Tausende Microsoft-365-Lizenzen für Schulen in Hannover sind wegen eines Vertragsfehlers vorerst nutzlos. Das bestätigte eine Sprecherin der Landeshauptstadt. Nach aktuellen Informationen der Verwaltung geht es um 75.000 Lizenzen im Wert von ungefähr 342.000 Euro. Zuvor hatte die Hannoversche Allgemeine Zeitung berichtet.

Den Angaben nach ist die Vereinbarung über die Datenverarbeitung nicht streng genug. Sie stehe damit im Widerspruch mit den Datenschutzregeln der Stadt. Die Nutzung von Word, Powerpoint & Co. an Schulen sei daher vorerst gestoppt worden.

Lizenzen noch bis September gültig

Wie es zu dem Fehler kommen konnte, der kurz vor Ostern bekannt geworden sei, werde derzeit geprüft. Es ist auch noch offen, ob das investierte Geld verloren ist. Die Ein-Jahres-Lizenzen sind laut der Stadt noch bis Anfang September gültig. Es werde untersucht, ob die Verträge so angepasst werden können, dass die Lizenzen wieder nutzbar werden.

Im laufenden Schulbetrieb soll der Nutzungsstopp nicht direkt zu Problemen führen. „Bestehende Systeme und Plattformen stehen unverändert zur Verfügung und decken die wesentlichen Anforderungen des Schulalltags ab“, teilte die Verwaltung mit. Wo es nötig sei, würden Verträge verlängert.

Programme sollten Ergänzung sein

Microsoft 365 sei zunächst lediglich als Ergänzung vorgesehen gewesen. Die zugehörigen Programme sollten zur Kommunikation und zum gemeinsamen Arbeiten genutzt werden. Unter anderem die Office-Anwendungen wie Word, Powerpoint oder Excel sollten dafür genutzt werden.

Dabei würden grundsätzlich personenbezogene Daten an Microsoft und Subunternehmen übermittelt. Um einen Datenschutzvorfall wie etwa bei einem Hackerangriff handele es sich deshalb nicht, „sondern um eine unzureichende vertragliche Grundlage“, hieß es von der Stadt.

(afl)

Nachdem im März schwedische Zeitungen berichtet hatten, dass intime Aufnahmen aus Metas Kamera-Brille in Nairobi auf dem Bildschirm von Datenarbeiter:innen landen, kündigte Meta seinem Outsourcing-Dienstleister Sama den Vertrag. Dieser entließ in der Folge nun 1000 Mitarbeiter:innen in Kenia, berichtet der Guardian. Die schwedische Recherche hatte sich auf Aussagen von etwa 30 Whistleblower:innen bei Sama gestützt.

Sama ist ein US-Unternehmen, das in Ländern wie Kenia, Uganda oder Costa Rica für viele westliche Unternehmen Aufgaben wie Inhalte-Moderation und Daten-Annotation übernimmt. Letztere Tätigkeit wird benötigt, um so genannte Künstliche Intelligenz zu verbessern. Dabei werden zum Beispiel Bilder und Gegenstände mit Metadaten versehen, also beschrieben und kategorisiert. Bei der Auswertung solcher Daten aus den Meta-Brillen hatten die Sama-Mitarbeiter:innen auch Videos gesehen von Nutzer:innen, die sich umzogen, auf der Toilette waren oder Sex hatten.

Intime Aufnahmen aus Metas Kamera-Brille landen in Nairobi

Ausbeutung als Geschäftsmodell

Meta begründete laut dem Guardian das Ende des Vertrages mit Sama damit, dass das Unternehmen Standards nicht erfülle. Am vergangenen Donnerstag verkündete Sama dann, dass es mehr als 1000 Mitarbeiter:innen entlassen. Mit einer Kündigungsfrist von sechs Tagen, wie der Guardian berichtet.

Sama stand schon mehrfach in der Kritik durch ehemalige Angestellte, unter anderem wegen ausbeuterischer Arbeitsbedingungen bei der Daten-Annotation für das Training von ChatGPT. Außerdem haben mehr als 140 ehemalige Content-Moderator:innen, die bei Sama für Meta gearbeitet hatten, die beiden Firmen verklagt. Bei ihnen wurden schwerwiegende post-traumatische Belastungsstörungen diagnostiziert.

Kauna Malgwi, eine ehemalige Mitarbeiterin von Sama, sagte gegenüber dem britischen Medium: „Dieses Problem beschränkt sich nicht auf ein einzelnes Unternehmen oder einen Vertrag. Es zeigt, wie die globale KI-Branche gestaltet ist. Die Macht liegt bei den großen Technologieunternehmen. Das Risiko fließt nach unten und betrifft ausgelagerte Arbeitskräfte, oft im globalen Süden, die den geringsten Schutz und die höchste Gefährdung haben.“

Erst vergangene Woche berichteten Sachverständige bei einem Fachgespräch im Bundestag von den problematischen Bedingungen in der Branche. Sie machten zahlreiche Vorschläge zur Verbesserung, von fairer Bezahlung über die Obergrenzen für die Arbeitszeit an belastendem Material bis zur Etablierung von Content-Moderation als Ausbildungsberuf.

Smart Glasses: „Unethische Technologie“

Metas Überwachungsbrille steht unterdessen auch aus anderen Gründen in der Kritik. Vermarktet wird das im September 2025 von Meta-Chef Mark Zuckerberg wie eine Sensation vorgestellte Gadget als stylischer Allround-Assistent, der den Alltag erleichtern soll. Dabei greift das Gerät nicht nur in die Privatsphäre der Nutzer:innen selbst, sondern auch in die von Unbeteiligten ein.

