Schlagwort-Archiv: Ausspähung

Möglicher Datenkauf in der Grauzone

Veröffentlicht am von

Kaufen deutsche Sicherheitsbehörden Standortdaten von Datenhändlern? Ein Bundestagsgutachten sieht Hinweise darauf, die Bundesregierung will es nicht ausschließen. Experten halten solche Käufe für rechtswidrig.

Original Artikel

Wer am Handy spielt oder das Wetter checkt, dessen persönliche Daten könnten womöglich bei deutschen Nachrichtendiensten oder Strafverfolgungsbehörden landen. Nach Recherchen von BR und netzpolitik.org könnten deutsche Sicherheitsbehörden Daten von Smartphone-Nutzern bei Datenhändlern kaufen, darunter metergenaue Standortdaten, mit denen sich Menschen ausspionieren lassen.

Die Bundesregierung schließt explizit nicht aus, dass der Bezug solcher personenbezogenen Daten von Datenhändlern angemessen sein kann. Dies müsse im Einzelfall unter Berücksichtigung der jeweiligen Rechtslage geprüft werden, heißt es in einer bislang unveröffentlichten Antwort auf eine Kleine Anfrage der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke), die BR und netzpolitik.org vorliegt.

Bundestagsgutachten sieht Indizien für Datenkauf

Laut einem ebenfalls noch unveröffentlichten Gutachten des Wissenschaftlichen Dienstes des Bundestags, das auch von Linken-Politikerin Vogtschmidt in Auftrag gegeben wurde, gibt es Indizien, die nahelegen, „dass die Praxis kein Ausnahmephänomen darstellt, sondern zunehmend Teil des behördlichen Informationsmanagements wird“. Aus anderen Staaten, wie den USA und den Niederlanden, sei bereits bekannt, dass Sicherheitsbehörden Daten aus kommerziellen Datenbanken kaufen.

Ob und inwiefern deutsche Nachrichtendienste und Sicherheitsbehörden wie das Bundeskriminalamt oder die Bundespolizei tatsächlich solche Daten von Datenhändlern beziehen und einsetzen, lässt die Bundesregierung in ihrer Antwort „aus Gründen des Staatswohls“ offen: Täter könnten ihr Verhalten anpassen und „feindliche Mächte“ Abwehrstrategien entwickeln, was einen erheblichen Nachteil für die Sicherheitsinteressen Deutschlands bedeuten würde.

Unbeteiligte betroffen?

Aus Sicht der Bundesregierung seien kommerziell gehandelte personenbezogene Daten als Informationen aus allgemein zugänglichen Quellen einzustufen. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider teilt hierzu auf Anfrage mit: „Auch öffentlich zugängliche Daten unterliegen den Gesetzen zum Daten- und Persönlichkeitsschutz.“

Sicherheitsbehörden dürften nur dann personenbezogene Daten verarbeiten, wenn diese Datenverarbeitung zur jeweiligen Auftragserfüllung erforderlich sei: „Im Fall von angekauften Werbedaten wäre anzunehmen, dass massenhaft unbeteiligte Personen betroffen sein könnten.“

Rechtsexperte: „Eindeutig rechtswidrig“

Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München hält einen möglichen Kauf solcher Daten durch deutsche Sicherheitsbehörden für „eindeutig rechtswidrig“. Es gebe keine Rechtsgrundlage dafür: „Weder für das Bundeskriminalamt noch für die Bundespolizei noch für die Nachrichtendienste oder auch die Strafverfolgungsbehörden.“

Zu einem ähnlichen Schluss kommt auch die Bundesdatenschutzbeauftragte auf Anfrage: „Der Ankauf und die Nutzung dieser Daten insbesondere im Fall einer Zusammenführung mit anderen Datenquellen durch Sicherheitsbehörden bedarf spezieller gesetzlicher Regelungen, welche für die Sicherheitsbehörden bisher nicht bestehen.“ Auch das Bundestagsgutachten nennt keine eindeutige Rechtsgrundlage.

Nachrichtendienste könnten Kontrollen umgehen

Dem Gutachten zufolge könnten die Nachrichtendienste durch einen Ankauf von Werbedaten an Informationen gelangen, „die sie im Wege einer Überwachung nicht selbst erheben dürften“. Kontrollinstanzen könnten so umgangen werden, sagt der Politikwissenschaftler Thorsten Wetzling von der Denkfabrik Interface, der zum Ankauf von Werbedaten durch Nachrichtendienste forscht.

„Nachrichtendienste können hier walten, ohne dass das Gesetz einen klaren Handlungsrahmen vorschreibt und ohne, dass die Kontrollorgane ihnen bei der Informationsbeschaffung auf die Finger gucken“, so Wetzling. Der Bundesnachrichtendienst teilt auf Anfrage mit, man nehme zu etwaigen nachrichtendienstlichen Erkenntnissen oder Tätigkeiten grundsätzlich nicht öffentlich Stellung. Das Bundesinnenministerium hat sich auf Anfrage nicht geäußert.

Linken-Politikerin fordert Transparenz

Die Linken-Abgeordnete Vogtschmidt sagt im Interview mit BR und netzpolitik.org: „Ich lehne es ab, dass Sicherheitsbehörden den vor Datenschutzverletzungen strotzenden Handel mit Werbedatenbanken anheizen, und fordere einen gesetzlichen Riegel davor.“

Es sei „absolut nicht hinnehmbar“, dass die Bundesregierung die Öffentlichkeit im Unklaren darüber lasse, ob und in welcher Form Sicherheitsbehörden persönliche Daten einkaufen, die die Menschen vermeintlich freiwillig für Werbezwecke freigegeben haben.

Recherchen von BR und netzpolitik.org hatten das Ausmaß des globalen Handels mit sensiblen Daten aus Smartphone-Apps gezeigt. Aus den Daten, die dem Rechercheteam vorliegen, lassen sich teils detaillierte Bewegungsprofile von Millionen Menschen aus mehr als 100 Ländern rekonstruieren, wie etwa Wohn- und Arbeitsorte, Freizeitverhalten oder Arztbesuche.

