Das ist auch dieses Mal so. Das Bundesministerium für Verbraucherschutz schreibt mit Blick auf die neusten Erkenntnisse: Schon die Erhebung der Daten, mit denen Databroker handeln, müsse verhindert werden, „Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind.“ Das Ministerium setze sich unverändert für einen „konsequenten Wechsel auf alternative Werbemodelle“ ein.

Zudem fordert das Verbraucherschutzministerium technische Standards, die verhindern, dass Geräte identifizierende Daten überhaupt erheben. „Hier sind auch die Hersteller der Betriebssysteme und Endgeräte gefragt.“ Zuletzt brauche es ein konsequentes Vorgehen der Aufsichtsbehörden.

Werbemarkt „jeglicher Kontrolle entzogen“

Von einem „enormen Kontrollverlust“ spricht angesichts der neuen Recherche Martin Baumann von der Datenschutzorganisation noyb. Den wenigsten sei bewusst, dass ihre Daten an zahlreiche Firmen auf der ganzen Welt übermittelt werden, von diesen gehandelt werden und umfangreiche Profilbildung ermöglichen. Für die Einzelnen sei es „quasi ausgeschlossen, nachzuvollziehen, wo ihre Daten landen“, so Baumann. „Den Nutzern wird die Kontrolle über ihre Daten faktisch entzogen.“

Sieben Wege, um deinen Standort vor Databrokern zu schützen

„Die aktuellen Erkenntnisse zeigen und bestätigen erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen hat“, kommentiert auch Michaela Schröder vom Verbraucherzentrale Bundesverband (vzbv) die Entwicklung. „Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen.“

Verbraucher*innen seien den massiven Risiken aus dem Datenhandel schutzlos ausgeliefert. Der vzbv fordert deshalb Konsequenzen auf europäischer Ebene. „Es ist längst überfällig, dass die Europäische Kommission die Verbraucher*innen wirksam schützt und einen Vorschlag vorlegt, personalisierte Werbung zu verbieten – etwa über den angekündigten Digital Fairness Act“, so Schröder.

Der Ball liegt bei der EU

Die EU hatte bereits eine Chance, die Gefahren durch die Datensammelei der Werbe-Industrie einzudämmen. Die ePrivacy-Verordnung hätte vor Tracking und Profilbildung zu Werbezwecken schützen können. Doch der Plan ist am Lobbying der Konzerne gescheitert. In diesem Jahr kann sich eine neue Chance auftun.

Der kommende „Digital Fairness Act“ soll Lücken für Verbraucher*innen stopfen. Einen Entwurf hat die EU-Kommission noch nicht vorgelegt, aber sie hat Themen gesammelt. Auch Tracking gehört dazu. Ein Verbot war bislang wohl nicht angedacht.

Genau das bräuchte es jedoch, fordert etwa der Chaos Computer Club in einem Positionspapier: „Um alternative Werbemodelle zu stärken, sollte die neue EU-Kommission digitale Fairness ernst nehmen und ein Verbot von personalisierter Werbung auf den Weg bringen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Medienberichte: EU-Kommission soll bei der Durchsetzung von Plattformregeln zögern

netzpolitik.org - 14 Januar, 2025 - 18:43

Laut Medienberichten gibt es auf hoher Ebene der EU-Kommission Diskussionen um den Digital Markets Act. Das Gesetz soll eigentlich die Macht großer Online-Plattformen einschränken. Nun will die EU-Kommission angeblich alle schon eingeleiteten Verfahren überprüfen. Für die Zivilgesellschaft wäre das ein großer Fehler.

Selbstfindung in Orange. – Public Domain Download a pic Donate a buck! ^

Die EU-Kommission soll intern ihre Untersuchungen zu großen Unternehmen in der Digitalwirtschaft auf den Prüfstand gestellt haben. Das berichtete heute die Financial Times mit Verweis auf interne Quellen. In der vergangenen Woche hatte Le Monde ähnliches geschrieben, sich dabei allerdings auf den Digital Services Act (DSA) bezogen.

Laut der Financial Times geht es um Untersuchungen unter dem Digital Markets Act (DMA), mit dem die EU die Übermacht von Plattformen wie Google und Facebook einschränken will. Dabei soll die Kommission alle ihre Untersuchungen überprüfen, die sie bisher unter dem DMA eröffnet hat. Laut der Zeitung soll in dieser Zeit nicht über mögliche Strafzahlungen entschieden werden. Die eigentliche Arbeit an den Untersuchungen soll aber weitergehen.

Der DMA betrifft in erster Linie sogenannte Gatekeeper. Damit sind sehr große Digitalunternehmen gemeint, die zentrale Plattformdienste zur Verfügung stellen und eine Schlüsselposition in digitalen Märkten einnehmen. Insgesamt sieben Unternehmen erfüllen derzeit die Bedingungen, um derart eingestuft zu werden. Dazu zählen etwa Alphabet, Apple oder Meta, aber nicht das zuletzt hoch umstrittene X des US-Milliardärs Elon Musk. Für sie gelten besonders strenge Regeln, bei Verstößen drohen ihnen Geldbußen von bis zu zehn Prozent des weltweiten Gesamtumsatzes.

Nur normale Treffen, sagt Kommission

Die Kommission bestreitet auf Anfrage die Darstellung. Sie sei weiterhin fest entschlossen, den Digital Markets Act und sein Schwestergesetz, den Digital Services Act, durchzusetzen, betonte heute ein Sprecher der Kommission. Es gebe keine solche Überprüfung.

„Was wir haben werden, sind Treffen, um die Ausgereiftheit von Fällen zu bewerten und die Verteilung von Ressourcen sowie die allgemeine Bereitschaft der Untersuchungen zu beurteilen“, so der Sprecher weiter. Das seien normale Schritte, die im gesamten Lebenszyklus von Fällen im Tech-Bereich passieren würden.

Auch ansonsten betont die Kommission, dass die technische Arbeit in den DMA-Fällen sehr komplex sei. Deshalb würden die Untersuchungen weiterhin andauern. Der letzte Schritt aus den Untersuchungen, der öffentlich geworden ist, war die Verkündung von vorläufigen Ergebnissen gegen Apple und Meta im vergangenen Sommer.

Ergebnisse müssen wasserdicht sein

Bei Apple geht es dabei um die Regeln für App-Entwickler:innen. Diese sollen unter dem DMA eigentlich Kund:innen frei auf Angebote außerhalb des App Stores weiterleiten können. Hier reichten die Anpassungen von Apple laut Sicht der Kommission nicht aus. Bei Meta bemängelte die Kommission das „Pay or Consent“-Modell des Unternehmens. Unter diesem müssen Nutzer:innen entweder ihre Daten hergeben oder bezahlen, wenn sie Facebook oder Instagram nutzen wollen.

Die Kommission schickte diese vorläufigen Ergebnisse an die beiden Unternehmen – und die durften dann Widerspruch dagegen einlegen. Dafür bekommen sie auch Zugang zu allen Dokumenten, die die Kommission im Laufe der jeweiligen Untersuchung angelegt hat. Und es sind Konzerne mit prall gefüllten Geldbeuteln, für die es in diesen Fällen um sehr viel Geld geht. Man kann davon ausgehen, dass sie für ihre Verteidigung absolut hochwertige Anwält:innen angeheuert haben.

Der Sprecher der Kommission betonte heute deshalb auch: „Bevor wir eine solche Entscheidung beschließen, müssen wir uns sicher sein, dass wir diesen Fall vor Gericht gewinnen werden.“

Die orange Bedrohung

Neben der juristischen Absicherung gibt es aber noch ein zweites, politisches Problem, das Auswirkungen auf die europäischen Regeln haben könnte. Dieses Problem ist orangefarben, jähzornig und wird am kommenden Montag zum zweiten Mal als Präsident der USA eingeschworen werden.

Donald Trump hatte seit der Zeit rund um die US-Wahl verstärkt Kontakt mit Big-Tech-Chefs. Der Kniefall Mark Zuckerbergs in der vergangenen Woche war das neueste Signal in diese Richtung. Zuckerberg hat sich schon über die angebliche „Zensur“ durch europäische Digitalgesetze beschwert und versucht, mit nationalistisch gefärbten Appellen an Trump, EU-Vorgaben abzuwehren.

Auch Apple-Chef Tim Cook hatte Berichten zufolge bereits Kontakt mit Donald Trump und nutzte die Gelegenheit, um EU-Strafen zu kritisieren. „Ich werde nicht zulassen, dass sie sich an unseren Unternehmen bereichern“, will Trump darauf geantwortet haben.

Zivilgesellschaft macht Druck

Der Bericht über mögliche Bedenken bei der Kommission rief kritische Reaktionen hervor. Wenn die Kommission ihren bisherigen starken Kurs zum DMA ändern würde, wäre das ein sehr großer Fehler, sagte Lucas Lasota von der Free Software Foundation Europe (FSFE) zu netzpolitik.org. Die FSFE unterstützt die Kommission aktuell in einem DMA-Gerichtsverfahren gegen Apple.

„Die FSFE hält ihn für ein sehr wichtiges Gesetz“, so Lasota. Der DMA wolle ein ebeneres Spielfeld für alle schaffen. Es gehe nicht um einen Gegensatz EU gegen USA, sondern um Big Tech gegen alle.

Dem stimmt auch Jan Penfrat von Europan Digital Rights zu. „Die DMA-Untersuchungen zu den Gatekeepern zu verlangsamen, herunterzufahren oder zu pausieren, wäre ein großer Fehler der Europäischen Kommission“, sagte er zu netzpolitik.org.

„Wenn die Kommission sich von der Angst vor politischem Gegenwind aus der Trump-Regierung dazu schikanieren lässt, seine DMA-Untersuchungen neu zu bewerten, dann wird diese Schikane – sowohl von Big Tech als auch von Trump – nicht aufhören“, so Penfrat.

Schwab will gründliche Arbeit

Zweifel gab es auch im Europäischen Parlament. So etwa von Stephanie Yon-Courtin, einer liberalen Abgeordneten aus Frankreich, die am Digital Markets Act mitarbeitete. Für „etwas schwach“ hält sie die Antwort der Kommission, laut der diese weiterhin entschlossen sei, ihre Regeln durchzusetzen. „Wir brauchen gegen die Provokationen von Big Tech keine Worte mehr, sondern Taten, und zwar bald“, sagte Yon-Courtin netzpolitik.org.

