Polizeigesetz Niedersachsen: Verfassungsrechtliche Bedenken bei geplanten Überwachungsmaßnahmen
Der Landesdatenschutzbeauftragte und Polizeirechtler*innen sehen grundlegende Probleme in dem Entwurf des neuen Polizeigesetzes von Niedersachsen. Das wurde gestern bei einer Anhörung im Innenausschuss deutlich.
Die Sci-Fi-Systeme aus dem geplanten niedersächsischen Polizeigesetz sieht Denis Lehmkemper „auf der kritischen Grenze zwischen verbotenen KI-Praktiken und Hochrisiko-KI-Systemen“. – Alle Rechte vorbehalten Daniel George
Die rot-grüne Landesregierung von Niedersachsen will ihrer Polizei vier verschiedene Arten KI-gestützter Überwachung erlauben. Der Landesdatenschutzbeauftragte Denis Lehmkemper bezog nun öffentlich dazu Position. Er schreibt, dass diese Befugnisse die Eingriffsintensität in die Grundrechte gegenüber bisherigen Maßnahmen „erheblich erhöhen“. Sie würden sich auf der kritischen Grenze zwischen verbotenen KI-Praktiken und Hochrisiko-KI-Systemen bewegen. Es bestünde die Gefahr, „dass die Regelungen aufgrund ihrer Eingriffstiefe einer verfassungsrechtlichen Bewertung nicht standhalten.“
Gestern nahmen Lehmkemper und weitere Expert*innen im Innenausschuss des Landtags Stellung zum aktuellen Entwurf des niedersächsischen Polizeigesetzes. In einer Presseerklärung, die er danach versandte, zweifelt Lehmkemper daran, dass der Entwurf die Grundrechte im Blick behält.
Als besonders eingriffsintensiv benennt er die Maßnahmen mit sogenannter Künstlicher Intelligenz, wie sie sich derzeit in etlichen umstrittenen deutschen Polizeigesetzentwürfen finden: „intelligente“ Videoüberwachung, biometrische Echtzeit-Fernidentifizierung, Abgleich mit öffentlich zugänglichen Daten und automatisierte Datenanalyse. In diesen Bereichen sieht Lehmkemper „erheblichen Nachbesserungsbedarf“ an den Regelungen.
„Ein Paradigmenwechsel“
„Aus unserer Sicht sind europäische Datenschutz- und KI-Vorgaben noch nicht ausreichend berücksichtigt, damit riskiert man Rechtsunsicherheit“, schreibt er netzpolitik.org zu dem Entwurf.
Die Landesregierung will mit dem Entwurf auch Datenanalysen ermöglichen, wie sie der Konzern Palantir anbietet und die US-Einwanderungsbehörde gerade zur Jagd auf Migrant*innen nutzt. Lehmkemper sieht hier einen tiefen Eingriff in die Bürgerrechte, sogar einen Paradigmenwechsel. Während Daten von Zeugen und Opfern bislang nur zweckgebunden und vorgangsbezogen erhoben wurden, wäre es danach möglich, eine Datenbank zu betreiben, die nicht nur nach polizeilichen Vorgängen, sondern auch nach Zeugen und Opfern, also gezielt nach Personen, durchsucht werden kann.
Die Landesregierung hat bereits bekundet, keine Software von Palantir einsetzen, sondern auf eine europäische Alternative warten zu wollen. Der Datenschutzbeauftragte fordert, „völlig unabhängig davon, welches Software-System dafür eingesetzt werden soll, eine klare Begrenzung auf anlassbezogene Analysen, kürzere Speicherfristen, umfassende Betroffenenrechte und eine eindeutige Definition des Einsatzes von Künstlicher Intelligenz im Sinne der KI-Verordnung.“
„Verstoß gegen Verfassungsrecht“
Kristin Pfeffer, Professorin an der Hochschule der Polizei Hamburg, hat ebenfalls gestern im Innenausschuss das Polizeigesetz eingeordnet. In einer schriftlichen Stellungnahme, die sie dazu eingereicht hat, kritisiert sie vor allem die Befugnisse zur Datenanalyse nach Palantir-Art. Sie sieht einen Verstoß gegen das Verfassungsrecht, weil die Politik der Polizei zur Nutzung des Tools zu wenige Regeln auferlegt.