Datenschützer halten diesen Handel mit Daten von EU-Bürgern für rechtswidrig, da persönliche Daten nur für ganz konkrete Zwecke verarbeitet werden dürfen und App-Nutzer dem unkontrollierten Handel nicht ausdrücklich zugestimmt haben.

Hessen: Verfassungsschutz darf Staatstrojaner für Online-Durchsuchung einsetzen

Veröffentlicht am von

Original Artikel hier.

Karlsruhe kippte das hessische Verfassungsschutzgesetz teils. Der Landtag hat eine Reform beschlossen, die dem Geheimdienst neue, weitgehende Befugnisse gibt.

Dieser Gesetzgebungsprozess stand unter besonderer Beobachtung, nachdem das Bundesverfassungsgericht 2024 den hessischen Gesetzgeber zu weitreichenden Nachbesserungen zwang. Vorige Woche hat der hessische Landtag nun in Wiesbaden die Novelle des Verfassungsschutzgesetzes (HVSG) mit der Mehrheit der schwarz-roten Koalition verabschiedet. Die Initiative, die Innenminister Roman Poseck (CDU) als „Meilenstein“ bezeichnet, stattet das Landesamt für Verfassungsschutz (LfV) mit tiefgreifenden digitalen Befugnissen aus.

Allen voran steht die Möglichkeit zu heimlichen Online-Durchsuchungen und zur Quellen-Telekommunikationsüberwachung mithilfe von Staatstrojanern. Kernstück der technischen Aufrüstung ist der neu gefasste Paragraf 7a. Er erlaubt dem Geheimdienst den verdeckten Zugriff auf IT-Systeme wie Computer, Smartphones und Tablets. Poseck begründete das damit, dass Extremisten die Möglichkeiten des digitalen Raums zur Vernetzung nutzten und die Behörden ihnen „auf Augenhöhe“ begegnen müssten.

Mehr Bedingungen für Zugriffsrecht

Technisch bedeutet die neue Norm, dass das LfV Sicherheitslücken ausnutzen darf, um Schadsoftware auf die Geräte von Zielpersonen aufzuspielen. Das Gesetz erlaubt dabei ausdrücklich, nicht nur Zugangsdaten zu erheben, sondern auch bereits verarbeitete Informationen auszuleiten. Um den verfassungsrechtlichen Vorgaben aus Karlsruhe zu genügen, hat der Gesetzgeber diese Maßnahme an Bedingungen geknüpft.

Der Hessentrojaner soll laut Poseck nur als „Ultima Ratio“ genutzt werden, wenn die Sachverhaltsaufklärung etwa durch die Polizei mit ihrer umstrittenen einschlägigen Befugnis anders nicht möglich ist. Zudem muss eine „konkretisierte Gefahr“ für hochrangige Rechtsgüter wie den Bestand des Bundes oder das Leben einer Person vorliegen.

Flankiert wird der tiefe Eingriff durch Verfahrensvorschriften in Paragraf 8. Der Einsatz der Spionagesoftware steht demnach unter Richtervorbehalt. Die Anordnung ist auf maximal einen Monat befristet, kann aber verlängert werden. Die am Zielsystem vorgenommenen Veränderungen müssen auf das Unerlässliche beschränkt bleiben und sollen bei Beendigung der Maßnahme „soweit technisch möglich automatisiert rückgängig gemacht werden“.

Bewegungsprofile und Finanzströme

Auch bei der klassischen Überwachung hat der Gesetzgeber nachgeschärft, um den Karlsruher Richtern zu genügen. Paragraf 9 regelt die Ortung von Mobilfunkendgeräten neu. Hier differenziert das Gesetz nun feiner: Werden technische Mittel wie stille SMS oder IMSI-Catcher so eng getaktet verwendet, dass ein Bewegungsprofil entsteht und Agenten so Rückschlüsse auf Gewohnheiten oder Vorlieben ziehen könnten, steigen die Hürden. Ein solcher Eingriff ist nur noch zulässig, wenn er zur Aufklärung einer „erheblich beobachtungsbedürftigen Bestrebung“ unerlässlich ist. Auch hier greift der Richtervorbehalt, wobei die Anordnung auf sechs Monate befristet ist.

Erweitert haben die Volksvertreter zudem Optionen zur finanziellen Durchleuchtung. Nach Paragraf 10 darf der Verfassungsschutz bei Banken und Finanzdienstleistern Auskünfte über Konten, Geldbewegungen und Kontostände einholen. Dies zielt vor allem auf die Austrocknung von Terrorismusfinanzierung. Voraussetzung ist, dass die beobachteten Bestrebungen geeignet sind, die freiheitliche demokratische Grundordnung nicht nur unerheblich zu beeinträchtigen.

Daten von Minderjährigen und Übermittlungssperren

Ein politisch besonders umstrittener Punkt ist der Umgang mit Daten Minderjähriger. Die Koalition begründet die Notwendigkeit einer längeren Speicherung mit einer zunehmenden Radikalisierung junger Menschen, etwa über Plattformen wie TikTok. Poseck verwies auf die Zerschlagung einer mutmaßlich rechtsextremistischen Gruppe, in der sogar ein 14-Jähriger aktiv gewesen sei.

Die Reform sieht in Paragraf 16 vor, dass Daten über Personen unter 14 Jahren gespeichert werden dürfen, wenn tatsächliche Anhaltspunkte für schwere Straftaten vorliegen. Paragraf 24 regelt den Minderjährigenschutz bei der Datenübermittlung. Solange die strengen Speichervoraussetzungen erfüllt sind, dürfen diese Informationen auch an Dritte weitergeleitet werden. Fällt der Verdacht weg, ist eine Weitergabe nur zur Abwehr erheblicher Gefahren zulässig. Daten von Minderjährigen dürfen zudem grundsätzlich nicht an ausländische Stellen übermittelt werden.