Wesentlich gelassener zeigt sich der deutsche Christdemokrat Andreas Schwab. Er war auf Parlamentsseite Chefverhandler zum DMA. „Grundsätzlich gilt: Gründlichkeit vor Schnelligkeit, weil der Maßstab in Europa das Rechtsstaatsprinzip ist“, so Schwab. Die Verfahren würden wahrscheinlich vor Gericht landen und in den USA gebe es jetzt schon Zweifel daran, wie seriös die EU handele. „Deshalb muss die Sache sauber durchgezogen werden.“

„Gleichzeitig ist es aber kein Geheimnis, dass die Spitze der Kommission derzeit keinen Ärger mit den USA will“, so Schwab weiter. „Das muss uns noch nicht besorgt machen, wir können eine Reihe von Entscheidungen auch Anfang Februar noch treffen.“ Am kommenden Donnerstag tritt die Arbeitsgruppe des Parlaments zusammen, die sich mit der Durchsetzung des DMA beschäftigt. Dort will er mit Vertreter:innen der Kommission weitere Einzelheiten besprechen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Videoüberwachung: Hamburger Polizei soll KI mit personenbezogenen Daten trainieren

netzpolitik.org - 14 Januar, 2025 - 17:17

Ein kurzfristiger Änderungsantrag zum Hamburger Polizeigesetz sieht vor, personenbezogene Daten und auch Klarnamen in automatisierte Systeme einzuspeisen. Zum KI-Training dürfen die Daten auch an Dritte weitergegeben werden. Morgen wird über den Entwurf von Rot-Grün abgestimmt.

Videokameras am Hansaplatz in Hamburg – Alle Rechte vorbehalten IMAGO / Schöning

In Hamburg wird voraussichtlich am morgigen Mittwoch eine Aktualisierung des Polizeigesetzes verabschiedet. Der bislang vorliegende Entwurf beschäftigt sich vor allem mit DNA-Proben und der Verarbeitung von personenbezogenen Daten. Vor einer Woche veröffentlichten die Hamburger Regierungsparteien SPD und Grüne allerdings kurzfristig einen Änderungsantrag dazu, der ein neues Themenfeld in die Überarbeitung des Polizeigesetzes einbringt. Demnach soll die Hamburger Polizei fortan mit ihr vorliegenden Daten KI-Systeme trainieren dürfen.

In bestimmten Fällen soll das KI-Training unter Verwendung des Klarnamens der Person erfolgen können, von der die Daten stammen. Außerdem soll die Polizei Daten zum KI-Training auch an Dritte weiterleiten dürfen. Beides ist möglich, sobald die inhäusige Datenverarbeitung beziehungsweise die Anonymisierung oder Pseudonymisierung für die Polizei einen „unverhältnismäßigen Aufwand“ bedeuten.

Hintergrund des Änderungsantrages ist wohl Hamburgs Plan, die Videoüberwachung auszubauen und zu automatisieren. Im Juli 2023 ging in Hamburg KI-gestützte Verhaltenserkennung in den Testbetrieb. Die Bilder von vier Kameras auf dem Hansaplatz wurden von einem Programm daraufhin geprüft, ob sie atypisches Verhalten wie Schubsen, Schlagen oder das Zusammenkommen Schaulustiger zeigen. Das überwachungskritische Bündnis Hansaplatz rief zu Protesten auf.

Testlauf führte zu einem einzigen Strafverfahren

In China werden Systeme zur automatischen Verhaltensanalyse auch dazu genutzt, um nicht genehmigte Versammlungen zu identifizieren. Ein solcher Einsatz wäre ebenfalls mit dem Hamburger System technisch möglich.

Der Testlauf der Verhaltenserkennung wird von offiziellen Stellen als erfolgreich eingeordnet. „Die bisherigen Erfahrungen zeigen, dass wir dank der Software sehr frühzeitig auf Gefahrensituationen aufmerksam werden und unmittelbar intervenieren können“, sagte Innensenator Andy Grote (SPD) der dpa. Tatsächlich hatten die Videoanalysen nur ein einziges Strafverfahren zur Folge.

Nun soll die Polizei die eingesetzte KI weiter trainieren dürfen. Die Hamburgische Behörde für Inneres und Sport, die die Videoüberwachung verantwortet, hat auf netzpolitik.org-Anfrage nicht geantwortet.

Unbestimmte Rechtsbegriffe

Die Hamburgische Datenschutzbehörde erachtet es verfassungsrechtlich nicht von vorneherein ausgeschlossen, dass sogenannte intelligente Videoüberwachung auch Realdaten von unbeteiligten Passant:innen auf öffentlich zugänglichen Plätzen verwendet. Allerdings habe das Gesetz eine ausreichende gesetzliche Ermächtigungsgrundlage dafür bislang nicht hergegeben. „Das Ausloten von Möglichkeiten und  Grenzen der Technik darf letztlich nicht der Exekutive überlassen werden“, schreibt die Datenschutzbehörde auf Anfrage von netzpolitik.org.

Die Behörde begrüßt daher die neue Rechtsgrundlage. Die konkrete Ausgestaltung der Norm lasse aber viel Raum für Verbesserungen. „Kritisch zu beurteilen ist vor allem, dass die Norm unbestimmte Rechtsbegriffe wie einen ‚unverhältnismäßigen Aufwand‘ verwendet, dessen Auslegung dann über die Frage der Weitergabe an Dritte oder den Verzicht auf Anonymisierung entscheidet“, schreibt die Datenschutzbehörde weiter. Außerdem müsse eine technologische Abhängigkeit der Polizei etwa von privaten Anbietern vermieden werden.

In einem zweijährigen Anschlussprojekt sollen die Polizei und das Fraunhofer-Institut die automatische Verhaltenserkennung weiterentwickeln – gegebenenfalls auch mit mehr Kameras und an weiteren Orten.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Free Our Feeds: Initiative will soziale Netzwerke vor Milliardären schützen

netzpolitik.org - 14 Januar, 2025 - 17:00

Ein neues spendenfinanziertes Projekt will bis zu 30 Millionen Dollar in die Entwicklung rund um das Bluesky-Protokoll AT Proto investieren, um dieses breiter aufzustellen. Kritiker fürchten, dass das Fediverse-Protokoll ActivityPub nur wenig von der Initiative profitieren könnte.

Bluesky freut sich über die Nutzung seines Protokolls. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Kumiko SHIMIZU

Eine neue Initiative, die von Internetgrößen wie Wikipedia-Gründer Jimmy Wales oder Blogger Cory Doctorow unterstützt wird, will in den nächsten Jahren 30 Millionen Dollar sammeln, um dezentrale soziale Netzwerke und Ökosysteme rund um das Bluesky-Protokoll AT Proto aufzubauen.

Erklärtes Ziel des Projektes „Free Our Feeds“ ist es, soziale Netzwerke vor dem Zugriff von Milliardären zu schützen. Hierzu will das Projekt eine Stiftung aufbauen, welche die Infrastruktur gemeinnützig und unabhängig von Bluesky betreibt. Bluesky ist ein letztlich profitorientiertes Unternehmen hinter dem angesagten Kurznachrichtendienst sowie dem Protokoll, das als offener Standard zur Verfügung steht.

Auf der Webseite von „Free Our Feeds“  heißt es, man wolle mit einer „unabhängigen Finanzierung und Verwaltung“ das AT-Protokoll in etwas verwandeln, das mehr könne als eine einzelne App: „Wir wollen ein ganzes Ökosystem aus miteinander verbundenen Apps und verschiedenen Unternehmen schaffen, denen die Interessen der Menschen am Herzen liegen.“ Dabei gehe es nicht nur darum, eine neue Social-Media-Plattform zu stärken. „Unsere Vision bietet einen Weg zu einem offenen und gesunden Social-Media-Ökosystem, das nicht von einem Unternehmen oder einem Milliardär kontrolliert werden kann“, so das Projekt weiter.

Bluesky freut sich

Das Management von Bluesky begrüßte den Schritt von Free Our Feeds: „Der Aufbau einer alternativen Infrastruktur ist ein großer Schritt, um den Nutzern mehr Auswahl zu bieten und das Netzwerk milliardärssicher zu machen“, schrieb beispielsweise Bluesky-CEO Jay Graber. Auch andere Angestellte von Bluesky begrüßten das Projekt.

Der Schritt löste aber auch Kritik aus. So bezweifelt zum Beispiel Jürgen Geuter, dass die Aktion unsere Feeds befreien wirklich würde. Irgendetwas sei an der Sache faul, er unterstellt in einem Blogbeitrag eine Interessensgleichheit zwischen dem kommerziell organisierten Bluesky und dem gerade als nicht-kommerziell vorgestellten „Free Our Feeds“. Auch sei das existierende und funktionierende ActivityPub-Protokoll nur eine Randnotiz des Projektes in den FAQ. Geuter hätte sich gewünscht, dass die Menge an Geld in die Interoperabilität von AT Proto und ActivityPub oder in das Fediverse gesteckt würde.

Grundsätzlich ist eine Interoperabilität zwischen den beiden Protokollen machbar, aufgrund technischer Unterschiede bislang jedoch nur eingeschränkt. In besagter FAQ will „Free Our Feeds“ das AT Protokoll und ActivityPub nicht als Entweder/Oder-Option sehen: „Unsere Vision ist es, dass Interoperabilität zwischen offenen Social-Media-Plattformen durch Kollaboration erreicht wird.“ Ob sich diese Absicht umsetzen lässt, bleibt vorerst offen.

Positiv zu bewerten dürfte indes sein, dass Mallory Knodel von der Social Web Foundation mit an Bord von Free Our Feeds ist. Die Foundation leistet wertvolle Arbeit rund um das Fediverse. In einem Blogbeitrag schreibt Knodel: „Diese Kampagne bietet die Möglichkeit, die Kapazitäten zu entwickeln, die für eine bessere Interoperabilität der offenen Social-Web-Protokolle – ActivityPub und Blueskys AT-Protokoll – erforderlich sind.“

Kritik an Bluesky gibt es aus verschiedenen Gründen, unter anderem, weil die zugrunde liegende Firma nicht sicher vor dem Zugriff von Investoren ist und weil die Infrastruktur nur mit sehr großem Rechen- und Kostenaufwand dezentralisierbar ist.

Exodus aus den Kommerz-Netzwerken

Die großen kommerziellen sozialen Netzwerke stehen seit Jahren wegen Datenschutzproblemen, algorithmisch verstärkter Radikalisierung, Desinformation, Hassrede und genereller „Enshittification“ in der Kritik. Seit neuestem kommt auch noch eine zunehmend nach rechts orientierte politischen Ausrichtung hinzu.

