Datenschutz & Sicherheit

Grundrechte: Zwei Insider berichten vom Europäischen Datenschutzbeauftragten

In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.

Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?

Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.

Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.

Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.

Die unabhängige Datenschutzaufsichtsbehörde

Constanze Kurz: Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?

Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol.

Thomas Zerdick (2.v.r.) – Alle Rechte vorbehalten EDPS

Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.

Constanze Kurz: Sind in deinem Team typischerweise Juristen?

Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.

Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.

„Ziemlich bekannt hier in Brüssel“

Constanze Kurz: Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?

Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.

Constanze Kurz: Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund?

Wojciech Wiewiórowski beim Data Protection Day 2025 in Brüssel. – Alle Rechte vorbehalten EDPS

Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.

Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.

Öffentliche Stellungnahmen

Constanze Kurz: Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?

Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.

Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.

Constanze Kurz: All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen?

Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.

Constanze Kurz: Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?

Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.

Lange über die eigentliche Amtszeit hinaus

Constanze Kurz: Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?

Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.

Constanze Kurz: Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?

Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.

Constanze Kurz: Und wenn der Amtsträger irgendwann keine mehr Lust hat?

Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.

Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.

Constanze Kurz: Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?

Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.

Wie Kommission und Datenschutzbeauftragter zusammenarbeiten

Constanze Kurz: Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?

Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.

Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.

EU-Datenschutzbeauftragter gegen wahlloses Scannen bei freiwilliger Chatkontrolle

Constanze Kurz: Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?

Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.

Constanze Kurz: Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?

Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.

Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.

Constanze Kurz: Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?

Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.

Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.

Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.

Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.

Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.

„Wir haben uns in Europa zum Positiven weiterentwickelt“

Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?

Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.

Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.

Constanze Kurz: Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?

Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.

Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.

Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.

Constanze Kurz: Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?

Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.

Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.

Constanze Kurz: In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?

Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.

Software auf code.europa.eu

Constanze Kurz: Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?

Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.

Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.

Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.

Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.

Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.

Constanze Kurz: Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?

Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.

„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“

Constanze Kurz: Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?

Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.

Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.

Constanze Kurz: Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?

Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.

Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.

Bundesregierung sägt am Datenschutz

Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht

Constanze Kurz: Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?

Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.

Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.

Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.

Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.

Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.

Constanze Kurz: Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?

Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!

Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.

Constanze Kurz: Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!

Source link

Verwandte Themen:berichten Datenschutzbeauftragten europäischen Grundrechte insider vom zwei

Up Next

Cloudflare will bis 2029 vollständig quantensicher sein

Nicht verpassen

Anonymisierendes Linux: Notfallupdate Tails 7.6.1 schließt Lücken im Browser

Datenschutz & Sicherheit

Breakpoint: Das Internet verrottet – netzpolitik.org

Als die Bibliothek von Alexandria in Flammen aufging, brannte das Feuer lichterloh. Riesige Stichflammen erhellten in dieser Nacht Ägyptens blau-schwarzen Himmel. Wesentliche Teile des gesammelten Wissens der Menschheit gingen verloren und der Verlauf der Menschheitsgeschichte wurde um Jahrhunderte zurückversetzt. Das könnte man zumindest meinen, wenn man History-Memern auf der Plattform Reddit glaubt.

Was in den einen Fällen plakativ als große Katastrophe der Menschheitsgeschichte gezeichnet wird, geschieht in anderen Fällen leise, schleichend und unbemerkt. Die wohl größte Ansammlung von Wissen und Dokumentationen befindet sich heute weder in einer Universitätsbibliothek noch in einem Staatsarchiv, sondern im Internet – und steht weitestgehend jederzeit zu unserer Verfügung. Unzählige Websites, digitalisierte Archive, Medienberichte, Videos, Fotomaterial und Zeitdokumente können wir mit wenigen Klicks direkt einsehen.

Doch große Teile der im Internet veröffentlichten Dokumente sind schon heute nicht mehr verfügbar: Adressen haben sich geändert, Websites sind offline, Tweets gelöscht. 2023 waren rund 40 Prozent der 2013 hochgeladenen Seiten nicht mehr abrufbar. „Tote Links“ sind heute, rund dreißig Jahre, nachdem das World Wide Web für die breite Masse zugänglich wurde, ein verbreitetes Phänomen. „Link rot“ nennt man es, wenn verlinkte Belege und Verweise ins Nichts führen.