Gleichzeitig versucht der Gesetzgeber mit Paragraf 23, die Balance zwischen Informationsfluss und Datenschutz zu wahren. Übermittlungsverbote greifen hier, wenn die schutzwürdigen Interessen der betroffenen Person das Allgemeininteresse überwiegen oder Gründe des Quellenschutzes entgegenstehen. Damit reagieren die Abgeordneten auf die Kritik des Bundesverfassungsgerichts an der zuvor zu schrankenlosen Weitergabe von Geheimdienstinformationen an Strafverfolgungsbehörden.

Heftige Kritik aus der Opposition

Trotz der eingearbeiteten Sicherungen stieß der Beschluss bei der Opposition auf Ablehnung. Die FDP enthielt sich, Grüne und AfD stimmten dagegen. Der Liberale Moritz Promny kritisierte, dass wer die „schärfsten Werkzeuge des Staates“ einsetze, diese auch unverkennbar einschränken müsse. Er sieht insbesondere bei der Handy-Ortung die Grenzen nicht eng genug gezogen, da es hier um „intime Spuren unseres Alltags“ gehe. Auch der Katalog der Straftaten, die Überwachungsmaßnahmen auslösen können, sei zu weit gefasst und unscharf – etwa bei Eingriffen in den Straßenverkehr.

EU-Juristen kritisieren dänischen Vorschlag zur Chatkontrolle

Veröffentlicht am von 
Quelle: https://netzpolitik.org/2025/internes-protokoll-eu-juristen-kritisieren-daenischen-vorschlag-zur-chatkontrolle/

Dänemark schlägt wieder eine weitreichende verpflichtende Chatkontrolle vor. Der Juristische Dienst des Rats bezeichnet auch diesen Vorschlag als rechtswidrig. Ob das Gesetz noch kommt, könnte von Deutschland und Frankreich abhängen. Wir veröffentlichen das eingestufte Verhandlungsprotokoll.

Seit über drei Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich bisher nicht auf eine gemeinsame Position einigen. Eine Mehrheit der Staaten unterstützt den Plan der Kommission, eine Sperrminorität unterstützt die Kritik des Parlaments. Bisher ist jede Präsidentschaft daran gescheitert, eine Einigung im Rat zu organisieren. Zuletzt scheiterte Polen.

Hohe Priorität für Dänemark

Im Juli hat Dänemark die Ratspräsidentschaft übernommen. Dänemark befürwortet die verpflichtende Chatkontrolle und will das Gesetz mit „hoher Priorität“ behandeln. Gleich am ersten Tag hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf vorgelegt.

Mitte Juli hat die Arbeitsgruppe Strafverfolgung den Text verhandelt. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.


Das bekannte Stimmungsbild

Die polnische Ratspräsidentschaft hatte vorgeschlagen, die Chatkontrolle freiwillig statt verpflichtend zu machen und verschlüsselte Kommunikation auszunehmen. Die dänische Präsidentschaft lehnt das ab und schlägt wieder umfassende verpflichtende Chatkontrolle vor. Dänemark orientiert sich dabei explizit „eng am Text“ von Belgien und Ungarn – und nicht an Polen.

In der Diskussion meldeten sich 20 der 27 EU-Staaten zu Wort. Alle „legten einen umfassenden Prüfvorbehalt ein“. Etwas süffisant formulieren die deutschen Beamten: „Im Übrigen zeigte sich das bekannte Stimmungsbild.“


Wackelkandidat Frankreich

Mehrere Staaten begrüßen und unterstützen den dänischen Vorschlag, darunter Italien, Spanien und Ungarn. Diese Länder fordern von Anfang an eine verpflichtende Chatkontrolle.

Ein Wackelkandidat ist Frankreich. Die Sperrminorität braucht vier Staaten mit 35 Prozent der EU-Bevölkerung. Dafür ist Frankreich wichtig. Bereits vor einem Jahr hat Präsident Macron mit einer Zustimmung geliebäugelt. Jetzt sagt Frankreich, „den Vorschlag im Grunde mittragen zu können“.


Noch ausstehende Positionierung

Einige Staaten sind zurückhaltend. Belgien hatte letztes Jahr einen ähnlichen Vorschlag gemacht. Jetzt sagt Belgien, die Chatkontrolle von verschlüsselter Kommunikation ist „national ein schwieriges Thema“. Auch Estland berichtet über einen „nationalen Konflikt zwischen den für Sicherheit zuständigen Behörden und den Datenschützern bzgl. Verschlüsselung und Client-Side-Scanning“.

Deutschland lehnt die schlimmsten Inhalte des Gesetzes seit zwei Jahren ab, darunter Scannen verschlüsselter Kommunikation, Umgehung von Ende-zu-Ende-Verschlüsselung und Client-Side-Scanning. Bisher ist noch nicht klar, ob die neue Bundesregierung dabei bleibt. Die deutsche Delegation verweist „auf die noch ausstehende Positionierung“.


Angriffe aus dem Ausland

Andere Staaten lehnen den Vorschlag ab. Polen kritisiert die Verpflichtung zur Chatkontrolle und das Scannen verschlüsselter Kommunikation. Das schwäche die Cybersicherheit und ermögliche „Angriffe aus dem Ausland“. Nutzer zur Einwilligung zur Chatkontrolle zu zwingen, „sei ungültig, da nicht freiwillig“.

In Österreich hat das Parlament vor drei Jahren eine Stellungnahme gegen verpflichtende Chatkontrolle und eine Umgehung von Ende-zu-Ende-Verschlüsselung beschlossen. Die Regierung ist daran gebunden. Deshalb verweist Österreich „auf die bereits bekannte Position“. Die Niederlande schlossen sich Österreich an. Auch Slowenien und Luxemburg sind „noch nicht überzeugt“.