Nachdem Elon Musk Twitter kaufte, zu X umbenannte und es zur rechtsradikalen Propagandaschleuder umbaute, ist nun auch Meta-Chef Mark Zuckerberg auf einen ähnlichen Kurs eingeschwenkt. Moderationsrichtlinien bei Facebook und Instagram werden im Sinne rechter Narrative aufgeweicht, das Fact-Checking weitgehend abgeschafft und generell ein Trump-freundlicher Kurs eingeschlagen.

Das führte und führt dazu, dass alternative Netzwerke wie Mastodon oder Bluesky oder zuletzt auch die Instagram-Alternative Pixelfed großen Zuwachs erhielten. Vom Exodus aus Twitter profitierte in einer ersten Phase vor allem Mastodon, verblieb aber dann aus verschiedenen Gründen in der Nerd-Szene verwurzelt und damit auf absehbare Zeit eher ein Nischennetzwerk.

In den letzten Monaten und vor allem nach Trumps Wahlsieg konnte sich Bluesky über ein großes Wachstum erfreuen. Mittlerweile hat der Dienst eine Größe erlangt, die es etwa möglich macht, internationale Ereignisse und Entwicklungen in Echtzeit zu verfolgen. Lange Zeit war dies das letzte Alleinstellungsmerkmal von Twitter/X. Dass sich Bluesky so kometenhaft entwickelt hat, könnte ausschlaggebend für „Free Our Feeds“ gewesen sein, nun auf dieses Pferd zu setzen.

Mastodon gibt sich neue Struktur

Fast zeitgleich zum Start von „Free Our Feeds“ wird sich die Twitter-Alternative Mastodon eine neue gemeinnützige Struktur geben. Dies war notwendig geworden, weil das Finanzamt der bisherigen Organisationsform der damals in Deutschland angesiedelten Mastodon gGmbH im Frühjahr die Gemeinnützigkeit aberkannt hat.

Technisch ist Mastodon im Fediverse schon dezentral aufgestellt, es gibt aber auch dort sehr große, faktisch recht zentrale Instanzen sowie Eigentumsrechte und Urheberrechte in der Hand weniger. In einem montäglichen Statement kündigte Mastodon deswegen an:

Wir werden einfach das Eigentum an wichtigen Mastodon-Ökosystem- und Plattformkomponenten (einschließlich des Namens und der Urheberrechte sowie anderer Vermögenswerte) auf eine neue gemeinnützige Organisation übertragen und damit die Absicht bekräftigen, dass Mastodon nicht im Besitz oder unter der Kontrolle einer einzelnen Person stehen sollte.

Mit dem Schritt wird sich auch die Rolle von Mastodon-CEO Eugen Rochko ändern, der aus dieser Funktion in den nächsten Monaten austritt und sich in Zukunft mehr auf die Produktstrategie konzentrieren soll.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Offener Brief: Fünf Maßnahmen für mehr Vertrauen in die elektronische Patientenakte

netzpolitik.org - 14 Januar, 2025 - 09:15

Unmittelbar vor der Pilotphase der elektronischen Patientenakte richten sich knapp 30 zivilgesellschaftliche Organisationen in einem offenen Brief an den Gesundheitsminister. Sie fordern, alle berechtigten Sicherheitsbedenken „glaubhaft und nachprüfbar“ auszuräumen und machen Lauterbach ein Gesprächsangebot.

Fünf Schritte braucht es aus Sicht der Unterzeichner des offenen Briefs. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Diana Polekhina / netzpolitik.org

Der Bundesgesundheitsminister wirbt derzeit verstärkt um Vertrauen: Die „elektronische Patientenakte für alle“ (ePA) sei sicher, versichert Karl Lauterbach (SPD) kurz vor Start der Pilotphase der ePA am 15. Januar. Das digitale Großprojekt werde „nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte“.

Ende Dezember hatten zwei Sicherheitsforschende auf dem Chaos Communication Congress gleich mehrere Sicherheitslücken der ePA vorgestellt. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.

Knapp drei Wochen später ist Karl Lauterbach davon überzeugt, dass alle für die Pilotphase relevanten Baustellen geschlossen sind. Bis zum bundesweiten Rollout gebe es nur noch technische „Kleinigkeiten“ zu lösen, so der Minister vor wenigen Tagen bei einem Pressetermin.

Forderung nach Sicherheitsgarantien

Diese Zusage reicht knapp 30 Organisationen und Verbänden offenkundig nicht aus. In einem offenen Brief formulieren sie fünf notwendige Maßnahmen, die gewährleisten, dass „die ePA langfristig zu einem Erfolg werden kann“. Zu den Unterzeichnern gehören unter anderem der Chaos Computer Club, der Deutsche Paritätische Wohlfahrtsverband, der Verbraucherzentrale Bundesverband, der Innovationsverbund Öffentliche Gesundheit (InÖG), der Deutsche Rheuma-Liga Bundesverband und die Deutsche Aidshilfe.

Sie fordern, dass vor einem bundesweiten Start der ePA „alle berechtigten Bedenken … glaubhaft und nachprüfbar ausgeräumt werden“. Dafür müssten Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft „substanziell“ einbezogen werden. Erst nach „einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen“ dürfe der bundesweite ePA-Start erfolgen, so die Unterzeichner.

Über die Testphase hinaus sollten Expert*innen aus Wissenschaft und Zivilgesellschaft unabhängige Sicherheitsprüfungen durchführen. Da Sicherheitslücken selbst dann nicht ausgeschlossen seien, müssten Risiken immer transparent kommuniziert werden. Außerdem brauche es einen offenen Prozess der Weiterentwicklung. Dieser Prozess sollte auch die Kritik vieler Organisationen aufgreifen, die die Verantwortlichen bislang nicht berücksichtigt haben.

Offener Brief als Gesprächsangebot

„Wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden“, sagt Bianca Kastl. Sie ist Vorsitzende des InÖG und Kolumnistin bei netzpolitik.org. „Unsichere und nicht an den individuellen Bedarf nach Vertraulichkeit angepasste Lösungen schließen gerade diejenigen Menschen aus, die am meisten von der Digitalisierung des Gesundheitswesens profitieren könnten“.

Seit langem kritisieren zivilgesellschaftliche Organisationen etwa die vollständige Medikationsübersicht in der ePA. „Aus dieser Liste gehen sensible Infos hervor, die Patient*innen berechtigterweise nicht mit allen Ärzt*innen teilen möchten, weil sie Diskriminierung zu fürchten haben“, sagt Manuel Hofmann, Fachreferent für Digitalisierung bei der Deutschen Aidshilfe. „Man denke an HIV-Medikamente oder Psychopharmaka.“

Ihren Brief verstünden die Organisationen als ein Gesprächsangebot, um die Weiterentwicklung der ePA konstruktiv mitzugestalten, sagt Hofmann. „Wenn wir langfristig gute Lösungen etablieren wollen, müssen verschiedene Perspektiven und Interessen in Einklang gebracht werden. Dafür müssen Gesprächsangebote aber auch angenommen werden“, so Hofmann.

Offener Brief im Wortlaut

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

  1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
  2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
  3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
  4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
  5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen

Mitzeichnende Organisationen in alphabetischer Reihenfolge
  1. AG KRITIS
  2. Ärzteverband MEDI Baden-Württemberg
  3. BAG Selbsthilfe
  4. Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)
  5. Björn Steiger Stiftung
  6. Bundesverband Neurofibromatose
  7. Bündnis für Datenschutz und Schweigepflicht (BfDS)
  8. Chaos Computer Club
  9. D64 – Zentrum für digitalen Fortschritt
  10. Deutsche Aidshilfe
  11. Deutsche Alzheimer Gesellschaft­­
  12. Deutsche DepressionsLiga
  13. Deutsche Hörbehinderten Selbsthilfe (DHS)
  14. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
  15. Deutsche Rheuma-Liga Bundesverband
  16. Deutscher Paritätischer Wohlfahrtsverband – Gesamtverband
  17. dieDatenschützer Rhein Main
  18. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
  19. Freie Ärzteschaft e. V.
  20. Gen-ethisches Netzwerk
  21. Humanistische Union
  22. Innovationsverbund Öffentliche Gesundheit (InÖG)
  23. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
  24. LAG Selbsthilfe Rheinland-Pfalz
  25. Landesvereinigung Selbsthilfe Berlin
  26. Patientenrechte und Datenschutz e. V.
  27. SUPERRR Lab
  28. Verbraucherzentrale Bundesverband
Einzelpersonen in alphabetischer Reihenfolge
  1. Kristina Achterberg, Kinder- u. Jugendlichenpsychotherapeutin, Kösching
  2. Matthias Bauer, Kinder- u. Jugendlichenpsychotherapeut, Kösching
  3. Regine Bielecki, Psychologische Psychotherapeutin, Mönchengladbach
  4. Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag
  5. Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum – Technik, Wirtschaft, Gesundheit
  6. Juliane Göbel, Psychotherapeutin, Bernstadt auf dem Eigen
  7. Katharina Groth, Psychologische Psychotherapeutin, Geisenheim
  8. Sabine Grützmacher, MdB, Bündnis 90/Die Grünen
  9. Dr. Sven Herpig, Lead for Cybersecurity Policy and Resilience, interface
  10. Prof. Ulrich Kelber, Parlamentarischer Staatssekretär a.D.
  11. Julia Rasp, Psychotherapeutin in Ausbildung
  12. Elisabeth Reich, Psychologische Psychotherapeutin, Marburg
  13. Thomas Schäfer, Bündnis 90/Die Grünen, Sprecher der Bundesarbeitsgemeinschaft Digitales und Medien, München
  14. Katharina Schwietering, Psychotherapeutin, Pinneberg
  15. E. Walther, Psychotherapeutin
  16. Katharina Wendling, Psychologische Psychotherapeutin, Köln
  17. Benedikt Wildenhain, Wissenschaftlicher Mitarbeiter, Hochschule Bochum

Der offene Brief mit allen Unterzeichnenden und Zitaten ist hier veröffentlicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Studie: Big Tech schreibt sich die KI-Standards selbst

netzpolitik.org - 13 Januar, 2025 - 17:01

Ursprünglich war der AI Act dazu gedacht, die Grundrechte aller EU-Bürger:innen zu schützen. Nun wird er von Unternehmen ausgehöhlt, sagt die Forschungsgruppe Corporate Europe Observatory. Denn die Unternehmen bestimmen die Normen für KI-Systeme in Gremien massiv mit.

