Daten sind das Herzstück von Plattformen wie YouTube, TikTok und Instagram. Dabei geht es nicht nur um die Inhalte wie Videos oder Fotos, sondern vor allem auch um die Daten der Nutzer:innen: Was klicken sie an? Mit welchen Inhalten interagieren sie? Was läuft in Dauerschleife?

Wie ihre Empfehlungssysteme horten Google, ByteDance, Meta und Co. diese Daten und geben sie nur ungern preis. Doch es ist möglich, an sie heranzukommen – für Forschende und auch Nutzer:innen selbst. Wie das funktioniert und welche Hürden auf dem Weg liegen, haben David Wegmann und LK Seiling auf dem 39. Chaos Communication Congress präsentiert.

Die Datenschutzgrundverordnung verhilft zum persönlichen Datensatz

Das wohl bekannteste Werkzeug, um an die eigenen Daten heranzukommen, ist die Datenschutzgrundverordnung (DSGVO). Gemäß Artikel 15 hat eine Person das Recht, über sie verarbeitete Daten, Verarbeitungszwecke und andere Informationen von einem Datenverarbeiter zu erhalten.

Wegmann nutzte dieses Recht für seine Forschung zur Rolle von YouTube im demokratischen Diskurs. Dabei griff er auf Datenspenden von 1.064 Dän:innen zurück, die ihm ihre YouTube-Daten zur Verfügung stellten. Die Daten erhielt er, nachdem er 40.000 Personen um eine Datenspende gebeten hatte, berichtete er in dem Vortrag.

Dabei wurden auch die Probleme mit dem Datenzugang klar: Der Weg, die eigenen Daten herunterzuladen, ist nicht immer leicht. Bei großen Anbietern wie Google gibt es meist Möglichkeiten, über die Plattform direkt die Daten anzufordern. Bei anderen Diensten bekommen Nutzende teils erst auf mehrmalige Nachfrage Auskünfte auf Papier.

Doch selbst wenn die Daten wie bei YouTube digital über ein Online-Interface zur Verfügung stehen, bleibt es oft kompliziert: Unübersichtliche Dateien, Tabellen mit unklaren Spaltenbezeichnungen und die generelle Menge an Daten führen schnell zu Überforderung. Teils sind nicht alle Informationen enthalten, bei YouTube etwa, wie lange ein bestimmtes Video abgespielt wurde.

Ein weniger bekannter Weg für Nutzende, die eigenen Daten zu erhalten, geht über den Digital Markets Act, der besonders sogenannte Gatekeeper-Unternehmen im Blick hat. Er begründet für Nutzende das Recht auf Datenportabilität, damit es ihnen möglich ist, Anbieter zu wechseln, ohne ihre gesamten Daten bei einem anderen Dienst zu verlieren.

Datenauskünfte nach dem Digital Services Act geben andere Informationen

Nicht Betroffene selbst, aber Forschende können über den Digital Services Act (DSA) Daten von sehr großen Online-Plattformen anfordern. Seiling unterstützte Wegmann dabei, einen Antrag bei Google zu stellen.

Seiling sagt gegenüber netzpolitik.org: „Grundsätzlich gibt es im DSA zwei Arten von Forschungsdatenzugang. Einmal für öffentlich verfügbare Daten in Artikel 40 (12) und für allgemeine Daten in Artikel 40 (4).“ Bei Ersterem sollen Plattform-Anbieter Forschenden Zugang zu öffentlich zugänglichen Daten ihrer Dienste geben, um systemische Risiken zu erforschen. Bei Letzterem geht es um privilegierten Zugang zu Daten, die teilweise nicht öffentlich sind und die ebenfalls zur Risikoerforschung genutzt werden sollen. Das können beispielsweise Informationen zu Moderationsentscheidungen sein. Dafür sind die Hürden höher, der Antrag auf Zugang zu diesen Daten läuft nicht über die Plattformen direkt, sondern über den jeweils zuständigen nationalen Koordinator für Digitale Dienste.

Da der DSA und das darin verbriefte Recht auf Datenzugang noch vergleichsweise neu sind, gibt es teilweise noch Unklarheiten, was Antragsprozesse oder den Umfang der entsprechenden Daten angeht.

