Die Zeit der unverbindlichen Appelle an große Tech-Konzerne scheint in Brüssel vorbei zu sein. In einer gemeinsamen Erklärung haben EU-Kommissionspräsidentin Ursula von der Leyen (CDU) und die für die Tech-Souveränität zuständige Vizepräsidentin Henna Virkkunen am Mittwoch den Startschuss für eine neue Ära des digitalen Jugendschutzes gegeben. Kern der Offensive ist eine europaweite, von mehreren Staaten bereits getestete App zur Altersverifikation, die laut von der Leyen nun technisch bereit ist und in Kürze den Bürgern zur Verfügung stehen werde.

Damit reagiert die Kommission auf die Sorge über Risiken wie Online-Mobbing, Suchtfaktoren durch algorithmisches Design und Cyber-Grooming, also das Heranpirschen an Kinder und Jugendliche übers Netz. Die Diagnose der Kommissionschefin fällt düster aus: Jedes sechste Kind werde online gemobbt. Soziale Medien förderten ferner durch unendliches Scrollen Abhängigkeiten, die die Gehirnentwicklung beeinträchtigen könnten.

Da Plattformen bisher keine wirksamen Mechanismen vorweisen konnten, um Minderjährige vor schädlichen Inhalten zu schützen, greift die EU zur Selbsthilfe. Die neue App soll es Nutzern ermöglichen, ihr Alter gegenüber Online-Diensten nachzuweisen, ohne dabei die gesamte digitale Identität preiszugeben.

Datenschutz nach höchstem Standard

Technisch orientiert sich das Projekt am digitalen Covid-Zertifikat. Wie beim Pandemie-Begleiter setzt die Kommission auf ein Modell, das auf Smartphones, Tablets und Computern funktioniert. Nach dem Download wird die App einmalig mit einem Ausweisdokument eingerichtet. Ein besonderes Augenmerk liegt auf der Privatsphäre. Von der Leyen betonte: Die Anwendung erfülle „die weltweit höchsten Datenschutzstandards“. Das Alter werde nachgewiesen, ohne weitere persönliche Informationen preiszugeben. Die App sei „vollkommen anonym – Nutzer können nicht zurückverfolgt werden.“

Die Anwendung basiert auf dem Zero-Knowledge-Proof. Dieses kryptografische Prinzip ermöglicht es, die Korrektheit einer Information – hier das Erreichen eines bestimmten Alters – zu beweisen, ohne die zugrunde liegenden Daten selbst zu offenbaren. Das soll die informationelle Selbstbestimmung wahren. Plattformen erhalten lediglich die Bestätigung „alt genug“, ohne den Ausweis scannen zu müssen. Österreichs Alterskontrolle baut bereits auf diesem Verfahren auf.

Durchsetzung des DSA und EU-Schulterschluss

Der Vorstoß ist eng mit der Durchsetzung des Digital Services Act (DSA) verknüpft. Virkkunen machte deutlich, dass die Kommission gegen Unternehmen wie TikTok, Facebook oder Instagram bereits wegen suchterzeugender Designs vorgehe. Auch gegen pornografische Plattformen seien Maßnahmen eingeleitet worden, da diese oft keine funktionierenden Alterskontrollen verwendeten. Die neue Anwendung entzieht den Konzernen nun die Ausrede, es gäbe keine einfache technische Lösung.

Länder wie Frankreich, Italien und Irland gelten als Vorreiter und planen, die App in ihre nationalen digitalen Brieftaschen zu integrieren. Um einen Flickenteppich zu vermeiden, will Virkkunen noch diesen Monat einen EU-weiten Koordinierungsmechanismus für die Akkreditierung nationaler Lösungen schaffen. Der Quellcode der App ist im Rahmen der digitalen Bürgeridentität EUDI offen zugänglich, um Vertrauen zu schaffen und die Einbindung etwa auch in Firmenlösungen zu erleichtern. Hierzulande soll zunächst ein Expertengremium Empfehlungen für die Sicherheit von Kindern im Netz erarbeiten.