Von wegen süßer Roboter: Bei den KI-Normen geht es um handfeste Unternehmensinteressen. – Alle Rechte vorbehalten IMAGO

Während der im letzten Sommer in Kraft getretene AI Act die Leitlinien für KI-Systeme vorgibt, sollen Normen und Standards für rechtliche Anforderungen sorgen. Diese werden von den europäischen Normierungsorganisationen CEN und CENELEC entwickelt, sie bilden gemeinsam das Joint Technical Committee on Artificial Intelligence (JTC21). Doch dieses Komitee wird entscheidend von Vertretern von Big-Tech-Unternehmen dominiert, hat eine Recherche von Corporate Europe Observatory (CEO) herausgefunden.

Wie Big Tech dominiert

Laut der Recherche von CEO besteht mehr als die Hälfte des JTC21 aus Vertretern von Firmen oder Beratungsunternehmen. Ein Viertel der Firmenvertreter haben laut der Recherche Verbindungen zu US-Tech-Giganten und auch Vertreter mit Verbindungen zum chinesischen Konzern Huawei sind präsent.

Die Gruppe der „Berater“ verstärke den Einfluss von Unternehmen deutlich, so CEO. Es gibt laut der Recherche wenig Transparenz darüber, in wessen Auftrag sie handeln, dabei vertreten die scheinbar unabhängigen Experten regelmäßig identische Meinungen wie die Unternehmensvertreter:innen. Bei kritischer Betrachtung werde deutlich, dass sie scheinbar von den gleichen Big-Tech-Unternehmen beauftragt seien.

JTC21-Mitglieder nach Sektor aufgeteilt. - Alle Rechte vorbehalten Corporate Europe Observatory

Zivilgesellschaftliche Organisationen repräsentieren lediglich neun Prozent der Mitglieder beim JTC21. Sie beklagen ungenügende Mittel und logistische Schwierigkeiten, welche die Teilnahme an Treffen erschweren. Da Big-Tech-Unternehmen Niederlassungen in mehreren europäischen Ländern haben, können sie die Verhandlungen außerdem auf mehreren Landesebenen gleichzeitig steuern und so ihren Einfluss vervielfachen.

Big Tech drängt laut der Recherche darauf, internationale Normen auch auf europäischer Ebene zu übernehmen, obwohl diese oft weniger streng sind als der AI Act es vorsieht. Oft sind sie bereits an internen Standards von Unternehmen orientiert, die die Normen auf internationaler Ebene mitgeschrieben haben. Für eine besonders wichtige Technologie, General Purpose AI, soll es außerdem keine Standards, sondern lediglich einen „Code Of Practice“ geben. Die Umsetzung dieses Codes ist freiwillig und soll von nationalen Behörden und Providern dieser Technologien verfasst werden. Anderen Interessengruppen kommt allein eine unterstützende Aufgabe zu.

Kritik aus der Zivilgesellschaft

Traditionell werden Standards für technische Belange wie zum Beispiel die Sicherheit von Maschinen oder die Grenzwerte von bestimmten Stoffen in Spielzeugen eingesetzt. KI-Systeme haben jedoch auch weitreichende soziale Auswirkungen. Es ist das erste Mal, dass Normen benutzt werden, um fundamentale Rechte, Fairness und Transparenz zu messen.

Bram Vranken von Corporate Europe Observatory kritisiert die Entscheidung der EU, technische Standards zu benutzen: „Dieser undurchsichtige Prozess wird von Unternehmensinteressen dominiert und ist für die Zivilgesellschaft nur schwer zu beeinflussen. Big Tech legt effektiv seine eigenen Regeln für KI-Standards fest und gibt weniger strengen und letztlich schwer durchsetzbaren Regeln Vorrang vor dem öffentlichen Interesse und Grundrechten.“

Dem Ada Lovelace Institut zufolge sind auch die Leitlinien im AI Act oft mehrdeutig formuliert. Nach Artikel 9 muss ein Hoch-Risiko-KI-System nach einer Risiko-Mitigation ein „akzeptables“ Risiko für Grundrechte, Gesundheit und Sicherheit stellen. Doch was heißt das eigentlich?

Normen sind deshalb entscheidend, um beispielsweise festzulegen, wie viel Bias ein System haben kann oder ob ein Datensatz repräsentativ genug ist. Oft fokussieren sich die Standards aber darauf, ob bestimmte Prozesse eingehalten wurden, anstatt auf das Erreichen eines bestimmten Ergebnisses. Das Problem hierbei ist, dass trotz des Einhaltens eines Prozesses, das daraus resultierende KI-System unausgewogen oder unsicher sein kann. Vor dem Hintergrund wird deutlich, dass Standards und Normen ungeeignet erscheinen, wenn Grundrechte auf dem Spiel stehen – insbesondere wenn Big-Tech-Unternehmen mitmischen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Pressefreiheit: Prominente georgische Journalistin festgenommen und angeklagt

netzpolitik.org - 13 Januar, 2025 - 15:58

Der georgische Staat nimmt nun oppositionelle Medien ins Visier. Am Samstag wurde die bekannte Journalistin Mzia Amaglobeli festgenommen. Ihr drohen bis zu sechs Jahre Haft.

Mzia Amaglobeli am Tag der Festnahme. – Alle Rechte vorbehalten Batumelebi

Die georgische Polizei hat die Journalistin Mzia Amaglobeli am Samstag auf einer Demonstration festgenommen. Die Gründerin und Geschäftsführerin der unabhängigen Publikationen Batumelebi und NetGazeti wurde wegen eines angeblichen Angriffs auf einen Polizeibeamten festgenommen, worauf eine Haftstrafe von vier bis sechs Jahren steht. Heute hat die Staatsanwaltschaft deswegen Anklage erhoben, berichtet NetGazeti auf Bluesky. Die Staatsanwaltschaft fordert nun, dass sie in Untersuchungshaft genommen wird. Darüber entscheidet ein Gericht in Batumi am Dienstag.

Batumelebi und NetGazeti sind preisgekrönte Online-Medien, die sehr viel über die mittlerweile mehr als 45 Tage andauernden Demokratie-Proteste in Georgien berichten. Es handelt sich dabei um professionell arbeitende Publikationen, die einen wichtigen Beitrag zur Medienvielfalt des Landes im Kaukasus leisten.

„Es gibt kein Zurück“

Amaglobeli wurde am Samstag gleich zweimal verhaftet. Das erste Mal, weil sie ein Plakat an einer Wand angebracht haben soll. Es handelt sich dabei um eine Ordnungswidrigkeit, die seit Neuestem in Georgien mit hohen Strafen belegt ist. Nach der ersten Festnahme wurde sie wieder freigelassen.

Das zweite Mal wurde sie festgenommen, weil sie angeblich den Polizeichef der georgischen Stadt Batumi geschlagen haben soll. Laut einem Medienbericht könnte dieser Vorfall von der Polizei absichtlich eingefädelt worden oder einer reflexhaften Bewegung geschuldet sein. Während der Festnahme wurde Amaglobeli über Stunden der Zugang zu einem Anwalt verweigert, die Journalistin gibt an, während der Festnahme misshandelt worden zu sein, unter anderem vom Polizeichef von Batumi. In Tiflis demonstrierten Journalist:innen gegen das Vorgehen der Polizei.

Proteste für Neuwahlen und EU-Beitritt

Seit nunmehr sechs Wochen demonstrieren jeden Tag tausende Georgier:innen in Tiflis und anderen Städten des Landes. Am Thema Europa haben sich die neuerlichen Proteste entzündet, denn die Regierungspartei „Georgischer Traum“ des Oligarchen Bidsina Iwanischwili möchte den Beitritt zur EU auf Eis legen, obwohl dieser in der Verfassung festgeschrieben ist. Mit der Abkehr von der EU ist automatisch eine Nähe zu Russland verbunden und eine autoritäre Wende des Landes.

Tausende gingen daraufhin jeden Tag auf die Straße. Ihre Forderungen sind sofortige Neuwahlen – und nach den zahlreichen Festnahmen der letzten Wochen auch die Freiheit aller politischen Gefangenen. Ende Oktober hatte die russlandnahe Regierungspartei „Georgischer Traum“ die Wahlen knapp gewonnen, es gibt laute Vorwürfe von Wahlbetrug, Stimmenkauf und Bedrohung, auch die OSZE kritisierte die Wahlen.  Die Demonstrierenden sehen die Regierung als illegitim an.

Update 16:54 Uhr:
Die Polizei hat in der vergangenen Nacht in Batumi einen Kameramann der Publikation von Batumelebi festgenommen, berichten Batumelebi und Civil.ge.

Update 14.01.25 – 10:30 Uhr:
Laut Medienberichten hat das zuständige Gericht in Batumi heute entschieden, dass die festgenommene Journalistin Mzia Amaglobeli in Untersuchungshaft kommt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Britische Regierung: „KI in die Venen der Nation“

netzpolitik.org - 13 Januar, 2025 - 14:56

Die britische Labour-Regierung plant einen drastischen Umbau des öffentlichen Sektors. Ein Aktionsplan soll sogenannte Künstliche Intelligenz priorisieren und die Insel zum KI-Weltmarktführer machen – mit tatkräftiger Einbindung der Industrie.

Händeringend will der britische Premierminister Keir Starmer die Wirtschaft ankurbeln und den öffentlichen Sektor transformieren – vor allem mit sogenannter Künstlicher Intelligenz. – Alle Rechte vorbehalten IMAGO / Avalon.red

Die britische Labour-Regierung wirft sich mit aller Wucht hinter sogenannte Künstliche Intelligenz (KI). Ein heute vorgestellter KI-Aktionsplan soll eine „Dekade der nationalen Erneuerung“ befeuern und KI-Anwendungen in möglichst vielen gesellschaftlichen Bereichen ausrollen. Die Regierung erhofft sich davon Zuwächse bei Produktivität, Wirtschaftsleistung und beim Lebensstandard.

Glaubt man der Ankündigung, sind von der Technik wahre Wunder zu erwarten. Sie habe das Potenzial, Bauvorhaben zu beschleunigen, Lehrer:innen lästige Administrationsarbeit abzunehmen oder Schlaglöcher auf Straßen automatisch zu erkennen, heißt es im Aktionsplan.

Schon heute würde KI-Technik etwa im notorisch überlasteten Gesundheitswesen helfen, sagt die Regierung – und will dies deutlich ausweiten. Wie der Guardian berichtet, sollen anonymisierte Daten britischer Bürger:innen, Gesundheitsdaten inklusive, die KI-Modelle füttern. Missbrauch sollen „starke Maßnahmen zum Schutz der Privatsphäre“ verhindern, verspricht die Regierung.