„Der DSA spezifiziert nicht genau, was mit öffentlich verfügbaren Daten gemeint ist“, sagt Seiling gegenüber netzpolitik.org. „Meiner Auffassung nach müsste das auch Informationen zum Plattformdesign oder Inhaltsdaten etwa von Videos betreffen. Aber es ist noch nicht klar, wo genau da die Grenze verläuft.“

Für Wegmann waren die Hürden des Antragsprozesses zu den öffentlich verfügbaren Daten ein Problem. „Google verlangt, dass man beweist, dass man die Daten supersicher aufbewahren kann und will technische Details zur Speicherung wissen. Wir speichern die nun mit den gleichen Vorkehrungen wie die Patient:innendaten der medizinischen Fakultät“, so der Forscher.

Dass im Vorfeld nicht klar sei, welche Bedingungen man für den Datenzugang erfüllen müsse, sei ein Problem für Wissenschaftler:innen. „Das hat mich Wochen an Arbeit gekostet, all diese Informationen herauszubekommen“, berichtet Wegmann.

Was ist Forschung?

Eine weitere Hürde liegt in der Frage, wer überhaupt laut dem Gesetz als „Forscher“ gilt. Für den Zugang zu öffentlichen Daten muss man nicht an eine Forschungseinrichtung angeschlossen sein. Aber dennoch muss der Antragstellende neben den technischen Voraussetzungen nachweisen, dass die Forschung „unabhängig von kommerziellen Interessen“ ist und seine Finanzierung offenlegen.

Gerade derartig aufwendige Nachweisprozesse dürften für zivilgesellschaftliche Forschung eine Hürde darstellen, insbesondere dann, wenn sie sich über lange Zeiträume hinziehen.

Trotz der bestehenden Hindernisse sehen Wegmann und Seiling in den Datenzugangsrechten wichtige Werkzeuge. „Mir ist wichtig, dass die Hackercommunity versteht, dass wir das Recht auf unserer Seite haben“, sagt Seiling. „Das ist nicht zu unterschätzen.“ Indem über den Datenzugang Probleme identifiziert werden, ließen sich vielleicht auch Plattformen dazu bringen, Umbauten vorzunehmen. Und so steht auch auf ihrer Schlussfolie zum Vortrag die Aufforderung: „Du kannst [die Datenauskunftsrechte] nutzen, um Tech-Plattformen zur Verantwortung zu ziehen.“

Gerade weil diese Rechte ein mächtiges Werkzeug sind, ist es wichtig, sie aktiv zu nutzen und zu verteidigen. Auch gegen Bestrebungen der EU-Kommission, etwa im Digitalen Omnibus die Selbstauskünfte nach der DSGVO einzuschränken. Und so warnt Wegmann davor, dass Datenauskunftsrechte und andere Rechte zur Verhandlungsmasse gemacht werden, auch auf Druck der USA, die sich gegen europäische Tech-Regulierung stemmen.

Im Plesk Media Server hatten die Entwickler im August eine Sicherheitslücke geschlossen. Kurz darauf gemeldete Zugriffssicherheitslecks haben sie offenbar jedoch noch nicht ausgebessert. Nutzerinnen und Nutzer sollten daher die Zugriffsmöglichkeiten sicherheitshalber einschränken.

In den am Wochenende veröffentlichten Schwachstellenmeldungen weist der Entwickler Luis Finke darauf hin, dass die Authentifizierungsschwachstelle CVE-2025-34158 (CVSS 8.5, Risiko „hoch“) zwar mit Version 1.42.1 vom Plex Media Server im August geschlossen wurde. Jedoch stehen flankierende Sicherheitslücken in der Zugriffstoken-Verwaltung weiterhin offen und stellen ein Risiko dar. Sie ermöglichen persistenten unautorisierten Zugriff, Rechteausweitung und erzeugen Probleme beim Zurückziehen kompromittierter Zugangsdaten.

Am schwersten wiegt demnach eine Lücke in Plex Media Server bis einschließlich der aktuellen Version 1.42.2.10156 vom September, durch die Angreifer sich mit einem temporären Zugangstoken durch einen Aufruf von „/myplex/account“ einen permanenten Zugangstoken verschaffen können (CVE-2025-69414, CVSS 8.5, Risiko „hoch“). Ein ähnlicher Aufruf, jedoch mit einem Geräte-Token, prüft nicht korrekt, ob das Gerät überhaupt mit einem Konto verknüpft ist (CVE-2025-69415, CVSS 7.1, Risiko „hoch“).

Schwachstellen im plex.tv-Backend

Zwei weitere Sicherheitslücken betreffen das plex.tv-Backend bis einschließlich der Version vom 31.12.2025. Ein nicht-Server-Geräte-Token kann andere Token aus „clients.plex.tv/devices.xml“ abgreifen, die für anderweitige Zugriffe vorgesehen sind (CVE-2025-69416, CVSS 5.0, Risiko „mittel“). Selbiges gelingt über einen „shared_servers“-API-Endpunkt (CVE-2025-69417, CVSS 5.0, Risiko „mittel“).