Verstoß gegen Menschenrechte

Der Juristische Dienst des Rats hat vor zwei Jahren ausgearbeitet, dass das geplante Gesetz grundrechtswidrig ist. Die Juristen bezeichnen den aktuellen Vorschlag als „nicht neu“. „Die Kernprobleme des Zugangs zur Kommunikation potenziell aller Nutzer bestehen unverändert.“ Client-Side-Scanning „sei ein Verstoß gegen Menschenrechte und hinge nicht von der Art der Technologie ab“.

Die Juristen verweisen auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte von letztem Jahr. Demnach verstößt „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention.

Die EU-Kommission und einige Staaten argumentierten, dass Client-Side-Scanning die Verschlüsselung nicht bricht, sondern nur umgeht. Die Juristen lassen das nicht gelten: Sie entgegneten, „dass es im Kern um die Vertraulichkeit der Kommunikation gehe und nicht darum, ob E2EE gebrochen werde oder ein Verfahren vor Verschlüsselung ansetze“.


Bleibt politische Entscheidung

Nach über drei Jahren Verhandlungen sind alle Argumente ausgetauscht. Die Chatkontrolle bleibt eine politische Entscheidung. Auch wenn führende Wissenschaftler und die eigenen Juristen davor warnen. Dabei könnte es auf die Regierungen in Frankreich und Deutschland ankommen.

Die dänische Ratspräsidentschaft arbeitet weiter. Sie hat bereits schriftliche Kommentare und Anmerkungen eingesammelt und einen zweiten Gesetzentwurf mit minimalen Änderungen vorgelegt. Die nächste Verhandlungsrunde ist am 12. September – nach der Sommerpause.

Hier das Protokoll:

Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
Datum: 15. Juli 2025
Von: Ständige Vertretung der BRD bei der EU
An: Auswärtiges Amt
Kopie: BKAmt, BMI, BMJV, BMF, BMWE, BMBFSFJ, BMDS
Betreff: Sitzung der RAG Strafverfolgung am 11. Juli 2025
Zweck: Zur Unterrichtung
Geschäftszeichen: 350.80
Präsentationen: WK 9774/2025 INIT

Sitzung der RAG Strafverfolgung am 11. Juli 2025
I. Zusammenfassung und Wertung

Schwerpunkt der Sitzung war die erste Aussprache zum am 1. Juli von der DNK Präsidentschaft übermittelten überarbeiteten Kompromisstext. Vor dem Hintergrund, dass das EP eine Verlängerung der Interims-VO nur in Aussicht gestellt hat, sofern eine Einigung im Rat erreicht wird, appellierte Vorsitz an die MS und bat deren Unterstützung. Es bestehe dringender Handlungsbedarf, um eine Regelungslücke zu vermeiden, die dazu führe, dass die Aufdeckung von CSAM rechtlich nicht mehr zulässig wäre.

Alle wortnehmenden MS legten einen umfassenden Prüfvorbehalt ein. Im Übrigen zeigte sich das bekannte Stimmungsbild. Vorsitz zeigte sich verständnisvoll, stellte aber auch fest, dass die meisten MS den Kompromissvorschlag wohl mittragen könnten.

Vorsitz bat um Übermittlung der schriftlichen Kommentare und Anmerkungen zum CSA–VO Kompromissvorschlag bis 18. Juli 2025.

Im weiteren Verlauf der Sitzung informierte KOM über die laufenden Arbeiten zu „Future of Europol“ und zur Umsetzung der Ratsempfehlung grenzüberschreitende polizeiliche Zusammenarbeit (CROLEC).

Vorsitz stellte zudem Planungen zur Bewertung und Priorisierung der RAGS–P Netzwerke vor.

Die nächste Sitzung der RAGS–P findet am 12. September statt.
II. Im Einzelnen
TOP 2: Information by the Presidency

Vorsitz informierte über die ersten technischen Triloge zur VO Schleuserkriminalität. Die Triloge seien sehr konstruktiv verlaufen. Es gäbe jedoch noch offene Fragen, u.a. zur Einrichtung eines Zentrums zur Bekämpfung der Schleuserkriminalität bei Europol und zur Entsendung von Europol Unterstützungspersonal. Vorsitz wies zudem auf die in Kürze stattfindenden Ministertreffen (Ports Alliance und informeller JI-Rat) und eine Podiumsdiskussion des LIBE Ausschuss zu Kinderschutz und Cybersicherheit am 16. Juli hin. Der AStV werde sich ebenfalls am 16. Juli mit dem EU/ECU Abkommen zu Datenaustausch befassen. Abschließend wie Vorsitz noch auf den Fragenbogen OK hin, zu dem die Frist am 16. Juli auslaufe.
TOP 3: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (10131/25)

Vorsitz eröffnete die Sitzung mit einer kurzen Zusammenfassung des jüngst vorgelegten Kompromisstextes. Man habe sich eng am Text vorheriger Präsidentschaften (insbesondere BEL und HUN) gehalten, dabei allerdings den Schutz der Grundrechte und der Cybersicherheit verstärkt. Insbesondere vor dem Hintergrund, dass das EP eine Verlängerung der Interims-VO nur in Aussicht gestellt habe, sofern eine Einigung im Rat erreicht werde, hoffe Vorsitz auf Unterstützung durch die MS.

Alle wortnehmenden MS (DEU, NLD, AUT, BEL, FRA, LUX, ESP, POL, HUN, EST, CZE, ITA, LVA, SWE, FIN, IRL, LTU, HRV, PRT, SVN) legten einen umfassenden Prüfvorbehalt ein.

BEL bewertete den Text als an den BEL Vorschlag angelehnt, aber deutlich überarbeitet. Der Text nähere sich einer Einigung an. Die Einbeziehung von Ende-zu-Ende-verschlüsselter (E2EE) Kommunikation sei national ein schwieriges Thema, aber man gehe davon aus, nach dem Sommer eine Positionierung vortragen zu können.