(mki)

Im Bundestag wurde heute erstmals über die Arbeitsbedingungen von Datenarbeiter:innen hinter Künstlicher Intelligenz und Sozialen Medien diskutiert. Die Ausschüsse für Digitales und Arbeit hatten zu einem Fachgespräch zum Thema Data Labeling geladen. Die klare Botschaft der drei Sachverständigen: Wenn Deutschland auf KI setzt, dann muss es mehr Verantwortung für die Menschen im Maschinenraum der Technologie übernehmen.

Als Data Labeling oder auch Daten-Annotation bezeichnet man eine Tätigkeit, bei der Menschen zum Beispiel Bildmaterial mit Metadaten versehen, also mit Labels, die den Inhalt beschreiben. Das ist unter anderem für Machine-Learning-Systeme erforderlich, die hinter fast allem stehen, auf dem heute das Label „KI“ klebt. Die Arbeiter:innen sind selten bei den Tech-Konzernen selbst beschäftigt, sondern werden häufig unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder -Plattformen angestellt.

Seit Jahren bringen Whistleblower:innen, Aktivist:inen, Forscher:innen und Journalist:innen die unsichtbar gemachten Arbeitskräfte in die Öffentlichkeit. Auch wir auf netzpolitik.org berichten kontinuierlich darüber. Die Arbeitsbedingungen in der Branche haben sich aber kaum verbessert, weshalb Erwartungen an die Politik groß sind. Das heutige Fachgespräch, an dem sich Abgeordnete von Union, SPD, Grünen und Linkspartei beteiligten, könnte ein Anfang sein. An konkreten Ideen, wie sich die Lage der Arbeiter:innen verbessern lässt, mangelt es jedenfalls nicht.

„Sie sehen die KI, aber uns sehen Sie nicht“

Die ehemalige Datenarbeiterin Joan Kinyua war virtuell aus der kenianischen Hauptstadt Nairobi zugeschaltet. Sie habe mehr als acht Jahre in der Branche gearbeitet hat, die „Künstlicher Intelligenz dabei hilft, die Welt zu verstehen“. Für unterschiedliche Anbieter habe sie unter anderem Bilder von Straßen mit Metadaten versehen, damit selbstfahrende Autos keine Unfälle bauen. Auch mit Straßenszenen aus Berlin habe sie arbeiten müssen (lest dazu mehr in unserem kürzlich veröffentlichten Interview mit Joan).

Später habe sie auch Bilder mit Gewaltdarstellungen klassifizieren müssen, sogar solche, die Gewalt an Kindern zeigten. Gleichzeitig habe sie selbst Daten für das KI-Training erzeugen sollen, indem sie Bilder ihrer Tochter zur Verfügung stellt.

Ausgeübt habe sie die Tätigkeit meist vom eigenen Computer zuhause, über sogenannte Microwork-Plattformen – „ohne Arbeitsvertrag, Sozialversicherung oder Gesundheitsversorgung“. Oft habe sie stundenlang auf neue Aufträge warten müssen, teilweise bis zu 20 Stunden am Tag auf Stand-By. Immer wieder hätten Auftraggeber:innen ihre Ergebnisse abgelehnt. Den Input hätten sie trotzdem behalten, sie selbst sei leer ausgegangen. So habe es Tage gegeben, an denen sie in fünf Stunden nur zwei Cent verdient habe. Im Schnitt würden Datenarbeiter:innen in Kenia 250 US-Dollar im Monat verdienen, was kaum zum Überleben reiche.

Von ihrer Arbeit habe sie außerdem Panik-Attacken und Angstzustände erhalten. Wie ihr gehe es vielen in der Branche, schildert Kinyua. Als Präsidentin der kenianischen Data Labelers Association vertrete sie inzwischen die Interessen von mehr als tausend Datenarbeiter:innen. Viele von ihnen litten unter posttraumatischen Belastungsstörungen.