Wissen verbrennt nicht, es verrottet

Statt einer Antwort steht dann „Error 404: Page not found“ auf dem Bildschirm. Das ist nicht nur ein Problem für Forschende und Journalist:innen, deren Quellen verschwinden und Referenzen ungültig werden. Vielmehr ist es ein weitreichender Verlust an Wissen für die gesamte Öffentlichkeit. Die unendliche Verkettung von Informationen, das Netz aus Referenzen und neuen Quellen, die immer wieder gegenseitig aufeinander Bezug nehmen und dabei so umfangreich und gleichzeitig zugänglich sind wie nie zuvor, funktioniert nicht.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Dabei betrachten und nutzen viele Menschen das Internet als digitales Archiv. So als wäre das Sammeln von Links, das Posten von Fotos und Veröffentlichen von Texten im Internet ein Weg, dieses Material zu konservieren und als Dokumente unseres Abschnitts in der Geschichte der Menschheit haltbar zu machen. Das gilt für öffentliche Publikationen wie für private Erinnerungen: wissenschaftliche Abhandlungen, die nicht mehr in Büchern gedruckt werden, Zeitungsartikel, die Zeitungspapier nie gesehen haben, und private Erinnerungen, die statt in Fotoalben zu kleben auf Instagram gepostet werden. All diese Dokumentationen unserer Existenz, unseres politischen Seins, unserer wissenschaftlichen Erkenntnisse, unseres Alltags wie den Errungenschaften unserer Zeit, drohen zu verschwinden oder im Heuhaufen der geänderten Adressen und abgeschalteten Plattformen unauffindbar zu werden.

Katastrophale Gleichgültigkeit

Inzwischen nehmen Forscher:innen an, dass die Bibliothek von Alexandria nicht in einem epochalen Feuer verbrannt ist. Als Caesars Legionen 48 vor Christus Alexandria in Brand setzten, erreichte das Feuer wohl nur ein kleines Lager der riesigen Bibliothek. Der wohl tatsächliche Grund für den Untergang der Bibliothek ist banal und vielleicht gerade deswegen katastrophaler als es ein Feuer je sein könnte: Gleichgültigkeit. Schriften, die auf Papyrus verfasst sind, müssen regelmäßig kopiert werden, weil das Material schnell zerfällt. Dass Bibliotheken bestehen, reicht nicht aus, um sie zu bewahren. Wer Bücher und Bibliotheken erhalten will, muss sie pflegen – sonst zerfallen sie. Dieses banale und doch endgültige Schicksal hat nicht nur die Bücher in Alexandria ereilt, sondern etliche Dokumente im Laufe der Geschichte.

Es muss jemanden geben, der sich genug für den Inhalt eines Archivs interessiert, um ihn nicht nur abstrakt-grundsätzlich erhalten zu wollen, sondern zu reproduzieren. Denn ohne ständige Reproduktion ist Wissen nicht konservierbar. Buchseiten zerfallen zu Staub, auch ohne zu verbrennen. Websites werden abgestellt, Hoster geben ihre Dienste auf, Plattformen löschen alte Inhalte. Nicht ein großes Unglück vernichtet unser gesammeltes Wissens und – wenn man so polemisch sein möchte wie Redditors – lässt unsere Zivilisation untergehen, sondern der Mangel an Interesse an dem, was dort gesammelt wurde.

Dafür, dass das nicht geschieht, setzt sich das „Internet Archive“ ein, das in diesem Jahr seinen dreißigsten Geburtstag feiert. Das Internet Archive ist nach eigener Beschreibung eine „digitale Bibliothek mit Internetseiten und anderen kulturellen Artefakten in digitaler Form“. „Wie eine gedruckte Bibliothek bieten wir Forschern, Historikern, Wissenschaftlern, Menschen mit Lesebehinderungen und der breiten Öffentlichkeit freien Zugang.“ Ihre Mission sei es, „universellen Zugang zu allem Wissen zu ermöglichen“. Über eine Billion Internetseiten hat das Projekt laut eigenen Angaben bereits archiviert. Damit ist das Internet Archive ein in der Form einzigartiges Projekt und seit vielen Jahren ein wichtiges Tool für Forscher:innen und Journalist:innen. Insbesondere, wenn es darum geht, Dokumente in ihrer ursprünglichen Form einzusehen.