„Transformierte öffentliche Dienste“

„Unser Plan wird Großbritannien zum Weltmarktführer machen“, sagt Premierminister Keir Starmer. Umgesetzt werden soll das in enger Kooperation mit der KI-Industrie: Diese brauche „eine Regierung auf ihrer Seite, die nicht tatenlos zusieht und Chancen verstreichen lässt“, so Starmer. Der Aktionsplan werde der Industrie die Grundlage geben, um den „Plan für den Wandel“ ankurbeln. „Das bedeutet mehr Arbeitsplätze und Investitionen in Großbritannien, mehr Geld in den Taschen der Menschen und transformierte öffentliche Dienste.“

Der Plan, der „KI in die Venen der Nation“ spritzen soll, besteht aus drei Säulen. Zunächst sollen sogenannte KI-Wachstumszonen eingerichtet werden. Dort sollen möglichst schnell Rechenzentren mit bevorzugter Anbindung ans Stromnetz gebaut werden. Die erste dieser Zonen soll in Culham, Oxfordshire, entstehen, wo zugleich zu Atomkraft geforscht wird. Bis zum Jahr 2030 soll so die verfügbare Rechenleistung für KI-Anwendungen um das 20-fache ansteigen, so die Zielvorgabe.

Mit der zweiten Säule will die Regierung die Akzeptanz der Technik im öffentlichen und privaten Sektor vorantreiben. Im Technologieministerium (DSIT) soll ein neues Digitalzentrum nach neuen Ideen suchen, diese im öffentlichen Sektor pilotieren und sie dann so weit wie möglich skalieren. Jedes Ministerium soll die Adoption von KI-Technik zur Hauptpriorität machen, so Premier Starmer.

Und schließlich soll ein neues Team dafür sorgen, dass sich das Vereinigte Königreich im KI-Bereich nicht nur an die Spitze setzt, sondern dort auch bleibt. Das soll die derzeitige Dominanz US-amerikanischer und chinesischer Unternehmen brechen. „Dieses Team wird die Macht des Staates nutzen, um Großbritannien zum besten Standort für Unternehmen zu machen. Dazu könnte gehören, den Unternehmen Zugang zu Daten und Energie zu garantieren“, verheißt der Aktionsplan.

KI-Industrie begrüßt den Plan

Entsprechend begeistert zeigt sich die Industrie. Die KI-Ambitionen der Regierung seien „genau das, was nötig ist, um das Wirtschaftswachstum anzukurbeln, öffentliche Dienste umzugestalten und neue Chancen für alle zu schaffen“, zitiert der Aktionsplan etwa den britischen Microsoft-Chef Darren Hardman. Das Unternehmen setze sich mit vollem Einsatz dafür ein, „dass diese Vision Wirklichkeit wird“. Ähnlich lobende Worte kommen von anderen KI-Unternehmen wie Darktrace, Anthropic oder OpenAI.

Die Entfesselung des KI-Sektors und die starke Einbindung der Industrie steht in bemerkenswertem Kontrast zu früheren Positionen der Labour-Partei. Im Jahr 2023 hatte die damals oppositionelle Partei noch auf starke Regulierung vor allem hochriskanter KI-Anwendungen gedrängt. Zugleich droht die fortschreitende Privatisierung und Automatisierung des öffentlichen Sektors, das ohnehin angeschlagene Vertrauen der Bürger:innen in den Staat weiter zu beschädigen.

Starmer sieht dies indes umgekehrt und weist in einem Gastbeitrag für die Financial Times auf die erhofften Zeitgewinne hin: „Das ist die wunderbare Ironie der KI im öffentlichen Sektor. Sie bietet die Möglichkeit, Dienstleistungen menschlicher zu gestalten“, schreibt der politisch nominell Mitte-Links stehende Premier. Nur wenige Tage nach der Wahl im Juli 2024 habe er den Wagniskapitalgeber Matt Clifford beauftragt, einen Plan zu entwickeln, um das „unbegrenzte Potenzial“ von KI zu heben. Der heute präsentierte Aktionsplan sei das Ergebnis der Bemühungen und werde „ein goldenes Zeitalter der Reform des öffentlichen Dienstes einläuten“.

Gefährliche Technik in Kinderschuhen

Ohne Zweifel kann Machine Learning, welches oft hinter dem vielversprechenden Begriff der sogenannten Künstlichen Intelligenz steckt, in manchen Bereichen helfen, etwa beim Falten von Proteinen. Das Gefahrenpotenzial der Technik steigt jedoch dramatisch an, sobald Menschen unmittelbar von automatisiert gefällten Entscheidungen betroffen sind.

So erinnert die Juristin Susie Alegre gegenüber dem Guardian an den britischen Post-Office-Skandal, bei dem eine fehlerhafte Finanzsoftware hunderten Menschen fälschlicherweise Korruption unterstellte – und Gerichte die von der Software in die Welt gesetzte Erzählung kritiklos übernahmen und rund 900 Menschen verurteilten. Neben zerstörten Existenzen hinterließ der Skandal auch eine Milliarde Pfund an Entschädigungszahlungen für Betroffene.

Zudem tendieren KI-Algorithmen dazu, vorhandene Muster sowie Vorurteile zu replizieren und etwa rassistische Diskriminierung fortzuschreiben. Das hat beispielsweise in den Niederlanden zur Kindergeldaffäre geführt, bei der von zehntausenden Eltern aufgrund ihrer Nationalität fälschlicherweise Rückzahlungen des Kindergeldes gefordert wurden.

Ob KI-Tools die hochgesteckten Erwartungen des gegenwärtigen Hypes rund um Chatbots erfüllen können, bleibt vorerst offen – auch auf wirtschaftlicher Ebene. Alexander Clarkson vom King’s College in London weist auf Bluesky etwa auf die „gefährlichen Marktblasen und unrealistischen kurzfristigen Wachstums- und Rentabilitätswetten“ des Sektors hin. Polemischer formuliert das die Journalistin Carole Cadwalladr: Starmer habe einen tech-utopischen KI-Plan angekündigt, der sich lese, als sei er von ChatGPT geschrieben worden. „Schockierend naive und verzweifelte Übernahme der britischen Regierung durch Unternehmensinteressen“, resümiert Cadwalladr.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Degitalisierung: Alles gleichzeitig

netzpolitik.org - 12 Januar, 2025 - 08:08

Digitalisierungslösungen im Gesundheitsbereich sind entscheidende Technologien für eine moderne Gesundheitsversorgung. Sie unterstützen Forschende, Krankheiten besser und schneller zu verstehen und zu behandeln. Gleichzeitig werden im Gesundheitsbereich die sensibelsten personenbezogenen Daten verarbeitet.

Für eine sichere Gesundheitsdigitalisierung sind viele Faktoren auf einmal relevant. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Anne Nygård

Die heutige Degitalisierung möchte ich einleiten mit den Worten der aktuellen Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI), Louisa Specht-Riemenschneider. Aus ihrer Vorstellung in der Bundespressekonferenz ist bei mir vor allem der Gedanke der Gleichzeitigkeit hängen geblieben, der uns in der durchaus turbulenten Zeit für die Digitalisierung des Gesundheitswesens helfen kann.

Nach dem Talk zur elektronischen Patientenakte auf dem 38C3, dem letzten Chaos Communication Congress, wurden meinem „Partner in Crime“ Martin Tschirsich und mir durchaus viele Fragen gestellt, speziell zur Informationssicherheit des Konstrukts der sogenannten ePA für alle. Es gibt gerade viel Berichterstattung, das Narrativ der sicheren Patientenakte wird zumindest stark infrage gestellt.

Nicht selten folgt darauf immer wieder die Frage: Wenn jetzt beispielsweise die gematik gewisse Maßnahmen umsetzt, sind wir dann sicher? Ich glaube nicht, dass sich diese Frage mit Ja oder Nein beantworten lässt. Die Frage nach Informationssicherheit lässt sich aber auch nicht mit einem „hundertprozentige Sicherheit gibt es eh nicht“ wegwischen. Das ist oftmals eine faule Ausrede, technischen, organisatorischen und tiefergehenden strukturellen Murks durchgehen zu lassen, was uns am Ende nur allen gemeinsam schadet.

Weil es so scheint, dass Informationssicherheit in diesen Tagen, speziell im Kontext des digitalen Gesundheitswesens in Deutschland, immer noch in den Kinderschuhen steckt, muss ich dazu heute wieder auf diesen Aspekt der Gleichzeitigkeit hinweisen. Bisher scheinen wir nicht wirklich von einer Gleichzeitigkeit von erwünschten Vorteilen und damit unweigerlich verbundenen Nachteilen auszugehen, das aber nicht nur im digitalen Gesundheitswesen.

16.000 bis 58.000

In den letzten Tagen wird Gesundheitsminister Karl Lauterbach nicht müde zu erwähnen, dass wir jetzt die Digitalisierung des Gesundheitswesens brauchen. Weil dadurch zum Beispiel zehntausende Todesfälle wegen Medikamentenunverträglichkeiten vermieden werden könnten. Anfang Januar sprach er von Zehntausenden vermeidbaren Todesfällen in den Tagesthemen und wird nicht müde, dies immer wieder zu wiederholen.

Eine mögliche Vermeidung von Todesfällen durch Medikamentenunverträglichkeit, sei es durch Doppelverschreibungen oder Verschreibung von Medikamenten mit Wechselwirkungen, ist nicht unrealistisch, wenn es gut läuft. Das kann daher als großer Nutzen der Funktion der elektronischen Medikationsliste der ePA gesehen werden.

Aber: Bereits die konkrete Zahl, wie viele Todesfälle durch Medikamentenunverträglichkeit genau jährlich in Deutschland auftreten und damit anteilig vermieden werden könnten, ist nicht genau belegbar. Laut Auswertungen der Wissenschaftlichen Dienste des Bundestages von 2020 liegt die Zahl der Todesfälle durch Medikamentenunverträglichkeit zwischen 16.000 und 58.000, die Wissenschaftlichen Dienste attestierten auch, dass genaue Daten diesbezüglich nicht existieren.

Es gibt hier also ein digitales Präventionsparadox: Die Größe des zu lösenden Problems, das durch Digitalisierung reduziert werden soll, kann mangels Digitalisierung nicht genau bestimmt werden. Gleichzeitig können wir wohl aber alle darin übereinstimmen, dass es sinnvoll ist, Digitalisierung dazu sinnstiftend nutzen zu wollen, um die Zahl von Todesfällen durch Medikamentenunverträglichkeit mittels Digitalisierung senken zu wollen.