„Sie sehen die KI, aber uns sehen Sie nicht“, so beschrieb Joan Kinyua den Abgeordneten ihre Lage. Es sei auch in der Verantwortung des Deutschen Bundestages, das zu ändern und für bessere Bedingungen zu sorgen. Unter anderem schlug die Kenianerin Mindeststandards für Datenarbeiter:innen in Deutschland und weltweit vor. Dazu zählt auch eine Obergrenze für die Arbeit an belastenden Inhalten. Zudem brauche es unabhängige Audits der Anbieter, sowie Register für KI-Arbeiter:innen und ganz grundsätzlich mehr Transparenz über Outsourcing und Lieferketten von Tech-Konzernen.

Milliarden-Profite dank Prekarisierung

Dr. Milagros Miceli von der TU Berlin berichtete von ihren Erkenntnissen aus fast einem Jahrzehnt Forschung zu Datenarbeit. Die von Joan Kinyua geschilderten Arbeitsbedingungen seien „kein Einzelfall, sondern ein konstantes Muster“. Oder genauer gesagt: das Geschäftsmodell einer milliardenschweren Branche.

Der von ihr geprägte Begriff der Datenarbeit umfasse mehr als das Labeling von Daten im engeren Sinne: Auch das Generieren und Sammeln von Daten zähle dazu, in zunehmendem Maße außerdem die Validierung des algorithmischen Outputs und das Korrigieren von Fehlern. Zudem müssten Arbeiter:innen immer wieder so tun, als seien sie eine KI.

Miceli ist eine der Initiator:innen des „Data Workers Inquiry“, in dem Datenarbeiter:innen von ihrer Wirklichkeit berichten. Kürzlich hat das Projekt die Geschichte einer Person veröffentlicht, die sich als AI Girlfriend ausgeben musste, also als Chatbot, der eine Liebesbeziehung mit seinen Nutzer:innen simuliert.

Die unterschiedlichen Formen der Datenarbeit seien essenzieller Bestandteil von KI-Produkten, einer Studie zufolge würde sie 80 Prozent der Entwicklungsarbeit von Künstlicher Intelligenz ausmachen. Miceli ist in ihrer Botschaft deshalb klar: „Ohne Datenarbeit und ohne Menschen wie Joan Kinyua gibt es keine KI“. Tech-Konzerne würden Milliarden damit verdienen „dass sie Arbeiter:innen durch Outsourcing und Plattformisierung prekarisieren und austauschbar machen“. Wenn Deutschland KI fördern wolle, müsse deshalb unbedingt für bessere Arbeitsbedingungen sorgen.

Viele der Arbeiter:inen seien hochqualifiziert, hätten Bachelor-Abschlüsse oder sogar promoviert, berichtet die Forscherin. Dabei sei wichtig, dass die Tätigkeit nicht auf Länder wie Kenia beschränkt ist, sondern auch in Deutschland und Europa viele Menschen in der Branche tätig seien. Wie viele genau, das könne man aufgrund der Intransparenz der Unternehmen nicht sagen.

Probleme bei Gesundheits- und Datenschutz

Bekannt ist, dass mehrere Tech-Konzerne und Outsourcing-Unternehmen in Deutschland große Zentren für die Moderation von Inhalten auf Social-Media-Plattformen unterhalten. Eine Tätigkeit, die die Sachverständigen ebenfalls zum Feld der Datenarbeit zählt und die bereits vor drei Jahren bei einem Fachgespräch im Bundestag Thema war. Julia Kloiber vom Superrr Lab war damals bereits dabei und wies heute erneut darauf hin, dass dabei oft Menschen in vulnerablen Lebenssituationen ausgenutzt würden.

Kloiber empfahl unter anderem besseren Schutz für Menschen, die mit schädlichen Inhalten arbeiten müssen. Bei der Polizei etwa, wo ebenfalls Menschen mit Darstellungen von Kindesmissbrauch arbeiten müssten, gebe es klare Expositionsbegrenzungen. Auch für Datenarbeiter:innen brauche es eine Obergrenze, die die Arbeit mit belastendem Material festlegt. Außerdem brauche es Trauma-Prävention und Zugang zu professioneller psychologischer Unterstützung.