FRA trug vor, den Vorschlag im Grunde mittragen zu können, insbesondere auch in Bezug auf die Verlängerung der Interims-VO – unterstützt von SVK, LUX, ESP. Verpflichtende Aufdeckungsanordnungen (AO) – unterstützt von ITA, HUN, LVA, SVK, BGR – und Risikokategorisierung würden begrüßt. Zudem begrüße man ausdrücklich den Zertifizierungsmechanismus für Aufdeckungstechnologien, da so Risiken und technischen Bedenken begegnet werden könne. Kritisch bewertet würde lediglich der Wegfall des Hit-Systems, da weiterhin eine Überlastung des EU-Zentrums mit Meldungen zu befürchten sei.

CZE verwies auf bevorstehende Wahlen, eine Positionierung sei daher derzeit nicht möglich. Man werde aber versuchen, einen Kompromiss zu finden.

FIN bewertete den Vorschlag als eher problematisch, gab aber an, die internen Prüfungen noch nicht abgeschlossen zu haben.

ITA begrüßte den Vorschlag ausdrücklich, auch den Ausschluss von Audiokommunikation und Grooming. Der Vorschlag sei ein guter Weg, der den Erwartungen genüge. AOs von Nicht-Justizbehörden sehe man aber kritisch, diese sollten Justizbehörden vorbehalten bleiben.

Auch POL begrüßte den schnell vorgelegten Vorschlag vor dem Hintergrund der drohenden Regelungslücke und unterstützte ausdrücklich das Ziel der VO. Man könne diesem jedoch nicht zustimmen, insbesondere aufgrund des mangelnden Schutzes der Privatsphäre durch verpflichtende AOs und die Einbeziehung verschlüsselter Kommunikation in den Anwendungsbereich aufzunehmen. Vor allem im Hinblick auf Cybersicherheit und entsprechende Angriffe aus dem Ausland sei Vorsicht geboten. Die angedachte Einwilligung durch den Nutzer zur Anwendung von Aufdeckungstechnologien sei ungültig, da nicht freiwillig. POL bat um Einschätzung des Vorschlages durch JD-Rat – unterstützt von LUX, EST, AUT, NLD.

HUN bezeichnete den Vorschlag ebenfalls als Schritt in die richtige Richtung und begrüßt ausdrücklich die Überprüfungsklausel bzgl. Grooming sowie die Streichung der verzögerten Meldungen (hit).

Vorsitz führte aus, dass der Ausschluss von Audiokommunikation und Grooming darin begründet sei, dass die Aufdeckungstechnologien diesbezüglich noch nicht ausgereift seien, eine Überprüfung alle 3 Jahre daher angemessen sei.

ESP, LTU, CYP, LVA und HRV unterstützen den Text ausdrücklich.

LUX zeigte sich noch nicht überzeugt, es seien noch Fragen offen bzgl. Verhältnismäßigkeit der AOs, Client-Side-Scanning und dem Einwilligungsprinzip.

IRL begrüßte die Schutzklauseln zur Cybersicherheit, den Schutz der Verschlüsselung und die Risikokategorisierung.

Auch für LVA stellte sich der Vorschlag als sehr ausgewogen dar. Er führe zu einem klaren Mehrwert. Grooming dürfe zwar gern im Anwendungsbereich enthalten sein, LVA sei aber im Sinne einer Kompromissfindung mit der Überprüfungsklausel ebenfalls einverstanden.

SVK begrüßte die ehrgeizige Stoßrichtung des Vorschlages, insbesondere die Einbeziehung bekannten und neuen CSAMs und die Stärkung der Cybersicherheit.

EST berichtete über den nationalen Konflikt zwischen den für Sicherheit zuständigen Behörden und den Datenschützern bzgl. Verschlüsselung und CSS. Daher könne man derzeit keine positiven Signale senden.

AUT verwies auf die bereits bekannte Position und die bindende Stellungnahme des AUT Parlaments.

NLD schloss sich AUT an und zeigte sich besorgt wegen verpflichtender AOs bzgl. neuem CSAMs und in Bezug auf CSS und dessen Auswirkungen auf die Cybersicherheit.

Für DEU wurde weisungsgemäß auf die Dringlichkeit der Weiterverhandlung vor dem Hintergrund der auslaufenden Interims-VO im April 2026 und gleichzeitig auf die noch ausstehende Positionierung hingewiesen.

SWE begrüßte die vorgesehenen Regelungen zur Verschlüsselung und sieht die Cybersicherheit verbessert und genügend abgesichert. SWE müsse aber noch das Parlament befassen.

PRT zeigte sich dem Vorschlag gegenüber sehr positiv eingestellt, habe aber zum Thema Verschlüsselung noch Bedenken hinsichtlich der Effizienz.

Vorsitz führte zur Frage der technischen Möglichkeiten aus, dass auch Text und Ton möglich wären, der nötige Aufwand aber deutlich höher sei und auch grundrechtsschonende Regelungen schwieriger auszugestalten.

SVN legte PV ein, die verpflichtenden AOs könnten allerdings unverhältnismäßig sein und die Einbeziehung von E2EE problematisch.

Vorsitz stellte nochmals klar, dass E2EE voll geschützt werde. AOs müssten greifen, bevor überhaupt verschlüsselt werde.

HRV würde gern Grooming einschließen, ist aber zufrieden, dass E2EE im Anwendungsbereich liegt. Auch HRV betonte, dass es wichtig sei, keine Regelungslücke entstehen zu lassen.

JD-Rat führte aus, dass der Vorschlag nicht neu sei, die Kernprobleme des Zugangs zur Kommunikation potenziell aller Nutzer bestehe unverändert. Dieser müsse immer gesetzlich legitimiert werden. CSS sei ein Verstoß gegen Menschenrechte und hinge nicht von der Art der Technologie ab. Ein Urteil des EGMR aus 2024 mache deutlich, dass eine Schwächung der E2EE, die alle Nutzer beträfe, ein Verstoß gg. Art. 8 MRK darstelle und eine solche nur in konkreten Einzelfällen legitimiert werden könne. Auch eine Zustimmung des Nutzers sei an rechtliche Kriterien gebunden. Zentrales Kriterium sei hier die Freiwilligkeit, von der aber nur ausgegangen werden könne, wenn durch eine Nichtzustimmung keine Nachteile entstünden.