Journalist:innen sind auch Archivar:innen

Besonders besorgniserregend ist, dass insbesondere auch Medien sich aktiv an der Vernichtung von öffentlich zugänglichen Dokumentationen beteiligen. Viele Rundfunkanstalten löschen etwa die Hinweise auf vergangene Interviews oder Berichte bereits nach wenigen Jahren im Rahmen der Depublizierungspflicht, andere Medienhäuser löschen Meldungen, ändern Überschriften und URLs oder ganze Textabschnitte geräusch- und hinweislos. Damit missverstehen Journalist:innen ihre Funktion. Sie sind nicht nur Berichterstatter, die die Öffentlichkeit heute informieren sollen, sondern gewissermaßen auch Archivar:innen unserer Zeit für nachfolgende Generationen. Ein Gespräch, das im Radio zu hören war, hat nie stattgefunden, wenn auch der letzte Mensch, der es gehört hat, verstorben ist – außer, es gibt eine Dokumentation darüber.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Umso fataler ist es, dass eine wachsende Zahl großer Medienhäuser dem Internet Archive den Zugang zu ihren Inhalten verweigert. Mindestens 241 Nachrichtenportale aus neun Ländern blockieren die Web-Crawler des Archivs, darunter „The Guardian“, „The New York Times“, „Le Monde“ und „USA Today Co.“. Das tun die Medienhäuser wohl aus Angst, dass ihre Inhalten zunehmend generative KI füttern. Der Journalist Martin Fehrensen sagte der Deutschen Welle, er sähe im Internet Archive die einzige funktionierende Beweismittelkette des offenen Webs: „Millionen Wikipedia-Quellenbelege verlieren ihren Anker, Recherchen zu Plattform-Accountability, also welche AGB galt wann, welche Moderationsregel wurde wie umformuliert, werden deutlich schwieriger, gerichtsfeste digitale Evidenz fällt weg.“ Deswegen würde es besonders den Medienhäusern selbst schaden, die Web-Crawler des Internet Archive zu blockieren.

Digitale Dunkelzeit

Historiker:innen befürchten bereits jetzt ein „Digital Dark Age“. Der Begriff beschreibt die Sorge, dass aus dem digitalen Zeitalter der Menschheitsgeschichte nur wenige Dokumentationen überleben werden. Insbesondere dann, wenn spätere Generationen einmal keinen Zugriff mehr auf das Netz haben werden oder ihnen das Wissen darüber fehlt, wie man es benutzt. Viele Forschende empfehlen deswegen, möglichst viele Dokumente auszudrucken und analog zu archivieren oder sie mit einer Anleitung abzuspeichern, wie man die digitalen Dokumente nutzen kann. Tagebücher etwa waren über Jahrtausende hinweg relevante Quellen über das Alltagsleben früherer Generationen von Menschen. Ob ein Instagram-Account mit der Bio „My digital diary“ Historiker:innen in hundert oder tausend Jahren zugänglich sein wird, ist zweifelhaft.

Wenn wir das im Internet gesammelte Wissen erhalten wollen, müssen wir uns für seine Inhalte interessieren. Etwa indem wir Webseiten nicht löschen, auch wenn wir deren Inhalt für veraltet halten, URLs nicht verändern und darauf achten, korrekt zu referenzieren. Dafür setzen sich inzwischen Kampagnen wie die des World Wide Web Consortiums „Cool URLs don’t change“ ein. Vor allem dürfen wir uns nicht auf große Anbieter und Plattformen verlassen, dass sie unsere privaten und zeitgeschichtlichen Dokumente für immer für uns aufheben dürfen. Auch wenn Instagram die Rückschau auf alte Storys „Archiv“ nennt, ist es keins.