70.000.000

Kurz vor Einführung der ePA für alle zeigt das Dashboard der gematik die ziemlich genaue Zahl von bisher 1.907.784 ePAs in der bisher laufenden Form der ePA als Opt-in. Eine Form der ePA, die sich also immerhin etwa 1,9 Millionen Menschen aktiv beschafft haben.

Die genaue Anzahl der möglicherweise bald entstehenden ePa für alle ist nicht ganz so einfach zu bestimmen. Aber irgendwie brauchen Menschen im Bereich von Sicherheitslücken ja immer eine Orientierung, wie groß ein digitales Problem überhaupt ist. Wie groß die Gleichzeitigkeit des Problems also ist, denn das ist das besondere bei digitalen Sicherheitslücken: Es sind oftmals die Daten vieler Menschen gleichzeitig betroffen.

Für unseren Talk haben wir versucht, in etwa zu schätzen, wie viele Menschen wohl zum Start der ePA für alle, der Opt-out-ePA, aktiv zum Start widersprechen würden. Also mal angenommen, wir hätten jetzt nicht ein paar größere bis massive Mängel vorher transparent gemacht.

Aus den Kreisen der Krankenkassen wurde Ende Oktober eine eher niedrige Widerspruchsrate von wenigen Prozent vermeldet. Das Bundesgesundheitsministerium vermeldet Stand Februar 2024 etwa 74,3 Millionen Versicherte. Mit ein paar Prozent weniger sind wir dann bei gerundet 70 Millionen ePAs für alle, die ein mögliches Ziel darstellen. Gleichzeitig können wir also wohl darin übereinstimmen, dass der Missbrauch von Gesundheitsdaten bereits durch technische Maßnahmen bestmöglich verhindert werden muss. Nicht nur für „große“ Hackerangriffe auf Millionen auf einmal, wie Lauterbach immerhin inzwischen selbst postuliert, sondern auch für jeden kleinen Angriff auf einzelne Akten.

Es wäre zu vermuten, dass ein technisches Risiko für 70 Millionen Menschen gleichzeitig relativ schnell beseitigt werden würde, wenn es bekannt würde. Nun, massive Sicherheitsmängel im Versichertenstammdatendienst (VSDM), die wir im August an die gematik gemeldet haben, wurden erst dann begonnen zu beheben, als wir mehr Fakten für einen möglichen erfolgreichen Angriff geschaffen haben. Denn erst mit dem praktischen Nachweis wird hektisch gehandelt, um es mit den Worten von Martin in der taz zu sagen. Anders leider nicht. Es ist auch egal, wenn gerade in diesem Moment der Fachdienst zum E-Rezept von der Lücke in VSDM ebenfalls betroffen ist, was jüngst von Seiten der BfDI bestätigt wurde.

In einer Studie zum Opt-out einer elektronischen Patientenakte der Bertelsmann-Stiftung von 2023 wird in Aussagen von Experteninterviews darauf hingewiesen, dass „polarisierende Berichterstattung über angebliche Datenlecks (CCC) kontraproduktiv“ sei. Mit Verlaub, alle anderen Möglichkeiten, um massive Sicherheitslücken zu schließen, waren nicht produktiv. Lediglich die Veröffentlichung und deutliche Illustration der Sicherheitsprobleme mit konkreten Zahlen zum Schaden und Aufwand hat zu einem Handeln geführt.

Eine Sicherheitskultur, die solche Probleme stillschweigend im Hintergrund gelöst hätte, ganz ohne medialen Aufschrei, war leider nicht vorhanden – wieder einmal. Gleichzeitig können wir polarisierende Berichterstattung kontraproduktiv finden, aber auch anerkennen, dass sich ohne eben diese Polarisierung nichts Produktives an der Sicherheit der ePA für alle getan hätte.

Von der gleichzeitigen Gefahr der Anklage nach Hackerparagrafen wollen wir mal gar nicht reden. Diese Gefahr für Hacker*innen, die sich klar ethisch verhalten, steht nach wie vor im Raum, Gesetzentwürfe zur Verbesserung dieser Situation hängen weiter fest.

35 Prozent

Die ePA für alle wurde ganz bewusst als eher sehr zentrale Architektur geplant. Aktensysteme, die auf Servern von Krankenkassen Gesundheitsdaten von Millionen Versicherten zentral speichern, gleichzeitig. Ein Forschungsdatenzentrum Gesundheit, in dem die Daten aller 70 Millionen Versicherten zentral pseudonym abgespeichert werden sollen, um dort gleichzeitig beforscht werden zu können. Pseudonym heißt, dass an den Daten nicht mehr der Klarname hängen wird, die individuellen Datenwerte und ihre möglichen Verkettungen aber erhalten bleiben. Wegen der Einzigartigkeit der eigenen individuellen medizinischen Daten ist ein Risiko einer Reidentifikation technisch gesehen sehr hoch – diese Reidentifikation ist zumindest nach Gesundheitsdatennutzungsgesetz strafbewehrt.

Aber sehr wichtig seien ja die Chancen: Es werde sehr wichtig sein, dass „mit Künstlicher Intelligenz dieser Datensatz nutzbar“ werde, so Karl Lauterbach auf der Digital Health Conference im November letzten Jahres. Gleichzeitig können wir wohl darin übereinstimmen, dass der aktuelle Status Quo der Sicherheitskultur im deutschen digitalen Gesundheitswesen ein Konzept eines zentralen Forschungsdatenzentrums mit pseudonymen Daten der ganzen Bevölkerung zu einem Alptraum macht.

Am Ende fehlt aber vielleicht das Bewusstsein, inwieweit wir, wenn wir Digitalisierung im Gesundheitswesen wollen, auch selbst einen Anteil leisten müssen. Inwiefern wir möglicherweise selbst einer von vielen Einfallsvektoren in einem großen vernetzten digitalen Gesundheitswesen sind. Wir betonen nach dem Vortrag zur ePA auf dem Congress immer wieder, dass wir von Mediziner*innen nicht erwarten können, dass sie eine Praxis mit topsicherer IT selbst ausstatten können. Allerdings ist es wichtig, sich die eigene verbleibende Rolle in einem vernetzten Gesundheitssystem bewusst zu machen.

Anfang Oktober 2023 wurden am Universitätsklinikum Frankfurt am Main Vorbereitungen für einen möglichen Hacker-Angriff entdeckt. Das ist eigentlich gut. Denn nach Auswertungen von Semperis im letzten Jahr sind 35 Prozent aller Gesundheitseinrichtungen mehreren stattfindenden Ransomware-Attacken gleichzeitig ausgesetzt – und merken das gleichzeitig selten selbst.

Leider folgte auf den erfolgreich vermiedenen Angriff an der Uniklinik Frankfurt aber eine Verklärung der eigenen Bedeutung für die IT-Sicherheit im digitalen Gesundheitswesen. „Wenn wir in einer idealen Welt leben würden, dann hätten wir eine elektronische Patientenakte, und es gäbe keine dezentralen Patientendaten, so wie wir es haben. Dann wären 1.900 Krankenhäuser ein weniger attraktives Ziel für Hacker“, sagte der ärztliche Direktor Jürgen Graf der FAZ (€).

Vorbedingung für den unberechtigten Zugriff auf die 70 Millionen ePAs für alle etwa ist der Zugang über eine Leistungserbringerinstitution, etwa ein ahnungsloses Krankenhaus. Ganz egal, wie sich die die Datenhaltung in einer ePA zukünftig gestalten wird, können wir nicht beides haben: Immer schön Zugriff auf Daten aller Versicherten, aber keine Verantwortung für die eigenen Zugangsmöglichkeiten dazu übernehmen. Gleichzeitig können wir also anerkennen, dass wir alle eine gemeinsame Verantwortung für die Digitalisierung im Gesundheitswesen und ihre Sicherheit tragen. Gleichzeitig können wir aber auch anerkennen, dass ein Sicherheitskonzept eines digitalen Gesundheitswesens auch mit immer wieder kompromittierten Praxen oder Krankenhäusern umgehen können werden muss.

Diese Verantwortung für unser aller Sicherheit ist durch die ePA für alle an einigen Stellen größer geworden. Manche haben das vielleicht noch nicht realisiert. Es bleibt viel zu tun. Manchmal alles gleichzeitig.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

KW 2: Die Woche, die wir lieber unter einem Stein verbracht hätten

netzpolitik.org - 11 Januar, 2025 - 10:27

Die 2. Kalenderwoche geht zu Ende. Wir haben 12 neue Texte mit insgesamt 79.636 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

das kann doch alles gar nicht wahr sein, denke ich mir manchmal. Diese Woche war wieder so eine Woche.

Timothy Snyder hat 2017 in seinem Buch „Über Tyrannei“ eine wichtige Regel für die Abwehr von autoritären Regimes aufgestellt: „Leiste keinen vorauseilenden Gehorsam!“

Genau diesen vorauseilenden Gehorsam sehen wir gerade überall. Der Oligarch Mark Zuckerberg, der sich vor Trump in den Staub wirft und nicht nur die Moderationsregeln auf seinen Meta-Plattformen für Hass öffnet, sondern auch gleich noch das Fact-Checking abschaltet.

In der einst stolzen Washington Post, die unter dem Leitspruch „Democracy dies in Darkness“ veröffentlicht wird, aber heute dem Amazon-Oligarchen Jeff Bezos gehört, darf keine Karikatur erscheinen, die den Kniefall der Tech-Milliardäre zum Thema hat. Seit Trump gewonnen hat, pilgern sie an den Hof von Mar-a-Lago und küssen ihm die Hand mit Gastgeschenken und Millionen, auf dass sich das gut aufs feudale Digitalgeschäft auswirke.

Der rechtsradikale Oligarch und Propagandist Elon Musk wohnt schon am Hof und betreibt offen Wahlkampf für die AfD, indem er deren Chefin zum Gespräch lädt. Die medialen Mechanismen goutieren dies mit noch mehr Aufmerksamkeit, hastig werden in Artikeln die Lügen der Weidel wiederholt, um sie hilflos zu widerlegen, was am Ende doch nur die Reichweite multipliziert. Rechtsradikale verstehen eben das Geschäft mit der Aufmerksamkeit, sie kommen permanent vor, bedienen die Nachrichtenfaktoren perfekt – und die immer als links verteufelten Medien spielen mit. Als könnten sie nicht anders.

Vorauseilender Gehorsam ist auch, wenn demokratische Parteien in Deutschland nicht die Demokratie verteidigen, sondern mit Programmpunkten der AfD Wahlkampf machen, um Stimmen zu gewinnen. Während die Ampel Seehofer rechts überholte, radikalisiert sich nun die autoritäre Entmenschlichungsdebatte immer weiter.