FRA – unterstützt von BEL und ITA – fragte an JD-Rat gerichtet, warum CSS die Verschlüsselung schwächen solle, diese werde ja nicht aufgebrochen. ITA sah die VO ohne Einbeziehung E2EE als einen zahnlosen Tiger.

JD-Rat entgegnete, dass es im Kern um die Vertraulichkeit der Kommunikation gehe und nicht darum, ob E2EE gebrochen werde, oder ein Verfahren vor Verschlüsselung ansetze.

Laut Vorsitz dürfe das ins Feld geführte Urteil nicht außer Acht gelassen werden. Es müsse aber klar sein, dass dieses lediglich einen Einzelfall beurteile (Klage gegen RUS). Generell müsse ein Gleichgewicht gefunden werden, wenn gesetzliche Vorgaben gemacht würden.

ESP wendete ein, dass es paradox sei, dass ein Scannen auf Viren und Malware kein Problem darstelle, auf CSAM aber schon.

KOM sah den Text als gute Grundlage für weitere Diskussionen und einen wirksamen Kompromiss. Man hätte jedoch bevorzugt, Grooming direkt einzubeziehen, da sich die Zahlen verdreifacht hätten und die Gefahr für Kinder und Jugendliche massiv ansteige.

Zum angeführten Urteil stellte KOM klar, dass es sich dabei um die Klage gegen eine russische Gesetzgebung handelte, mit der Anbieter verpflichtet wurden, direkten Zugang zu jeglicher – auch verschlüsselten – Internetkommunikation ohne Schutzvorkehrungen zu gewährleisten. Das habe inhaltlich weder etwas mit KOM Vorschlag, noch mit DNK Vorschlag gemeinsam. In dem Moment, in dem CSS ansetzt, seien die Daten eben gerade noch nicht verschlüsselt. Das Gleiche passiere flächendeckend im Kontext Spamschutz und Malware.

Vorsitz bat um Übermittlung der schriftlichen Kommentare und Anmerkungen bis 18. Juli 2025, auf deren Grundlage dann weiter am Text gearbeitet werde.

[…]

Original Artikel

Polizei hackt alle fünf Tage mit Staatstrojanern

Veröffentlicht am von

Die Polizei nutzt immer öfter Staatstrojaner. Im Jahr 2023 durfte sie 130 Mal Geräte hacken und ausspionieren, 68 Mal war sie damit erfolgreich. Das ist eine Verdopplung innerhalb von zwei Jahren. Anlass sind wie immer vor allem Drogendelikte.

Polizei und Ermittlungsbehörden durften 2023 in Deutschland 130 Mal IT-Geräte mit Staatstrojanern hacken und haben es 68 Mal getan. Das hat das Bundesjustizamt bekannt gegeben. Damit hat sich die Anzahl der Trojaner-Einsätze in zwei Jahren mehr als verdoppelt.

Das Bundesjustizamt veröffentlicht jedes Jahr Statistiken zur Telekommunikationsüberwachung. Wir bereiten sie regelmäßig auf.

Anlass für den Einsatz von Staatstrojanern waren wie immer vor allem Drogen, so das Justizamt in der Pressemitteilung: „Wie in den vergangenen Jahren begründete vor allem der Verdacht einer Straftat nach dem Betäubungsmittelgesetz die Überwachungsmaßnahmen.“

62 kleine Trojaner

Die „Quellen-Telekommunikationsüberwachung“ hackt Geräte, um laufende Kommunikation auszuleiten. Dieser „kleine Staatstrojaner“ wurde 104 Mal angeordnet. In 62 Fällen wurde der Einsatz „tatsächlich durchgeführt“. Im Vorjahr waren es 49 Einsätze.

Spitzenreiter ist Nordrhein-Westfalen, dort haben Ermittler 23 Mal gehackt. Danach folgt Niedersachsen, dort kamen kleine Staatstrojaner zehn Mal zum Einsatz. Bayern und Sachsen haben je sieben Mal Geräte infiziert. Hamburg, Hessen und der Generalbundesanwalt hackten drei Geräte. Sachsen-Anhalt hat zweimal die Quellen-TKÜ eingesetzt, Baden-Württemberg, Rheinland-Pfalz, Schleswig-Holstein und Thüringen je einmal.

Damit hackt mittlerweile die Mehrzahl der Bundesländer. Nur fünf Länder haben keine Quellen-TKÜ eingesetzt: Berlin, Brandenburg, Bremen, Mecklenburg-Vorpommern und das Saarland.

Die Justizstatistik enthält leider keine Angaben, bei welchen Straftaten der kleine Staatstrojaner eingesetzt wird. Das Bundesjustizamt sagt, dass „vor allem“ Drogendelikte Anlass für Überwachung sind.

Sechs große Trojaner

Die „Online-Durchsuchung“ hackt Geräte, um sämtliche Daten auszuleiten. Dieser „große Staatstrojaner“ wurde 26 Mal angeordnet. In sechs Fällen wurde der Einsatz „tatsächlich durchgeführt“. Im Vorjahr waren es vier Einsätze.

Der Generalbundesanwalt hat 19 Anordnungen bekommen, aber nur zweimal gehackt. Anlass waren kriminelle oder terroristische Vereinigungen. Das könnten Rechtsterroristen wie die Patriotische Union oder Klimaaktivisten wie die Letzte Generation sein.

Bayern hat zweimal gehackt, wegen krimineller Vereinigungen oder Mord. Baden-Württemberg hackte einmal, wegen Straftaten gegen die sexuelle Selbstbestimmung bzw. kinderpornografischer Inhalte. Hessen hackte einmal, wegen Straftaten gegen die persönliche Freiheit. Hamburg wollte einmal hacken, wegen Straftaten gegen die persönliche Freiheit, war aber nicht erfolgreich.