Der fehlende Schutz habe nicht nur schwerwiegende Folgen für die Betroffenen, sondern auch für das Gesundheitssystem, schließlich könnten Menschen ein ganz Leben lang unter posttraumatischen Belastungsstörungen leiden. Manchmal könnten sie deshalb nicht mehr arbeiten. Die dadurch entstehenden Kosten würden von den Tech-Konzernen externalisiert und von der Allgemeinheit aufgefangen.

Kloiber wies zudem auf Datenschutzprobleme beim Outsourcing hin: Nicht nur würden die Datenarbeiter:innen selbst stark überwacht, bei ihnen landeten auch große Mengen personenbezogener Daten und sensibler Inhalte. Erst kürzlich hatten Datenarbeiter:innen als Whistleblower:innen darüber berichtet, dass sie Aufnahmen aus Meta-Brillen bearbeiten müssten und dabei auch Nacktaufnahmen und andere intime Szenen von Nutzer:innen zu Gesicht bekämen.

„Unsere digitale Zukunft darf nicht auf Ausbeutung fußen“

Deutlich wurde bei dem Fachgespräch, dass auch deutsche Firmen davon profitieren, dass sie prekäre Arbeit an Menschen wie Joan Kinyua auslagern. Auch die Auto-Industrie, die Pharma-Branche oder Tech-Unternehmen wie Siemens gehörten zu den Kunden von Outsourcing-Unternehmen im Datenbereich, berichtete etwa Milagros Miceli.

Für Julia Kloiber ist klar, dass Deutschland deshalb auch Verantwortung übernehmen müsse. Eine Untersuchung des Fairwork-Projekt der Universität Oxford und Wissenschaftszentrums Berlin habe die Löhne von vier Outsourcing-Unternehmen untersucht. Nur zwei von ihnen hätten Mindestlohn gezahlt, keines den sogenannten Existenzlohn („Living Wage“), der nicht nur das bloße physische Überleben, sondern auch soziale und kulturelle Teilhabe ermöglicht.

Einen wichtigen Ansatzpunkt sieht die Geschäftsführerin des Superrr Lab deshalb in der Regulierung von Lieferketten. Hier drohe der hohe Standard des erst kürzlich eingeführten und dann schon wieder halb gecancelten deutschen Lieferkettengesetzes abgesenkt zu werden. Die Schwarz-Rote Koalition hatte sich darauf geeinigt, nicht über die – ebenfalls gerade ausgehöhlte – EU-Lieferkettenrichtlinie hinauszugehen.

Bei der Umsetzung der Richtlinie müsse Deutschland sicherzustellen, dass der Geltungsbereich nicht eingeschränkt werde. Die EU-Regeln sollen nur Unternehmen ab 5000 Beschäftigten und einem Umsatz von 1,5 Milliarden Euro gelten. In Deutschland würden dann 95 Prozent der Unternehmen von den Sorgfaltspflichten für ihre Lieferketten entbunden, so Kloiber.

Die Expertin brachte zudem ein Direktanstellungsgebot ins Spiel, wie es erst kürzlich gefeuerte und streikende TikTok-Angestellte in Deutschland gefordert hatten. Ganz grundsätzlich Kloiber eine realistischere Kosten-Nutzen-Rechnung, wenn in Deutschland KI ausgebaut und etwa in der Verwaltung eingesetzt werde. Soziale und auch ökologische Kosten dürften nicht länger ausgeblendet werden: „Unsere digitale Zukunft darf nicht auf Ausbeutung fußen.“

Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschäftigte sich am Mittwoch ein ganzer Vortragsblock mal wieder mit der NIS-2. Die EU-Richtlinie zur Absicherung von Unternehmenssoftware und -netzen trat im Oktober 2024 in Kraft und beschäftigt das BSI und seine Partner nach wie vor. Das liegt vor allem daran, dass bisher viel weniger Firmen die Vorschriften der Richtlinie erfüllen, als man eigentlich bei einem solchen Gesetz erwarten würde.