Wenn ein Merz gegen alle Vernunft und Verfassung Deutsche zweiter Klasse einführen will, dann ist das nichts anderes als die „Remigration“ der AfD, gegen die letztes Jahr Millionen Menschen auf die Straße gegangen sind. Was hat uns in den letzten zwölf Monaten bloß so ruiniert?

Diese Woche wünschte ich, ich würde unter einem Stein leben und würde nichts mitbekommen. Aber das hilft ja nicht bei der Verteidigung von Grund- und Freiheitsrechten, die wir als Redaktion und ihr als Leser:innen für wichtig, richtig und unverzichtbar halten.

Kopf hoch, auch wenn’s schwer fällt – und ganz herzliche Grüße

Markus Reuter

 

Trugbild: Mord als Meme

Luigi Mangione ist jung, gutaussehend, gebildet und Hauptverdächtigter im Mord an Versicherungschef Brian Thompson. Das Netz verarbeitet Tat und Täter in einem bisher wohl beispiellosen viralen Rausch. Von Vincent Först –
Artikel lesen

Visavergabe: „Online-Antrag derzeit nicht verfügbar“

Lange Wartezeiten und hohe Gebühren durch private Dienstleister stellen seit Jahren Hindernisse bei der Visumsvergabe für Deutschland dar. Das Auslandsportal des Auswärtigen Amtes soll eigentlich die Situation durch Digitalisierung verbessern, löst aber die Kernprobleme nicht. Von Anna Biselli –
Artikel lesen

Zuckerbergs Kehrtwende: Meta goes MAGA

Am 20. Januar kehrt Donald Trump ins Weiße Haus zurück. Am gleichen Tag will Mark Zuckerberg in den USA die Inhaltemoderation bei Facebook, Meta und Instagram stark zurückfahren. Die Kehrtwende ist vor allem eine Unterwerfungsgeste gegenüber dem neuen US-Präsidenten. Sie wird den Kulturkampf weiter anheizen und gefährdet die Demokratie. Auch in Europa. Eine Analyse. Von Daniel Leisegang, Tomas Rudl –
Artikel lesen

Nach Durov-Festnahme: Telegram gibt deutlich mehr Daten an Behörden raus

In tausenden Fällen hat Telegram allein im vergangenen Jahr Nutzer:innen-Daten an Behörden herausgegeben, Tendenz steigend. Die meisten Auskünfte erhielten demnach Behörden aus Indien – und Deutschland. Von Markus Reuter –
Artikel lesen

„Sexuell suggestiv“: Instagram blockierte LGBTQ-Inhalte für minderjährige Nutzer

Instagram hat monatelang Beiträge mit LGBTQ-Hashtags ausgeblendet. Meta spricht von einem „technischen Fehler“. Doch der Schritt passt zum vorauseilenden Gehorsam im Schatten der nächsten Trump-Präsidentschaft. Von Jan Grapenthin –
Artikel lesen

Sicherheitsleck bei KigaRoo: Über zwei Millionen Kita-Daten im Netz

Einem Sicherheitsforscher ist es gelungen, auf sensible Daten des Kita-Software-Anbieters KigaRoo zuzugreifen. Einmal benachrichtigt, handelte der Anbieter vorbildlich und schloss die Lücke umgehend. Der Fall zeigt, dass „Ethical Hacking“ die IT-Sicherheit verbessern kann – und warum eine Reform des Computerstrafrechts überfällig ist. Von Tomas Rudl –
Artikel lesen

Europäischer Gerichtshof: „Guten Tag“ tut’s auch

Warum nicht einfach „Hallo“ oder „Guten Tag“ statt „Lieber Herr Meier“ sagen? Das hat sich offenbar auch der Europäische Gerichtshof gedacht und kommt zum Urteil: Ein Bahnunternehmen darf nicht als Zwangsangabe abfragen, welche Geschlechtsidentität seine Kund:innen haben. Von Anna Biselli –
Artikel lesen

Gigantisches Daten-Leak droht: Hacker wollen Bestände von US-Databroker veröffentlichen

Einer der bekanntesten US-Databroker wurde offenbar Ziel eines Hackerangriffs: Gravy Analytics. Es geht um gigantische Mengen von Standortdaten, gesammelt durch populäre Handy-Apps. Erste Ausschnitte der erbeuteten Daten halten Fachleute für authentisch. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Konzertierte Aktion: Mehr als 60 Hochschulen und Forschungsinstitute verlassen X-Twitter

In einer konzertierten Aktion verabschieden sich über 60 Hochschulen und Forschungsinstitute aus Deutschland und Österreich von ihrer Präsenz auf X, ehemals Twitter. Unklar bleibt jedoch, wohin die Reise geht. Von Leonhard Dobusch –
Artikel lesen

Elektronische Patientenakte : Lauterbach verspricht einen Start „ohne Restrisiko“

In wenigen Tagen beginnt die Pilotphase für die elektronische Patientenakte. Gesundheitsminister Lauterbach versichert, dass bis zu ihrem bundesweiten Start sämtliche Sicherheitsprobleme gelöst sind. Mit Gewissheit überprüfen lässt sich das nicht. Derweil wächst die Kritik aus der Ärzt:innenschaft. Von Daniel Leisegang –
Artikel lesen

FAQ: Wie widerspreche ich der elektronischen Patientenakte?

Die elektronische Patientenakte kommt – und die Verunsicherung ist groß. Wie kann ich der Einrichtung einer ePA widersprechen? Und erfahre ich dadurch Nachteile? Wir beantworten die wichtigsten Fragen zum Widerspruch. Von Daniel Leisegang –
Artikel lesen

Wahlprüfsteine: Parteien definieren, wer relevant ist

Wahlprüfsteine sind eine Möglichkeit, schnell einen Überblick zu den Positionen von Parteien zu bekommen. Doch in diesem Jahr darf nur ein exklusiver Club aus 30 Organisationen und Verbänden Fragen stellen. Digitalpolitische Gruppen fehlen komplett. Wie die Auswahl zustande kam, beantworten die Parteien nicht. Von Anna Biselli –
Artikel lesen

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

Wahlprüfsteine: Parteien definieren, wer relevant ist

netzpolitik.org - 10 Januar, 2025 - 13:37

Wahlprüfsteine sind eine Möglichkeit, schnell einen Überblick zu den Positionen von Parteien zu bekommen. Doch in diesem Jahr darf nur ein exklusiver Club aus 30 Organisationen und Verbänden Fragen stellen. Digitalpolitische Gruppen fehlen komplett. Wie die Auswahl zustande kam, beantworten die Parteien nicht.

Prüfsteine werden eigentlich zum Prüfen von Edelmetallen genutzt. – CC-BY-SA 3.0 jcw

Die Wahlprogramme der größeren Parteien haben in der Regel mehr als 50 Seiten. Wer sich da informieren will, was zu ihm passt, muss jede Menge lesen. Abhilfe schaffen da verschiedene Wahl-o-Maten und Wahlprüfsteine. Sie fragen knapp die Positionen der Parteien zu Themen ab und stellen sie übersichtlich dar.

Der prominenteste Wahl-o-Mat stammt sicherlich von der Bundeszentrale für politische Bildung. Aber auch viele andere Organisationen und Verbände beleuchten vor Wahlen, wie Parteien zu bestimmten Aussagen stehen.

Dieses Jahr ist wenig Vorbereitungszeit bis zum Urnengang am 23. Februar, der Wahlkampf erfolgt im Schnelldurchlauf. Und weil die Parteien unter Zeitdruck stehen, werden sie nicht mehr beliebig viele Prüfsteine und Wahl-o-Mat-Fragen beantworten.

Nur 30 Organisationen dürfen Wahlprüfsteine einsenden

So steht beispielsweise auf der Website der SPD, man habe sich mit den anderen demokratischen Parteien auf ein Vorgehen geeinigt: „Es besagt im Wesentlichen, dass wir dieses Mal nur Wahlprüfsteine von einigen wenigen vorab gemeinsam vereinbarten, die gesamte Breite des gesellschaftlichen Spektrums repräsentierenden Verbänden und Organisationen beantworten werden.“ Auch Wahl-o-Mate werden nur begrenzt bedient. Diese Formulierung findet sich inhaltsgleich auch bei den Linken.

Erstellt hätten die Liste die Generalsekretär:innen und Bundesgeschäftsführenden von CDU, CSU, SPD, Grünen, Linken und FDP. Auf die Liste der Organisationen für die Wahlprüfsteine haben es nach Informationen von netzpolitik.org 30 Verbände und Organisationen geschafft:

  • Polizeigewerkschaft
  • Deutscher Bauernverband DBV
  • Handelsverband Deutschland HDE
  • Kassenärztliche Bundesvereinigung
  • Bundesverband Deutscher Volks- und Raiffeisenbanken
  • Vereinigung der Bayerischen Wirtschaft e. V. (VBW)
  • Deutscher Hotel- und Gaststättenverband e. V. (DEHOGA Bundesverband)
  • Deutschen Industrie- und Handelskammern (DIHK)
  • Zentralverband des Deutschen Handwerks
  • Verband der chemischen Industrie (VCI)
  • Die Familienunternehmer
  • Bundesverband der Freien Berufe
  • Zentraler Immobilienausschuss (ZIA)
  • Gesamtmetall
  • VDA
  • Deutscher Naturschutzring (DNR)
  • BUND/Nabu
  • Pro Asyl
  • Deutscher Frauenrat
  • VENRO (Verband Entwicklungspolitik und Humanitäre Hilfe deutscher Nichtregierungsorganisationen e.V.)
  • Oxfam
  • Seebrücke
  • Mieterbund
  • Der Paritätische Gesamtverband
  • Deutscher Hanfverband
  • Sozialverband VdK
  • Deutschland Eisenbahn- und Verkehrsgewerkschaft (EVG)
  • Gewerkschaft Erziehung und Wissenschaft (GEW)
  • Deutscher Fußball-Bund (DFB)
  • Arbeiterwohlfahrt (AWO)
Viele Wirtschafts- und Berufsverbände

Rund die Hälfte davon sind Wirtschafts- und Berufsverbände, die übrigen lassen sich anderen zivilgesellschaftlichen Interessensvertretungen zuordnen. Doch die „gesamte Breite des gesellschaftlichen Spektrums“ sucht man in der Auswahl vergebens. Es fehlen Organisationen, die sich schwerpunktmäßig mit netz- und digitalpolitischen Fragen befassen, auch andere Bereiche kommen unter die Räder.