Damit die Informationen, die wir im Internet ablegen, tatsächlich langfristig erhalten bleiben, müssen wir sie vervielfältigen. Websites dezentral speichern, auf Festplatten, im Internet Archive und Dokumente analogisieren; oder wie Bianca Kastl in ihrer Kolumne sagen würde: degitalisieren. Das Internet ist kein nachhaltiges Archiv, weder für private, noch für zeitgeschichtliche Dokumente – zumindest aktuell nicht. Wenn wir nicht wollen, dass Reddit-Nerds in tausend Jahren den Mythos verbreiten, das gesammelte Wissen der Menschheit sei bei einem epochalen Brand eines großen Datencenters vernichtet worden, der die Geschichte der Menschheit um Jahrhunderte zurückversetzt hat – dann müssen wir anfangen, uns mehr für all das zu interessieren, was wir im Internet sammeln.

Source link

Datenschutz & Sicherheit

KW 21: Die Woche, in der die Zivilgesellschaft aufsteht

Liebe Leser:innen,

die Zivilgesellschaft steht in vielen Ländern unter Druck. Dass sich die Menschen dem noch lange nicht beugen, zeigt eindrucksvoll der Fall des Fotografen Pablo Grillo in Argentinien. An ihn habe ich in den vergangenen Tagen oft gedacht, nachdem ich den Text von Nina Galla gelesen hatte.

Pablo war im März 2025 auf einer Demonstration in Buenos Aires gewesen. Rentner:innen protestierten dort gegen steigende Kosten, zunehmende Armut und den Kurs des rechtsradikalen Kettensägen-Präsidenten Javier Milei. Damit gingen sie ein hohes Risiko ein. Denn Mileis Regierung hat das Demonstrationsrecht massiv eingeschränkt. Wer dennoch auf die Straße geht, muss mit Willkür und brutaler Polizeigewalt rechnen.

Pablo traf an diesem Tag eine Tränengasgranate ins Gesicht. Er wurde lebensgefährlich verletzt, über Wochen bangten Menschen landesweit um sein Leben.

Noch während der Fotograf im Krankenhaus war, begannen Aktivist:innen damit, Beweise für die Tat zu sammeln, die sie von anderen Demonstrierenden oder direkt von Journalist:innen erhielten. Sie rekonstruierten die Geschehnisse, konnten nachweisen, dass die Polizei an dem Tag wiederholt auf Demonstrierende geschossen hatte und brachten den mutmaßlichen Täter, einen Polizisten, vor Gericht.

Erst vor wenigen Wochen kehrte Pablo Grillo nach Hause zurück. Es ist unklar, welche gesundheitlichen Folgen der Schuss langfristig für ihn hat. Das Verfahren gegen den Polizisten läuft noch.

Der Fall zeigt für mich, wozu Menschen fähig sind, wenn sie sich zusammenschließen, gemeinsam aufstehen und sich wehren. Ich hoffe, dass ihre Recherchearbeit dazu führt, dass Pablo Gerechtigkeit widerfährt.

Gegendruck aufbauen, von Anfang an

Derweil wächst auch in Deutschland der Druck auf zivilgesellschaftliche Organisationen. Meine Kollegin Chris hat diese Woche ein Interview mit Josephine Ballon von HateAid geführt. Die Trump-Regierung hat Ballon und ihre Co-Geschäftsführerin Anna-Lena von Hodenberg Ende vergangenen Jahres mit einem Einreiseverbot belegt – weil sie „radikale Aktivistinnen“ und „Agentinnen des industriellen Zensurkomplexes“ seien. Josephine Ballon fürchtet, dass das nur der Anfang ist und HateAid bald auch von Zahlungsverkehr und IT-Dienstleistungen ausgeschlossen sein könnten.

Gerade jetzt sollte die Bundesregierung fest hinter der hiesigen Zivilgesellschaft stehen, finde ich. Stattdessen aber will Bildungsministerin Prien zivilgesellschaftlichen Initiativen nicht nur einer „breit angelegten Verfassungsschutzprüfung“ unterziehen, sondern auch Fördermittel drastisch kürzen. Betroffen wären neben HateAid etwa auch die Amadeu Antonio Stiftung und die Open Knowledge Foundation Deutschland. Ihnen würden dann Mittel fehlen, um gegen digitale Gewalt, Antisemitismus und Rechtsradikalismus vorzugehen.