Die Big-Data-Analyse sei „äußerst eingriffsintensiv“, deshalb brauche es, wenn man sie einführen wolle, Regelungen, die die Eingriffstiefe der Maßnahme abmildern. Die gäbe es kaum. Die Art der Daten, die einbezogen werden könnten, sei kaum limitiert. Die Polizei darf dem Entwurf nach „Vorgangsdaten, Falldaten, Daten aus den polizeilichen Auskunftssystemen, Verkehrsdaten, Telekommunikationsdaten, Daten aus Asservaten und Daten aus dem polizeilichen Informationsaustausch“ nutzen.
Vorgangsdaten umfassen dabei, so Pfeffer, „Anzeigen, Ermittlungsberichte und Vermerke, die nicht nur Daten zu Verdächtigen, Beschuldigten oder sonstigen Anlasspersonen enthalten, […] sondern etwa auch Daten zu Anzeigeerstattern, Hinweisgebern oder Zeugen.“ Falldaten würden zudem „Beziehungen zwischen Personen, Institutionen, Objekten und Sachen“ sichtbar machen.
Dazu kommen „Datensätze aus gezielten Abfragen in gesondert geführten staatlichen Registern sowie einzelne gesondert gespeicherte Datensätze aus Internetquellen.“ Solche Register können laut Pfeffer Melde- oder Waffenregister oder das zentrale Verkehrsinformationssystem (ZEVIS) sein. Zudem sei die Verarbeitung von Daten, die durch besonders schwere Grundrechtseingriffe erlangt wurden, zum Beispiel durch die Wohnraumüberwachung oder den Einsatz verdeckter Ermittler*innen, nicht ausgeschlossen, sondern nur eingeschränkt.
Eine Superdatenbank
Die Politik habe es bislang auch verpasst, so Pfeffer, die Eingriffstiefe durch die Beschränkung auf inländische Quellen zu beschränken. Nach der aktuellen Fassung könnten auch Daten verarbeitet werden, die ausländische Sicherheitsbehörden erhoben haben.
Der Polizeigesetzentwurf ermöglicht es zudem, eine „Superdatenbank“ anzulegen. Pfeffer sähe eine solche aber unvereinbar mit dem aktuellen Verfassungsrecht. „Sollte das Anlegen einer vorsorglichen Datenbank gar nicht beabsichtigt sein, müsste dies in der Norm noch klargestellt werden“, schreibt sie.
Pfeffer kritisiert auch die Eingriffsschwelle für die Datenanalyse: Die liegt bereits im Vorfeld einer Gefahr für eine terroristische Straftat. Das Tool darf demnach genutzt werden, noch bevor eine Gefahr konkret wird.
Racial Profiling ist für Rot-Grün kein Thema
Matthias Fischer, Professor an der Hessischen Hochschule für öffentliches Management und Sicherheit, wurde ebenfalls gestern im Innenausschuss angehört und schreibt in einer schriftlichen Stellungnahme dazu: „Als eine besonders auffällige Leerstelle erweist sich die Thematik „Racial Profiling“.“
Zahlreiche Landesgesetzgeber hätten sich in den vergangenen Jahren bei den Novellierungen ihrer Polizeigesetze dieses Themas angenommen. „Sie haben erkannt, dass rechtswidriges oder als rechtswidrig erlebtes Polizeihandeln zu nachhaltigen Vertrauensverlusten in die Institution Polizei führen kann“, schreibt Fischer. In der Diskussion über den Reformbedarf des niedersächsischen Polizeigesetzes habe Racial Profiling aber offenbar trotzdem keine Rolle gespielt.
„Wer mit dem Anspruch antritt, das modernste Polizeigesetz Deutschlands vorlegen zu wollen, darf das Thema diskriminierender Kontrollen nicht ausblenden“, schreibt Fischer. Um der Gefahr von Racial Profiling zu begegnen, empfiehlt er eine Pflicht für Polizist*innen, Personenkontrollen vor deren Beginn zu begründen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
EU soll „vollständig und endgültig“ auf Chatkontrolle verzichten
Auch Inhalte von verschlüsselten Messengern wie Signal und WhatsApp sind im Fokus der Chatkontrolle. – Alle Rechte vorbehalten IMAGO / photothek
Die EU-Gesetzgeber sollen in den Trilog-Verhandlungen zur CSA-Verordnung vollständig und endgültig auf eine Chatkontrolle verzichten. Das fordern die unabhängigen Datenschutzbehörden aus Bund und Ländern.