Nicht repräsentiert sind beispielsweise explizit kulturpolitische Gruppen oder Vereine, die sich für die Rechte von trans Personen oder gegen rechtsradikale Bestrebungen für Demokratieförderung einsetzen. Klar: Dass auf der Liste vertretene Gruppe diese Themen mitbehandeln, ist wahrscheinlich. Eine schwerpunktmäßige Betrachtung wird dabei aber aller Voraussicht nach fehlen.

Svea Windwehr ist Co-Vorsitzende des digitalpolitischen Vereins D64 und kritisiert die Lücke bei Organisationen, die zivilgesellschaftliche netzpolitische Interessen vertreten: „So wird es für die Zivilgesellschaft nicht nur schwieriger, Wähler*innen darüber zu informieren, wie sich die Parteien zu Kerndebatten wie Vorratsdatenspeicherung, Gesichtserkennung oder die Digitalisierung des Gesundheitssystems positionieren. Die Liste spricht auch Bände darüber, welche Interessen in Deutschland im Jahr 2025 als relevant und legitim angesehen werden, und welche nicht.“

Bei der Bundestagswahl 2021 gehörte D64 zu den Organisationen, die in ihrem „Digital-Thesen-Check“ die Antworten der Parteien auf ihre Wahlprüfsteine genutzt hatten, um deren Positionen darzustellen – von digitaler Bildung bis hin zum Leistungsschutzrecht für Presseverlage.

„Wahlprüfsteine als Mittel der inhaltlichen Auseinandersetzung ernst nehmen“

Auch der aus Reihen der FDP gegründete netzpolitische Verein LOAD hatte zur letzten Bundestags- und Europawahl eigene Wahlprüfsteine erstellt. Die LOAD-Vorsitzende Teresa Widlok betont, wie aufwändig und gleichzeitig wichtig dieses Instrument ist: „Als ehrenamtliche Organisation bedeutet das für uns jedes Mal viel Arbeit in der Vorbereitung und Auswertung. Aber wir sind von der Arbeit überzeugt, weil wir glauben, dass digitalpolitisch interessierte Wählerinnen und Wähler ein gutes Informationsangebot verdient haben.“

Zu den ausgewählten Gruppen gehört LOAD bei der anstehenden Bundestagswahl jedoch nicht. Zu der Gesamtauswahl schreibt Widlok gegenüber netzpolitik.org: „Es passt ganz und gar nicht zur angeblichen Priorität der Digitalisierung in den Wahlprogrammen der Parteien, dass Digitalpolitik bei den Wahlprüfsteinen so lieblos behandelt wird.“ Der Verein hofft, „dass Wahlprüfsteine in Zukunft als Mittel der kritischen inhaltlichen Auseinandersetzung wieder ernster genommen werden“.

Wer bestimmt, wer relevant ist?

Tom Jennissen vom Verein Digitale Gesellschaft versteht zwar, dass Ressourcen und Zeit knapp sind. Er hält die nach unklaren Kriterien erstellte Liste aber für ein Problem und kritisiert, dass „die Parteien anmaßen darüber bestimmen zu wollen, wer als relevant genug gelten kann, mit Antworten beglückt zu werden.“

Er kündigt an, dass man die Parteien daher „umso mehr an ihrem tatsächlichen Handeln in der zu Ende gehenden Legislaturperiode messen“ werde. „Das wird weder für die Unionsparteien mit ihrer rassistischen Hetze und ihrem harten Insistieren auf Vorratsdatenspeicherung und anderen dystopischen Überwachungsfantasien, noch für die Parteien der ehemaligen Ampelkoalition besonders schmeichelhaft ausfallen, deren sogenanntes ‚Sicherheitspaket‘ wir ebenso wenig vergessen werden wie das Desaster der Gesundheits- und Verwaltungsdigitalisierung – von ihrer menschenfeindlichen Migrationspolitik ganz zu schweigen.“

Wie ist die Liste zustande gekommen? Die Organisationen auf der Liste wissen es offenbar teils selbst nicht. Einen Bewerbungsprozess oder ähnliches habe es nicht gegeben. Wir haben die beteiligten Parteien nach den Auswahlprozessen gefragt. Ebenso wollten wir unter anderem wissen, was passiert, wenn eine nicht-gelistete Organisation eigene Prüfsteine schickt. Eine Antwort bekamen wir auf diese und andere Fragen bisher von keiner der Parteien.

Update, 15:08 Uhr – Aus der SPD-Pressestelle heißt es: „Wir bitten Sie um Ihr Verständnis, dass weitere Details zum angepassten Verfahren in dieser besonderen Situation Teil des vertraulichen Abkommens zwischen den Parteien sind.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs

FAQ: Wie widerspreche ich der elektronischen Patientenakte?

netzpolitik.org - 10 Januar, 2025 - 12:17

Die elektronische Patientenakte kommt – und die Verunsicherung ist groß. Wie kann ich der Einrichtung einer ePA widersprechen? Und erfahre ich dadurch Nachteile? Wir beantworten die wichtigsten Fragen zum Widerspruch.

Widersprechen geht leichter als man denkt. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathew Schwartz

Am 15. Januar 2025 legen die gesetzlichen Krankenversicherungen für all ihre Versicherten automatisch eine elektronische Patientenakte (ePA) an. Wer das nicht möchte, muss aktiv widersprechen. In der digitalen Akte sollen langfristig die Gesundheitsinformationen aller rund 74 Millionen gesetzlich Versicherten jeweils zusammenfließen.

Aus Sicht vieler Datenschützer:innen und Bürgerrechtler:innen orientiert sich die ePA weder am Gemeinwohl noch an den Interessen der Patient:innen. Und auf dem 38. Chaos Communication Congress haben Sicherheitsforschende kürzlich aufgezeigt, dass die ePA noch eklatante Sicherheitsmängel aufweist.

Die Verunsicherung ist groß: Wie sicher ist die ePA? Was passiert, wenn ich ihr widerspreche? Erfahre ich dann Nachteile bei der medizinischen Behandlung? Und kann ich mich später noch umentscheiden?

Ob eine Person eine ePA haben möchte oder nicht, ist eine Entscheidung, die viele Faktoren beinhalten kann. Für alle, die sich für eine Ablehnung entschieden haben, beantworten wir im Folgenden die wichtigsten Fragen zum Widerspruch.

Wie kann ich widersprechen?

Wer sich für einen Widerspruch entscheidet, legt diesen am besten vor dem Start der Pilotphase am 15. Januar 2025 ein. So können Versicherte ausschließen, dass es bereits während der Testphase zu einem Sicherheitsvorfall mit den eigenen Daten kommt. Ihren Widerspruch müssen Versicherte nicht begründen.

Der Widerspruch muss gegenüber der eigenen Krankenkasse erfolgen:

  • vor Ort in der Filiale der Versicherung,
  • über die Ombudsstelle oder -personen der Krankenkasse,
  • per Post oder
  • auf digitalem Wege, etwa über die Krankenkassen-Apps oder mittels eines Widerspruchsformulars auf der Webseite der Krankenkasse.

Auf heise.de finden Versicherte eine Liste mit den Widerspruchsmöglichkeiten vieler Krankenkassen.

Die Krankenkassen sind dazu verpflichtet, den Widerspruch auf einfachem Weg zu ermöglichen. Grundsätzlich sollte der Widerspruch auch telefonisch möglich sein. Tatsächlich unterscheiden sich die konkreten Formalien abhängig von der jeweiligen Versicherung.

Wie muss der Widerspruch aussehen?

In der Regel sollte es ausreichen, wenn Versicherte ihren vollständigen Namen, ihre Versichertennummer und eine klare Formulierung des Widerspruchs angeben.

Für einen schriftlichen Widerspruch genügt ein formloser Text. Der Patientenrechte und Datenschutz e.V. hat im Auftrag des „Opt-Out Bündnisses“ einen Widerspruchsgenerator erstellt. Damit können Versicherte einen personalisierten Widerspruch erstellen. Wer den Widerspruch per Briefpost oder gar Fax einlegen möchte, findet auf der gleichen Website auch entsprechende Textvorlagen.

Wer das 15. Lebensjahr noch nicht vollendet hat, benötigt für den Widerspruch die Unterschrift einer erziehungsberechtigten Person.

Bis wann kann ich der ePA widersprechen?

Es gibt keine Frist, bis wann Versicherte der ePA widersprechen müssen. Ein Widerspruch ist jederzeit möglich – sowohl vor als auch nach dem bundesweiten Start der ePA für alle.

Ein Widerspruch ist auch dann noch möglich, wenn die ePA bereits angelegt ist. Zudem können Versicherte jederzeit einen Widerspruch wieder aufheben.

Welche Folgen hat ein Widerspruch, wenn ich schon eine ePA für alle habe?

Eine bereits angelegte Akte wird nach Eingang des Widerspruchs gelöscht. Allerdings können Versicherte jederzeit eine neue ePA anlegen, die dann wieder befüllt wird.

Habe ich durch den Widerspruch einen Nachteil?

Wer sich gegen die ePA für alle entscheidet, darf laut Gesetz dadurch grundsätzlich keine Nachteile in der Qualität der medizinischen Versorgung erfahren.

Die Krankenversicherungen weisen zwar darauf hin, dass Informationen über frühere Behandlungen, Diagnosen oder mögliche Allergien ohne eine persönliche ePA nicht so schnell verfügbar sein könnten. Gerade zu Anfang ist die ePA aber nur begrenzt einsatzfähig, daher sind dies nicht die gravierenden Nachteile der ePA für alle.

Kann ich mich später umentscheiden?

Wer sich jetzt gegen die ePA für alle entscheidet, kann sie auch später noch jederzeit beantragen.

Bei der Anlage ist eine elektronische Patientenakte zunächst immer leer. Eine neue ePA müssen Versicherte, Ärzt:innen und Krankenversicherungen nach und nach befüllen.

Wird eine ePA später erneut eingerichtet, werden medizinische Dokumente aus der Vergangenheit nicht automatisch übertragen.

Können Kinder und Jugendliche der ePA-Einrichtung auch widersprechen?

Auch Kinder und Jugendliche erhalten automatisch die ePA für alle, unabhängig von ihrem Alter. Sind die Kinder jünger als 15 Jahre, widersprechen die Eltern bei der Krankenkasse, dass sie eine elektronische Patientenakte erhalten. Ist die versicherte Person zwischen 15 und 17 Jahre alt, kann sie nach Rücksprache mit ihren Eltern selbst darüber entscheiden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kategorien: Blogs
Inhalt abgleichen