Da noch keine Aktualisierungen bereitstehen, die die teils hochriskanten Sicherheitslücken stopfen, sollten Plex-Nutzerinnen und -Nutzer die Zugriffe auf den Server auf vertrauenswürdige Adressen beschränken.

(dmk)

Liebe Leser*innen,

das Jahr ist erst drei Tage alt und ich bin derzeit noch vor allem damit beschäftigt, die vergangene Woche zu verarbeiten. Der Jahreswechsel ist ja ohnehin für viele Menschen eine emotionale Zeit, für mich in jedem Fall. Das liegt nicht nur an diesem symbolisch aufgeladenen Datum, das zur Rückschau und zum Ausblick einlädt, sondern auch an dem Ereignis, das sich traditionell zwischen Weihnachten und Silvester abspielt: die jährliche Versammlung auf dem Kongress des Chaos Computer Clubs.

Es ist schwer in Worte zu fassen, was diese Veranstaltung ausmacht. Mehr als 15.000 Menschen kommen hier zusammen, um für vier Tage einen Ort zu erschaffen (mit Auf- und Abbau sind es noch mehr), der in vielerlei Hinsicht anders funktioniert als die Welt außerhalb. Sie programmieren, löten und knacken Schlösser zum Spaß. Vor allem aber sind sie solidarisch miteinander, sie vernetzen sich, sie teilen ihr Wissen und ihre Arbeitskraft. Sie schmieren Brötchen, kontrollieren den Einlass, bringen leere Flaschen weg und kümmern sich auch sonst rührend umeinander  – alles im Ehrenamt, alles selbstorganisiert. Das zu erleben, ist für mich jedes Jahr aufs Neue berührend und gibt mir Mut und Energie fürs neue Jahr.

Wenn mich jemand fragt, wie es auf dem Congress war, dann beschreibe ich meist genau diese Gefühle. Congress bedeutet Liebe, Dankbarkeit und Anerkennung. Ich fühle sie für viele der anderen Besucher*innen, die hier zusammenkommen. Denn es geht ja nicht nur um die Strukturen, die hier für eine viertägige Großkonferenz gemeinsam erbaut werden (auch wenn die unglaublich unterhaltsam und beeindruckend sein können). Viele der Menschen auf dem Congress arbeiten über das ganze Jahr daran, Strukturen zu schaffen und zu erhalten, die eine Gesellschaft besser machen. Sie kämpfen für Informationsfreiheit, gegen eine rassistische Migrationspolitik oder decken Sicherheitslücken auf. Die Vernetzung, Solidarität und Empathie, die es in Zeiten der faschistischen Bedrohung so dringend braucht und die in den vergangenen Jahren immer weiter abhandenkommt? Auf dem Congress findet man sie in allen Ecken.

Und wenn man das Glück hat, für eine Organisation wie netzpolitik.org zu arbeiten, dann bedeutet Congress umgekehrt auch: Liebe und Anerkennung zu erhalten. Menschen kommen nach den Vorträgen auf uns zu. In vielen der Talks greifen andere unsere Berichterstattung auf. Oder wie mein Kollege Markus Reuter schreibt:

„Es ist ein krasses Gefühl, einen Vortrag auf dem #39c3 zu hören und der Speaker bittet plötzlich um Applaus für @netzpolitik_feed – und dann klatschen da mehr als 2000 Menschen für das Medium, für das Du arbeitest. Mehr Vertrauen und Anerkennung kann ich mir kaum vorstellen.“

Nach dem mehrtägigen Bad in dieser wohligen Gefühlssuppe saß ich dann gerade völlig übermüdet im Zug auf dem Rückweg nach Berlin, als ich die Nachricht erhielt, dass wir unser Spendenziel für das Jahr 2025 erreicht haben. Und das bereits am 30. Dezember. In nur sechs Wochen hatten uns sehr viele Menschen zusammen fast eine halbe Million Euro gespendet und so dafür gesorgt, dass unsere Arbeit weiter finanziert ist. Ich kam dann sehr müde und sehr glücklich zu Hause an. #blessed

Ich weiß, dass der Jahreswechsel für viele eine eher ernüchternde und deprimierende Zeit ist. Es ist verständlich und okay, sich angesichts der Weltlage mutlos zu fühlen. Fürs nächste Jahr wünsche ich euch, dass ihr einen Ort findet, der euch so gute Gefühle gibt wie mir der Congress.

Auf ein Neues

Chris