Die Datenschutzkonferenz appelliert in einer Stellungnahme (PDF) an die Verhandelnden, von der Massenüberwachung privater Chats per Aufdeckungsanordnungen, dem flächendeckenden Scannen privater Nachrichten und einem Durchbrechen der Ende-zu-Ende-Verschlüsselung ohne Ausnahme abzusehen.
„Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Bürgerinnen und Bürgern und könnten auch von Kriminellen ausgenutzt werden“, so die Datenschützer:innen. Zu den Gefahren für eine Ende-zu-Ende-Verschlüsselung zählen die Datenschützer auch das Client-Side-Scanning, bei dem Inhalte vor dem Verschlüsseln auf dem Endgerät durchsucht werden.
Generell dürfe eine Überwachung privater Kommunikation nur gezielt und bei einem konkreten Verdacht zum Einsatz kommen, so die Datenschutzkonferenz. Auch ein Ziel wie die Verhinderung und Verfolgung von sexuellem Missbrauch von Kindern rechtfertige keinen Generalverdacht gegen Millionen von Bürger:innen. Die Aufsichtsbehörden begründen dies unter anderem mit dem Recht auf Vertraulichkeit der Kommunikation und dem Recht auf informationelle Selbstbestimmung.
Erste Einigungen im Trilog
Ein Großteil der Trilog-Verhandlungen passiert auf Arbeitsebene. Gestern fand die zweite Verhandlung auf politischer Ebene statt. Laut Tagesspiegel Background Digitalisierung (€) haben sich Rat und Parlament „vorläufig auf eine Reihe politisch sensibler Fragen geeinigt“, die Informationen sind aber vage. Bisher ging es vor allem um das EU-Zentrum gegen Kindesmissbrauch, nicht direkt um die Chatkontrolle. Die dritten politischen Trilog-Verhandlungen sind für den 11. Mai angesetzt.
Der Trilog ist im EU-Gesetzgebungsverfahren der Abschnitt, in dem EU-Kommission, EU-Parlament und der Rat ihre vorher gefundenen Positionen zusammen verhandeln und eine finale Version des Gesetzestextes erarbeiten, die dann später dem Europaparlament zur Abstimmung gegeben wird. Der Trilog ist erfahrungsgemäß eine intransparente Phase des Gesetzgebungsprozesses, in dem noch viel passieren kann. Wer im Trilog, welche Verhandlungspositionen vertritt und was die strittigen Punkte sind, haben wir in diesem Erklär-Artikel beschrieben.
Bericht: US-Verteidigungsministerium will Chinas Infrastruktur mit KI abklopfen
Das US-Verteidigungsministerium will mithilfe von Künstlicher Intelligenz Schwachstellen in der chinesischen Infrastruktur ausmachen. Das berichtet die Financial Times unter Berufung auf nicht namentlich genannte Quellen. Das Ministerium verhandele dazu mit führenden US-KI-Unternehmen über Partnerschaften. Im Fokus liegen Stromnetze, Versorgungsanlagen, sensible Netzwerke sowie andere Systeme.
Weiterlesen nach der Anzeige
Ziel sei es, dass KI eigenständig in Computernetzwerke eindringt, Schwachstellen in der Software kartiert und potenzielle Angriffsziele in die US-Kriegsplanung integriert. Das Ministerium plane, bestehende Werkzeuge für die Cyberspionage durch KI zu ergänzen. Eine Überlegung sei, Kraftwerke in der Nähe von Rechenzentren im Konfliktfall auszuschalten, um die KI-Fähigkeiten von Gegnern zu schwächen.
KI soll Chinas Manpower-Vorteil ausgleichen
Die USA sehen in KI eine Chance, mit Chinas Fähigkeiten in der Cyberkriegsführung gleichzuziehen. Das, was China in diesem Bereich an Manpower bereithalte, könnte für die USA die KI sein. In kürzerer Zeit könnten mehr potenzielle Schwachstellen abgeklopft werden. Das Verteidigungsministerium hat bereits Verträge mit Firmen wie OpenAI, Anthropic, Google und xAI im Umfang von je bis zu 200 Millionen US-Dollar. Hierbei geht es um Militär-, Cyber- und Sicherheitsanwendungen.