Mir ist klar, dass die derzeitige Lage in Deutschland bei weitem nicht so dramatisch ist wie in Argentinien. Auf mich wirken sie aber wie der Anfang und das drohende Ende einer Entwicklung, die sich derzeit vielerorts beobachten lässt.

Und gerade deshalb sollten wir schon beim ersten Druck nicht klein beigeben, sondern uns wehren – gegen den Generalverdacht, der sich zunehmend gegen zivilgesellschaftliches Engagement richtet, gegen kulturkriegerische Hetze, die diesen Verdacht gezielt nährt, und gegen Kürzungen, die unsere Demokratie schwächen.

Habt ein sonniges Wochenende
Daniel

Source link

Datenschutz & Sicherheit

AI Forensics vs. BigTech: „We can have retaliation against us“

When it comes to enforcing the EU’s digital regulation against social media platforms like X and TikTok, the Commission and national authorities are not alone in collecting the necessary evidence. In many cases, they rely on the work that is done by outside actors, such as AI Forensics.

The non-profit organisation analyses and investigates the algorithms that shape the information landscape. Based in Paris, they consider themselves an European organisation, with people working from all across the continent.

In an interview with netzpolitik.org, Marc Faddoul, the founder and director of AI Forensics, reflects on the organisation’s experience of working with regulators and points out how the conditions could be improved: by providing flexible funding and legal protection.

Contribution behind the scenes

netzpolitik.org: We often ask whether the European Commission or the national authorities have enough staff to enforce the Digital Services Act (DSA), but no one ever really mentions contributors like you. I suppose it’s partly because you’re not allowed to talk about all your contributions…

Marc Faddoul: In a way I’m sometimes shocked myself. About the role we are given to play in those big scale politics, about how much falls onto civil society.

I am not even sure it is really a matter of number of people; it’s more about the specific expertise that is needed to do this job. That is not necessarily the profile that is drawn towards the institutions.

And also the methods: We often have to deploy unconventional and adversarial methods to do the work that we do, that is not what the institutions are best at doing.

netzpolitik.org: So, let’s start at the beginning. What is it that you do?

Marc Faddoul: We’ve done a lot of work on social media recommender systems, because they were, and are still to a large extent, the most influential algorithmic system in shaping the information we consume. We are working increasingly on chatbots, since they are becoming the new gatekeepers of online content.

Our audience is the general public, usually through journalists. And we do a more targeted dissemination to regulators and policymakers to inform policymaking processes and especially to enforce existing regulation.

Our reports are always data driven. We collect data, including on systems for which there are no official data access mechanisms. We do so by using what we call “adversarial methods” which allow us to basically scrape publicly available content directly from those services and therefore analyse how they behave in different conditions and for different users.

netzpolitik.org: You mentioned the enforcement of laws. Besides the DSA, are there any other laws that are also quite important, or is that really the most important one right now?

Marc Faddoul: It’s definitely the most important one.

Firstly, because it is at the European level. When you’re facing those huge tech giants, you need a strong enough market power to be able to impose your rules.

Secondly, it encapsulates a lot of things through this notion of systemic risks: electoral integrity, a risk to mental health, technology-facilitated gender-based violence. There’s a whole range of risks that are captured in this article, which makes it one of the more flexible legal frameworks to date.

But it’s not only the DSA we work on. Recently we have done this study exposing the dissemination of non-consensual intimate images and the production of CSAM content by Grok. For both of these there are a lot of other legal frameworks for which this is relevant, both in Europe and worldwide. On those cases we are also working with other regulators, including Australia, the UK and California.

netzpolitik.org: And how exactly do you work with regulators? Do you bring something to their attention, or do you get tasks from them?

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Marc Faddoul: In many cases we do our own investigations and then we bring them to the attention of the regulators. So that’s really our own initiative.

In other cases, regulators can come to us with specific requests. That can be paid or contracted, but not always.

