Die Stadtverwaltung Ludwigshafen hat Ende vergangener Woche die Datenverarbeitungssysteme heruntergefahren, nachdem Anomalien im Netzwerk aufgefallen sind. Bei den andauernden Untersuchungen haben sich die Hinweise verdichtet, dass ein Cyberangriff stattgefunden hat. Die Systeme bleiben noch einige Tage offline, kündigt die Stadt an. Die ist derweil weder telefonisch noch digital erreichbar.

Die Stadtverwaltung Ludwigshafen hat in einem PDF den Stand der Dinge zusammengetragen. Demnach gab es offenbar bereits am Donnerstag vergangener Woche ungewöhnliche Aktivitäten im Netz der Stadtverwaltung. Die Monitoring-Systeme sind angeschlagen, woraufhin gegen 10:30 Uhr die Systeme heruntergefahren wurden – vorsorglich, zum Vermeiden von Schäden. „Zu Ursache und Herkunft der Auffälligkeiten im städtischen Datennetz lassen sich zu diesem frühen Zeitpunkt noch keine verlässlichen und verbindlichen Aussagen machen“, erklärte die Stadtverwaltung zunächst. Externe IT-Spezialisten wurden zur Untersuchung hinzugezogen. Die Systeme können erst nach sorgfältiger Prüfung schrittweise wieder hochgefahren werden.

Lage am Sonntag

Es ist noch unklar, ob Daten von Bürgerinnen und Bürgern betroffen sind. Nach den ersten Untersuchungen geht die Stadt jedoch davon aus, dass keine Daten abgeflossen sind. Allerdings haben sich die Hinweise verdichtet, dass es sich tatsächlich um einen Cyberangriff handelt. Herkunft und Ursache der Auffälligkeiten im städtischen Datennetz sind jedoch weiterhin unbekannt.

Die städtische IT untersucht die Systeme zusammen mit externen Dienstleistern weiter auf Infiltrierungen. „Die weiteren Überprüfungen des Datennetzes werden noch mindestens die gesamte kommende Woche andauern, möglicherweise auch länger“, erklärt die Stadtverwaltung. Möglicherweise können erste Dienste bereits wieder in Betrieb genommen werden, es lasse sich jedoch nicht sagen, ob und wann.

In der Woche zuvor wurde die Webseite der Stadt Trier Ziel von Cyberangriffen.

(dmk)

Die heutige Degitalisierung wird sehr tierisch. Denn manchmal lässt sich menschliches Verhalten besser beschreiben, wenn wir es mit tierischen Verhaltensweisen vergleichen. Denn irgendwie sind Menschen ja auch Herdentiere, mit oftmals frappierend ähnlichen Verhaltensweisen.

Bei Herdentieren wie Rindern, Schafen oder Pferden kann es – oftmals unerklärlich – eine unvermittelte Fluchtbewegung geben, die die ganze Herde umfasst. Eine Stampede. Ein paar wenige Mitglieder einer Herde versetzen so mittels einer positiven Rückkopplung die ganze Herde in Bewegung, die dann ziellos in irgendeine Richtung läuft. Die Positivität der Rückkopplung ist dabei weniger als Wertung des Effekts zu verstehen, sondern als eine Beschreibung, ob die Rückkopplung einen Effekt verstärkt. Was genau der Auslöser dieser Rückkopplung ist, ist am Ende gar nicht mehr so klar, am Ende bleibt aber oftmals Chaos und Verwüstung.

Positive Rückkopplung ist aber auch oftmals eine der Triebfedern von digitalen Anwendungen und Geschäftsmodellen. Der Informatiker Luis von Ahn etwa baute 2007 ein System zur Erkennung von Bots namens ReCAPTCHA, bei dem Menschen sich nicht durch bestimmte Handlungen von maschinellen Bots abgrenzen, sondern gleichzeitig auch Teile von Büchern digitalisieren. Wort für Wort, Boterkennung für Boterkennung.

2011 arbeitete von Ahn dann an Duolingo, einer Anwendung zum Erlernen von Sprachen. Duolingo ist dabei vor allem aufgebaut auf dem Prinzip der positiven Rückkopplung mittels Gamification. Das Lernen von Sprachen wird dabei nicht zum bloßen Pauken von Vokabeln und Erlernen von Grammatikregeln. Sondern es wird zum Spiel, bei dem es gilt, möglichst lange dabei zu bleiben, immer höhere Level zu erreichen und seinen Streak, eine möglichst lange Nutzungskontinuität, am Leben zu halten.