Registrierung beim BSI läuft schleppend

Wie Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft in seiner Einführung ansprach, ist es sehr schwierig, konkrete Zahlen zur NIS-2-Umsetzung in der deutschen Wirtschaft zu erheben. Im BSI-Portal bleiben die Registrierungszahlen von Firmen, die laut dem Gesetz als „wichtige“ oder „besonders wichtige“ Einrichtungen dazu verpflichtet sind, nach wie vor unter den Erwartungen. Bis zum 6. März hätten sich eigentlich alle entsprechenden Unternehmen beim BSI melden müssen.

Das BSI weiß von mehreren meldepflichtigen Unternehmen, die nach Konsultation der Firmenspitze mit Rechtsbeiständen zu dem Schluss gekommen sind, bewusst die eigene Firma nicht zu melden, so Bach weiter. Ein kürzlich veröffentlichter Bericht der Firma Schwarz Digits legt nahe, dass dies keine Einzelfälle sind – Unternehmenslenker wollen wohl keine schlafenden Hunde wecken.

Bach wies in diesem Zusammenhang darauf hin, dass Geschäftsführungen das Thema ernst nehmen sollten – nicht nur wegen der im Gesetz festgeschriebenen persönlichen Haftung der Betriebsleitung. Nur weil man selbst der Meinung sei, die eigene Firma sei nicht meldepflichtig, entspräche das noch lange nicht der Realität. Bach verglich das mit der Steuerpflicht, da könne man auch nicht selbst entscheiden, ob diese zutreffe.

Knapp die Hälfte der Unternehmen hat nie von der NIS-2 gehört

Dass sich viele Firmen bisher noch nicht beim BSI gemeldet haben, obwohl sie das eigentlich müssten, liegt aber wohl auch daran, dass in vielen Firmen nach wie vor das Bewusstsein fehlt, was die NIS-2 überhaupt ist. Schlimmer noch, es gibt wohl aber auch noch eine große Anzahl an Firmen in Deutschland, die gar nicht wissen, dass die NIS-2 überhaupt existiert. Laut Manuel Bach hat das BSI im Rahmen einer Studie Ende letzten Jahres festgestellt, dass knapp die Hälfte der deutschen Unternehmen zu diesem Zeitpunkt noch nicht einmal den Begriff „NIS-2“ gehört hatten.

Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der Technischen Universität München mit der Umsetzung der NIS-2 bei kleinen und mittelständischen Unternehmen in Deutschland beschäftigt hatte, zeichnete in seinem Vortrag ein ähnliches Bild. Viele der von ihm befragten Unternehmen hätten angegeben, sich erst seit Anfang 2026 mit der NIS-2 auseinanderzusetzen. Laut Ahmadzei sehen viele Firmenvertreter die Umsetzung des Gesetzes als reine Pflichtaufgabe und bezweifelten, dass die damit verbundenen Prozesse die IT-Sicherheit in ihrem Unternehmen verbessern würden.

Am Ende des Vortragsblocks zu diesem Thema stellte auch Manuel Bach vom BSI fest, dass die Bundesregierung – aber auch seine eigene Behörde – beim Thema NIS-2 noch viel Arbeit vor sich habe. Die geringe Kenntnis über dieses Thema in weiten Teilen der Wirtschaft deute klar darauf hin, dass hier noch viel Aufklärungsarbeit zu leisten sei. Und vor allem sieht es so aus, als ob ein nicht unerheblicher Teil der deutschen IT-Landschaft darüber hinaus dann auch noch davon überzeugt werden muss, dass die Umsetzung dieses EU-Gesetzes mehr als eine Arbeitsbeschaffungsmaßnahme durch EU-Kommission und BSI ist.

Wer sich beim Lesen dieser Meldung ertappt fühlt, findet im iX Workshop „NIS-2 – Anforderungen und Vorgaben“ einen kompakten und praxisnahen Einstieg in die gesetzlichen Vorgaben und deren Umsetzung.

(cku)