Für und gegen Sicherheit

Politisch werden Staatstrojaner meist mit Terrorismus, Mord und Totschlag oder Straftaten gegen die sexuelle Selbstbestimmung begründet. Spitzenreiter sind jedoch auch weiterhin Drogendelikte. Damit verhindert der Staat, dass Sicherheitslücken geschlossen werden, um ein paar Drogen-Dealer zu bekämpfen.

Die Polizeibehörden besitzen mehrere Staatstrojaner, die sie einsetzen können. Das BKA hat selbst einen Trojaner Remote Communication Interception Software programmiert. Seit 2013 hat das BKA den Trojaner FinSpy von FinFisher. Seit 2019 hat und nutzt das BKA auch Pegasus von NSO. Welche weiteren Trojaner Polizei und Geheimdienste besitzen, will keine Bundesregierung öffentlich sagen.

Polizei hackt immer öfter

Erst seit fünf Jahren gibt es offizielle Statistiken, wie oft die deutsche Polizei Staatstrojaner einsetzt. Seitdem steigen die Zahlen Jahr für Jahr.

Die Ampel-Regierung wollte die Eingriffsschwellen für Staatstrojaner hochsetzen, hat das aber nicht umgesetzt. Die aktuelle Bundesregierung will den Einsatz von Staatstrojanern ausweiten. Die Bundespolizei soll Staatstrojaner gegen Personen einsetzen, die noch gar keine Straftat begangen haben.

Original Artikel

Was immer ihr sagt, gebt nichts preis

Veröffentlicht am von

Kolumne von Carla Siepmann – 25.05.2025 um 09:02 Uhr

Wer politisch aktiv ist, organisiert sich oftmals online – und macht sich damit angreifbar. Tech-Konzerne horten unsere Daten, während der Staat immer noch mehr Überwachung will. Besonders oppositionelle und jugendliche Gruppierungen müssen sich vor dieser Ausspähung schützen.

Der Generation Z ist es gleichgültig, was mit ihren Daten im Netz geschieht. Wer sein Leben auf Instagram teilt, so das weitverbreitete Vorurteil, kann kein ernsthaftes Interesse am Schutz persönlicher Informationen haben.

Diese Behauptung geht nicht nur am eigentlichen Problem vorbei, sondern sie legitimiert den kommerziellen Datenklau der Konzerne und die Kontrollfantasien staatlicher Akteure.

Tatsächlich wächst derzeit eine Generation heran, die soziale Medien als Räume politischer Teilhabe begreift und nutzt. Jugendverbände, Bewegungsinitiativen oder autonome Gruppen – sie alle nutzen soziale Medien, um sich zu vernetzen, auszutauschen und andere zu mobilisieren.

Doch gerade wer das Netz für politische Zwecke nutzt, macht sich vulnerabel. Zum einen gegenüber Big-Tech-Konzernen, die Daten sammeln und für kommerzielle Zwecke nutzen. Zum anderen gegenüber einem Staat, der ebenfalls gerne mehr darüber wissen möchte, was online ausgetauscht wird.

Eine neue Qualität der Ausspähung

Um politischen Einfluss auszuüben, ist Sichtbarkeit in sozialen Medien wichtig. Besonders Jugendliche verwenden Online-Netzwerke, um sich politisch zu organisieren. Instagram etwa nutzten 2023 rund 80 Prozent der unter 29-Jährigen, während es bei Menschen über 70 nur fünf Prozent waren. Doch Plattformen wie TikTok, Instagram oder WhatsApp verlangen Daten als Preis für Reichweite.

Die ökonomische Logik dahinter ist klar: Je mehr Daten gesammelt werden, desto besser lassen sich Verhaltensmuster analysieren, Vorlieben verkaufen und – in einem nächsten Schritt – möglicherweise politisch instrumentalisieren.

Die Ausspähung durch die Konzerne erreicht nun sogar eine neue Qualität. Meta hat angekündigt, seine KI-Modelle mit öffentlich zugänglichen Inhalten auf Facebook und Instagram zu trainieren – ohne dass Nutzer*innen dem ausdrücklich zustimmen müssen. Die Betroffenen müssen dem stattdessen aktiv widersprechen.

Politische Gruppen machen sich angreifbar

Gerade progressive, queere, migrantische oder feministische Gruppen, die soziale Medien nutzen, machen sich damit angreifbar. Denn sie verlassen sich auf Systeme, die nicht für sie gemacht wurden – sondern die gegen sie arbeiten können. TikTok, WhatsApp, Instagram und Co werden nicht kostenfrei bereitgestellt, um politische Partizipation zu ermöglichen. Der Zweck der Plattformen ist die Gewinnmaximierung. Und der Preis dafür sind eben allzu oft die Daten der Nutzer*innen.

Das ist kein abstraktes Problem, mit dem sich doch bitte Datenschützer*innen und Bürgerrechtler*innen beschäftigen sollen. Die Plattformen erheben Nutzungs-, Standort- und Gerätedaten der Nutzer*innen, damit sind die allermeisten Online-Aktivitäten einer Person nachverfolgbar. Wer dabei Zugriff auf welche Daten erlangt und an wen sie weitergegeben werden – ob an andere Konzerne oder staatliche Institutionen – bleibt dabei oft unklar. Mit dem Einsatz von KI-Technologien drohen sich diese Risiken zu verschärfen. Denn sie erleichtern es, Personen automatisiert zu identifizieren, soziale Netzwerke zu analysieren und potenziell „auffällige“ Inhalte zu klassifizieren.

Wenn Inhalte, die aus politischer Überzeugung gepostet werden – ein Banner auf einer Demo, ein politischer Aufruf oder der Like für einen regierungskritischen Post –, in KI-Systeme eingespeist werden, bedeutet das zweierlei: Erstens werden die Daten mit anderen Datensätzen in Verbindung gebracht, um bestimmte Muster aus ihnen abzuleiten. Zweitens weiß niemand, was mit den Daten später geschieht – an wen sie weitergegeben und für welche Zwecke sie verwendet werden.