Flow und Stop

Psychologisch gesehen hat Duolingo das Prinzip des sogenannten Flow) bestmöglich ausgenutzt. Flow wurde durch Mihály Csíkszentmihályi beschrieben als ein optimaler mentaler Zustand zwischen Unter- und Überforderung, der zur völligen Vertiefung und zum völligen Aufgehen in einer Tätigkeit führen kann, die ansonsten eigentlich eher nicht plausibel scheinen würde. War das Lernen von Sprechen früher vielleicht nerviges Pauken, das Jugendliche widerwillig machen mussten, führt der durch Gamification erzeugte Flow dazu, dass es plötzlich Spaß macht, Sprachen zu lernen.

Wahrscheinlich hätte dieses Prinzip der positiven Rückkopplung für Duolingo noch für Generationen weiter funktioniert und hätte das dahinterstehende Unternehmen lange finanziell erfolgreich gehalten, wäre da nicht ein Bruch im Flow entstanden. Wegen sogenannter künstlicher Intelligenz.

Am 28. April postete von Ahn als CEO von Duolingo die Inhalte einer E-Mail, die er gerade an alle Mitarbeitenden von Duolingo versendet hatte. Duolingo müsse nun eine „AI-first“-Organisation werden. Angekündigt wurden dann Maßnahmen wie Mitarbeiterbewertungen mittels KI, Auslagern von Arbeit an KI, die bisher von Unterauftragnehmern erledigt wurde, und so weiter. Die Reaktion auf diese Pläne folgte sofort: Langjährige Nutzer*innen beendeten ihre mühsam aufrechterhaltenen Streaks öffentlichkeitswirksam in den sozialen Netzwerken, in denen Duolingo eigentlich gut positioniert war. Die kostenpflichtigen Abos gingen zurück und am Ende konnte sich von Ahn gar nicht so genau erklären, wieso dieser Backlash jetzt genau entstand. Der Flow, der zu positiver Rückkopplung führt, kann auch genauso schnell wieder abrupt stoppen und die ganze Herde zum Stillstand bringen.

Aber vielleicht war „AI-first“ zumindest ja finanziell erfolgreich? Ja und Nein.

Herden marodierender Investments

Aktienmärkte und Investoren sind eine weitere seltsame Herde von Menschen, die oftmals eher impulsiv reagieren. Aktien steigen oft durch positive Rückkopplungseffekte noch weiter. Ist die generelle wirtschaftliche Lage gut, wird auf die vermeintlich richtigen Trends in der Zukunft gesetzt oder gibt es politisch gute Signale, wird der eigene wirtschaftliche Erfolg noch einmal weiter gesteigert. Ist die generelle wirtschaftliche Lage schlecht und erweisen sich die vermeintlich bislang als richtig angenommenen Trends als nicht so profitabel, geht es schnell nach unten.

In den vergangenen Jahren war KI der Indikator für eine gute wirtschaftliche Zukunftsaussicht. Trotz des Kanons von Problemen, in den ich jetzt routinemäßig einstimmen möchte: große Probleme wie Bias, digitaler Kolonialismus, immenser Ressourcen- und Energieverbrauch, hohe Machtkonzentration, ungehemmter Datenkonsum, Wegbereitung des Faschismus, Plagiarismus und Desinformation.

Da der Aktienmarkt aber selten eine besonders hohe Moral oder Bedenken diesbezüglich hat, ist das oftmals einerlei. Herden marodierender Investor-Konsortien oder eine ganze Kaste von Manager*innen, die sich von ihrem eigentlichen Produktsinn und dem damit entstehenden Wert immer weiter entfremden, sehen ihren Erfolg ja oftmals in kurz- bis mittelfristigen Quartalszahlen, nicht in der Schaffung von langfristigen Werten. Der Markt sah es in den letzten Jahren als unabdingbar an, KI in quasi jegliches Produkt zu integrieren, unabhängig davon, ob das irgendwie sinnvoll ist.

Kurzfristige Gefühlswallungen von vermeintlich erwachsenen Menschen, die mit sehr viel Geld die Ausrichtung des Wirtschaftssystems beeinflussen können, führen zu „AI-first“-Entscheidungen, die vor allem Menschen schaden. Einerseits durch Jobabbau, andererseits durch instabile, schädliche digitale Produkte. Chatbots, deren auch wirtschaftlich motivierte, besonders menschliche Anmutung Menschen in Psychosen oder den Suizid treiben. Immer weiter fortschreitende KI‑sierung der Bildung, die letztlich zu weniger kritischem Denken und Hirnaktivität führt.

Weil das aber oftmals wirtschaftlich noch nicht reicht, sich auch über solche moralischen Probleme hinwegzusetzen, braucht KI im Unternehmensumfeld heutzutage teils sehr spezielle Incentivierung. Wenn die Herde nicht von alleine läuft, muss sie getrieben werden. Ethan Marcotte listet in seinem Beitrag über KI als gescheiterte Technologie einige dieser Beispiele auf. Tech-Unternehmen wie Zapier, Shopify oder Microsoft, die KI auf Unternehmensebene mit teils absurden Maßnahmen durchdrücken (müssen).