Im Ansinnen der US-Regierung steckt weiteres Konfliktpotenzial für einen bestehenden Streit mit Anthropic. Hierbei ging es um die Nutzung der KI-Modelle für die Massenüberwachung der US-Bevölkerung und für den Betrieb in vollautonomen Waffensystemen. Anthropic hatte dies als Überschreiten roter Linien bezeichnet. Das Verteidigungsministerium drohte damit, das KI-Unternehmen als Risiko für die Lieferketten einzustufen, wenn es nicht kooperiere. Auch eine Verpflichtung zur Bereitstellung der Technik per Kriegsgesetz stand als Drohung im Raum. Anthropic weist ein entsprechendes Ultimatum zurück.
Im US-Verteidigungsministerium herrsche die Ansicht vor, dass China keine Skrupel haben wird, KI auf jede erdenkliche Weise für Konflikte einzusetzen, zitiert die FT einen Informanten. Deshalb wollten auch die USA weitreichend von KI Gebrauch machen.
sudo-rs ändert 46 Jahre alte Konvention bei Passworteingabe
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Die Rust-Implementierung sudo-rs bricht mit einer jahrzehntealten Unix-Konvention: Beim Eintippen von Passwörtern erscheinen nun standardmäßig Sternchen auf dem Bildschirm. Wie aus einem Commit im GitHub-Repository hervorgeht, aktiviert die Software die Option „pwfeedback“ seit Mitte Februar 2026 standardmäßig. Traditionell zeigt sudo seit 46 Jahren beim Eintippen von Passwörtern keinerlei Rückmeldung – eine bewusste Designentscheidung aus Sicherheitsgründen.
Weiterlesen nach der Anzeige
Die Entwickler begründen die Änderung mit Usability-Verbesserungen für neue Anwender. In der Commit-Nachricht heißt es, die Sicherheit sei zwar theoretisch schlechter, da Passwortlängen für Beobachter in der physischen Nähe des Nutzers sichtbar würden. Dieser minimale Nachteil werde jedoch durch die deutlich verbesserte Bedienbarkeit aufgewogen. Tatsächlich ist sudo damit eines der letzten Unix-Tools, das überhaupt keine visuelle Rückmeldung bei der Passworteingabe gibt – andere Anwendungen zeigen längst Platzhalterzeichen.
Die Änderung betrifft Ubuntu-Anwender mit allen Versionen, die sudo-rs standardmäßig einsetzen. In einem Bug-Report beschwerte sich zumindest ein traditionell eingestellter Nutzer vehement über die Neuerung: Das Anzeigen von Asterisken verstoße gegen Jahrzehnte der Praxis und verrate die Passwortlänge an „Shoulder Surfer“ – Personen, die dem Nutzer über die Schulter schauen. Ubuntu markierte den Fehlerbericht jedoch als „Won’t Fix“. Eine Rücknahme der Änderung ist nicht geplant.
Einfache Deaktivierung möglich
Administratoren, die das alte Verhalten bevorzugen, können die Sternchen-Anzeige deaktivieren. Dazu muss in der sudoers-Konfigurationsdatei die Zeile Defaults !pwfeedback eingefügt werden. Für Server-Umgebungen dürfte die Änderung weniger relevant sein, da dort typischerweise SSH-Keys statt Passwörter zum Einsatz kommen.
sudo-rs ist eine vollständige Neuimplementierung des sudo-Befehls in der Programmiersprache Rust. Das Projekt zielt darauf ab, die Sicherheitsprobleme zu vermeiden, die aus der 30 Jahre alten C-Codebasis des Originals resultieren können. Rust verhindert durch seinen Borrow Checker ganze Klassen von Speicherverwaltungsfehlern wie Buffer Overflows. Auch in vielen anderen Distributionen lässt sich sudo-rs inzwischen statt des herkömmlichen sudo einsetzen, wobei eine mit Ubuntu vergleichbare Umstellung bei den anderen Mainstream-Systemen bislang nicht erfolgt ist.
Die Trifecta Tech Foundation, die sudo-rs entwickelt, ließ das Projekt bereits zweimal extern auditieren. Die letzte Prüfung im August 2025 fand keine Sicherheitslücken. Beim ersten Audit 2023 entdeckten die Prüfer eine Path-Traversal-Schwachstelle, die allerdings auch das originale sudo betraf. Ubuntu-Nutzer können noch bis Version 26.04 via update-alternatives zum klassischen sudo zurückwechseln.