In autoritären Staaten ist der Einsatz derartiger Instrumente bereits Realität. Und auch in Europa wird dieser zunehmend diskutiert, etwa die automatisierte Auswertung sozialer Medien für die Polizeiarbeit oder für die Migrationskontrolle.

Datenschutz als Selbstverteidigung

Insbesondere für oppositionelle politische Akteur:innen ist Datenschutz damit längst keine individuelle Entscheidung mehr, sondern wird schlichtweg zur politischen Notwendigkeit: Wer online politisch sichtbar sein will, muss sich technisch schützen. Nicht aus Paranoia, sondern aus Vorsicht. Und um langfristig handlungsfähig zu bleiben.

Diese sieben Schritte können konkret dabei helfen:

  1. Meta-KI widersprechen: Noch bis zum 26. Mai 2025 kann man der Verwendung der eigenen Daten für das KI-Training bei Meta widersprechen. Das sollten alle tun, die auf den Plattformen des Konzerns politische Inhalte teilen oder mit Accounts interagieren, die von Repressionen betroffen sein könnten. Vor allem all jene, die solche Accounts für Organisationen betreuen, sollten diesen Widerspruch einlegen. Eine einfache Anleitung, wie das geht, gibt es hier.
  2. Signal statt WhatsApp: So nervig es auch ist, immer wieder zwischen WhatsApp und Signal zu wechseln, weil die Oma entgegen vieler Anderer immer noch auf WhatsApp schreibt – es lohnt sich, den politischen Austausch auf Signal zu verlagern. Signal bietet Ende-zu-Ende-Verschlüsselung und gibt keine Metadaten an Werbekonzerne weiter. Gerade für die interne Kommunikation politischer Gruppen ist die App die bessere Wahl.
  3. Nur notwendige Daten teilen: Immer wieder verbreiten politische Gruppen allzu freizügig die Adressen ihrer Treffpunkte oder die Klarnamen der Teilnehmer*innen über Social Media. Diese Daten sollten nicht geteilt werden, solange das nicht unbedingt notwendig ist. Auch sollten Online-Formulare, Mitgliederlisten oder Kampagnen-Tools aufs Nötigste reduziert werden.
  4. Keine Gesichter zeigen: Fotos von der politischen Demo, dem Sommerfest im besetzten Haus oder von der Ferienfreizeit zeigen, an welchen Orten sich wer wann aufgehalten hat. Wenn diese Bilder veröffentlicht werden, sollten die abgebildeten Gesichter verpixelt werden. Die schwarz-rote Koalition will die biometrische Internetfahndung einführen und dafür eine riesige biometrische Datenbank einrichten. Je weniger Bilder von Gesichtern also online zu finden sind, desto geringer ist die Wahrscheinlichkeit, mit Hilfe einer solchen Software identifiziert zu werden.
  5. Cookies ablehnen: Bei der Recherche im Netz ist es wichtig, Tracking zu unterbinden. Erst vor wenigen Wochen urteilte das Verwaltungsgericht Hannover, dass Webseiten ihren Besucher:innen auch eine „Alles ablehnen“-Schaltfläche für Cookies anbieten müssen. Eine solch eindeutige Ablehnung ist sinnvoll, um möglichst wenig Datenspuren im Netz zu hinterlassen.
  6. Digitale Schutzräume aufbauen: Aufklärung in der eigenen Gruppe, Schulungen zu sicherer Kommunikation, gemeinsame Strategien zur Datensparsamkeit – all das stärkt die kollektive Sicherheit. Es sollten gemeinsame Absprachen getroffen werden: Welche Kommunikationskanäle werden genutzt? Was wird auf Social Media geteilt? Über welche Accounts wird auf welche Informationen zugegriffen?
  7. Im Zweifel gilt: Shut the f*ck up.

Der Staat will mehr, viel mehr Überwachung

Doch nicht nur Big-Tech will an unsere Daten: Derzeit wird der Wind rauer und der Ruf nach noch mehr Überwachung immer lauter. Union und SPD wollen auch die Vorratsdatenspeicherung neu auflegen, Staatstrojaner einsetzen und die Videoüberwachung ausbauen. Und erst kürzlich entschied der Bundesgerichtshof, dass Polizist*innen Beschuldigte unter bestimmten Bedingungen dazu zwingen dürfen, ihr Smartphone mit dem Fingerabdruck zu entsperren.

Gerade linke Organisationen – von Klimabewegungen über migrantische Selbstorganisation bis zu antifaschistischen Bündnissen – waren schon in der Vergangenheit Ziel staatlicher Überwachung und Kriminalisierung. Das wird sich auf absehbare Zeit nicht ändern, zumal nicht auszuschließen ist, dass eines Tages auch eine gesichert rechtsextreme Partei in der Regierung sitzt. Und auch das Interesse großer Konzerne, unsere Daten zu erheben und weiterzuverarbeiten, wird nicht geringer werden. Umso wichtiger ist es schon heute, sich der eigenen digitalen Spur bewusst zu sein.

Politische Räume schützen!

Wer sich gegen Rechts, gegen Umweltzerstörung, gegen Patriarchat und Rassismus einsetzt, läuft Gefahr, beobachtet zu werden – von Unternehmen und von Behörden.

Vor allem junge Menschen brauchen daher Schutzrechte: für sich selbst, für die eigene Gruppe und die Vertretung der eigenen politischen Interessen. Digitale Räume sind politische Räume und sie dürfen nicht zu reinen Risikoräumen verkommen.

Einige Risiken können wir selbst mindern, indem wir Datennutzung widersprechen, Kommunikationskanäle wechseln und vor allem: indem wir nicht mehr von uns preisgeben als nötig.

Zur ORIGINAL Kolumne