Plop?

Gegen Ende dieser Kolumne ist es damit Zeit, die von KI-Enthusiasmus angesteckte Herde wieder einzuhegen.

Nun gibt es speziell in Europa immer noch Politiker*innen und Unternehmen, die der Herde von marodierenden Investments hinterherlaufen. Weil sie immer noch das Gefühl haben, den Anschluss zu verpassen. Da ist die Bundesregierung, die in der vergangenen Woche die Hightech-Agenda hyped, ein Digitalminister, der noch von Superintelligenz fabuliert bei der Eröffnung des ersten größeren KI-Rechenzentrums in München.

Dabei sind die Zeichen für ein Platzen der KI-Blase gerade durchaus häufiger zu finden. In Wirtschaftsnachrichten wird schon mal durchgedacht und gerechnet [€], was passiert, wenn. Ehemals angesehene Digitalexperten bringen schon mal die Schäfchen ins Trockene [€]. Parallelen zum Dotcom-Hype werden skizziert. Weil die erhofften immensen Renditen nicht so wirklich zu machen sind.

Entlassungen von AI-first-Unternehmen werden still und leise teilweise wieder zurückgenommen, oftmals aber dann mit neuen Mitarbeitenden zu schlechteren Löhnen anderswo. KI in der heutigen Form ist nichts anderes als eine andere Form der Unterdrückung der Mitarbeitenden, ein Mittel, um niedrigere Löhne durchzusetzen.

Sei ein Esel

Im Umgang mit Technologie, Digitalisierung und vermeintlicher Innovation brauchen wir dabei nicht hinter den anderen aufgescheuchten Innovationsherdentieren ohne eigenen Plan hinterherzulaufen, sondern vielleicht ein besseres Wappentier: den Esel.

Esel werden oftmals als störrisch und stur wahrgenommen, weil sie nicht sofort auf Anweisungen hören. Dabei sind Esel Tiere mit hoher Intelligenz und hohem Bewusstsein. Auch wenn Esel und Pferde beides Fluchttiere sind, reagieren sie in Gefahrensituationen jeweils anders. Im Moment der Gefahr bleibt der Esel erst mal stehen und analysiert die Situation, er läuft nicht einfach wild weg oder hinterher.

Ein einfacher Esel hat damit mehr Bewusstsein als jede noch so komplexe und teure KI, die in der heutigen Form ohnehin nie Bewusstsein erreichen wird. Ein einfacher Esel hat damit mehr Bewusstsein als die geradezu schreckhaft reagierende Geschäfts- und Aktienhandelswelt, die wild der Gefahr von verpassten zweifelhaften Chancen hinterherläuft. Zu gegebener Zeit ist es besser, eher wie ein Esel zu sein und dementsprechend zu handeln.

Was uns Menschen aber vom Esel hoffentlich noch weiter positiv abhebt: dass wir uns als Menschen gemeinsam für etwas Sinnvolles einsetzen können. Zum Schluss möchte ich auf Mike Monteiros Talk How to draw an orange verweisen. In einer zutiefst menschlichen und herzlichen Perspektive erinnert er uns daran, dass KI und technische Veränderungen zum Nachteil der Menschen keine unausweichliche Kraft sind, keine Stampede, bei der wir mitfliehen müssen. Es ist keine Kraft, vor der wir nicht ausweichen können. Wir können uns als Gruppe gegen Strukturen und Technologien gegen Menschen stellen, weil wir das schon mal in der Geschichte der Menschheit getan haben. Auch wenn es manchmal erst einmal schlimmer werden muss, damit Menschen sich aufraffen und sich der Unsinnigkeit des eigenen Handelns bewusst werden.

Manchmal ist es besser, ein Esel zu sein.

Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

[Update am Ende des Textes: Euractiv berichtet, dass die Kommission das „legitime Interesse“ als Rechtsgrundlage für Online-Tracking etablieren will.]

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird die EU-Kommission ein weiteres Reformvorhaben vorlegen, das sogenannte Digital Package. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

—
Update, 07.11.2025, 11:30 Uhr: Inzwischen kursiert ein Entwurf der EU-Kommission für den digitalen Omnibus. Euractiv berichtet darüber [hinter Paywall] mit Blick auf den Datenschutz. Demzufolge könnten künftig auch nicht-notwendige Cookies auf Basis der Rechtsgrundlage des legitimen Interesses gesetzt werden. Nutzer:innen müssten dann nicht mehr vorab gefragt werden, bevor sie für Werbezwecke überwacht werden. Tracking-Firmen und Datenhändler dürften sich freuen.