Sometimes the work is unpaid

netzpolitik.org: And when it’s not paid, why do you still do it?

Marc Faddoul: When it’s unpaid, we still do it because it’s aligned with the mission of our organization to hold platforms to account to the user and to the law.

But obviously there are limits to how much we can do under these modalities, so it cannot be systematic. There is clearly a lack of funding mechanisms available from institutions to support the ecosystem. In some respects, there are new mechanisms arising, but it’s still quite limited.

netzpolitik.org: Who decides about the funding and how should it be improved in your opinion?

Marc Faddoul: At the European level now is an important moment because of the ongoing negotiations around the EU’s multi-annual budget. I think this is a big opportunity to push for more flexible funding.

One of the big pain points right now is that a lot of the funding is available through Horizon calls, which are typically three-year projects that have to be done in a large consortium of ten organizations or more.

It is quite inflexible because you cannot anticipate three years in advance what will be most relevant to do.

For example, the age verification mechanism has become a big priority. That was not the case two years ago. It is a change in the political agenda that gives it a stronger priority.

netzpolitik.org: Ok, let’s go over how the political agenda affects your work. In Brussels, it is said that people in the top political sphere are the ones taking some important decisions around the DSA cases, and that it’s not a purely technical enforcement.

Marc Faddoul: The fact that this is being constantly weighed on a geopolitical scale, is both frustrating for people who are involved in building this case, but also, most importantly, incoherent with the statements by those political leaders who say that respecting European laws is not something that is negotiable and that they will be enforced strictly.

Also, it is sending a wrong signal to those platforms and to adverse politicians that indeed they can put pressure to block those decisions.

And then you have a second component which is: What are you enforcing? What are the priorities?

There’s a lot of room for interpretation because the DSA is big. It’s being rolled out and not everything is being implemented with the same speed and with the same priority.

Political climate influences enforcement

netzpolitik.org: What is being prioritised?

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Marc Faddoul: Some topics that have consensus across the political spectrum and also transatlantic consensus include the dissemination of non-consensual intimate images. Even Melania Trump, for example, was quite involved in advocating for this specific issue. Other examples of topics with broad consensus include CSAM content and age verification. Still, those political dynamics define where we are putting the pressure on.

On the other hand, climate change disinformation is now being pushed towards the bottom of the list.

netzpolitik.org: How would you rate the transparency of how the DSA is being enforced?

Marc Faddoul: I can tell you one thing: in the cases we’re involved in, where we provided evidence, we have no idea about their content or when they’re going to come out. We only know it’s been received.

And even then, we can be exposed by the results of those investigations.

This happened with the X investigation. The fine was sent out, then the Department of Justice in the U.S. leaked the whole investigative file with our names in it, unredacted.

So, this is a real consequence for us. We can have retaliation against us, especially when Elon Musk tweets very aggressively against the fine, how it’s censoring US free speech, which is obviously complete nonsense.

But, still, in reality, we can be harassed and attacked in response, but we had no control over the fact that our name was captured in those files, over the fact that it was released, and over the fact that we are not even really informed about the timetable.

This is not directly the Commission’s fault. They had to give the file to Twitter. Then the Department of Justice requested the file from Twitter. And then they leaked it.

We are a pivotal actor in building this case, but we have no control, and even no information on what happens next.

netzpolitik.org: You can not only be harassed via tweets or comments, but there could also be legal consequences, right? Do you have any sort of protection for that or does that all lie on you?

Marc Faddoul: All on us. The Commission doesn’t help us with that in any way.

Here, we have a clear policy request: the creation of a much better safe harbour for people who do public interest research, like we do.

netzpolitik.org: So, the main things that you would need are better funding, legal protection, also transparency, something else?

Marc Faddoul: Well, in fact, I think for our protection it is good that we don’t have the details of the cases. I wouldn’t make it a request.

The funding, absolutely. It should be more flexible, shorter term, not only through large consortiums.

And on the protection, yes, absolutely. A safe harbour for public interest research and also institutional support when we get attacked by foreign actors for the work that we do in supporting enforcement of democratic regulation.

Source link