Die neuartigen Brillen von Meta sind ein großes Problem für die Privatsphäre und den Datenschutz. Wenn viele Menschen solche Brillen tragen, droht die kommerzielle Totalerfassung von privaten und öffentlichen Räumen; bald könnte Meta die Brille zusätzlich mit Gesichtserkennung aufrüsten.

Probleme gab es zuletzt schon, weil Menschen die Brillen vor Gericht trugen. Ein Bündnis von 75 US-Bürgerrechtsorganisationen wehrt sich gegen die Nutzung der Brillen im öffentlichen Raum. In einer Presseerklärung schreibt Cody Venzke, leitender Anwalt bei der Bürgerrechtsorganisation ACLU: „Es handelt sich um eine von Natur aus in die Privatsphäre eingreifende und unethische Technologie. Die Gefahren sind nicht hypothetisch – sie sind sehr real, wie wir am Einsatz der Gesichtserkennung in anderen Kontexten gesehen haben. Die Einbettung dieser Technologie in Brillen für Verbraucher würde das Risiko von Schäden für Einzelpersonen, Familien und unsere Demokratie selbst erheblich erhöhen.“

Direkt Geld an Freunde und Bekannte überweisen, jederzeit und in Sekundenschnelle. Das verspricht Wero. Der neue Bezahldienst startete im Juli 2024 und will sich als europäische Alternative zu US-Bezahldiensten wie Visa, Mastercard und PayPal etablieren.

Hinter dem Angebot steht die European Payments Initiative (EPI), ein Zusammenschluss europäischer Banken und Finanzdienstleistungsunternehmen. In Deutschland machen unter anderem die Deutsche Bank, die Postbank, die ING, die GLS, die Sparkassen sowie Volks- und Raiffeisenbanken mit.

Auf der Wero-Website präsentiert sich der Dienst farbenfroh als „DIE starke und unabhängige europäische Lösung beim digitalen Bezahlen“. Mehr als 50 Millionen Menschen nutzen Wero bereits. Auch im Online- und im Einzelhandel soll der Dienst eine Alternative zur US-Konkurrenz bieten.

Auf Anfrage von netzpolitik.org muss EPI allerdings einräumen, dass Wero seine Dienste teilweise über das US-Unternehmen Amazon Web Services abwickelt. Das aber widerspricht nicht nur dem selbst gestellten Anspruch der digitalen Unabhängigkeit, sondern die bei AWS hinterlegten Daten sind auch potenziell dem Zugriff von US-Behörden ausgesetzt.

Cloud „made in Europe“

Nach eigenen Angaben greift EPI „auf eine Kombination aus europäischen und internationalen Technologieanbietern“ zurück, darunter auch „Managed-Infrastructure- und Software-Services von AWS“. Zugleich betont die Initiative, dass sie „die volle Kontrolle über deren Architektur, Sicherheitsmodell und Betrieb“ habe. Doch diese Kontrolle stößt an rechtliche Grenzen.

Mit Beginn von Trumps zweiter Amtszeit gewann in der EU die Debatte um die „digitale Souveränität“ an Fahrt. Einige US-Tech-Konzerne passten daraufhin ihre Angebote an.

So auch AWS. Das Unternehmen ist ein US-amerikanischer Cloud-Anbieter und Tochterunternehmen des Online-Versandhändlers Amazon.com. Zu Beginn dieses Jahres hat es die „AWS European Sovereign Cloud“ in Betrieb genommen. Das Versprechen steckt im Produktnamen: Die Daten der Kunden sollen hier nicht in Übersee, sondern innerhalb der EU gespeichert werden.

Nach eigenen Angaben will AWS seine Kunden so dabei unterstützen, „ihre sich wandelnden Souveränitätsanforderungen zu erfüllen“ – inklusive rechtlicher Schutzmaßnahmen, „die dem Bedarf von Behörden und Unternehmen in Europa gerecht werden“.

US-Behörden könnten Zugriff auf Daten erhalten

EPI hat unter anderem „aus Sicherheitsgründen“ nicht sagen wollen, welche Infrastruktur- und Plattformanbieter Wero im Detail nutzt. Doch selbst wenn der Dienst Daten in der „AWS European Sovereign Cloud“ speichert, bliebe das Souveränitätsversprechen uneingelöst. Vor allem aber wären die Daten dann wohl nicht vor dem Zugriff US-amerikanischer Behörden sicher.

Dafür sorgt der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden. Schließt ein Unternehmen den Zugriff technisch aus, kann dies Geldbußen oder strafrechtliche Konsequenzen nach sich ziehen.

Zu diesem Schluss kommt ein Gutachten der Universität Köln aus dem März 2025, welches das Bundesinnenministerium (BMI) in Auftrag gegeben hatte. Es wurde im Rahmen einer Anfrage nach dem Informationsfreiheitsgesetz auf FragdenStaat veröffentlicht. Ein Sprecher des Ministeriums bestätigte nach der Veröffentlichung gegenüber Tagesspiegel Background, dass die Nutzung von US-Clouddiensten ein „erhebliches Risiko des Datenabflusses“ bedeute.

Das Risiko „extraterritorialer Zugriffsanfragen“

AWS bestreitet, jemals außerhalb der USA gespeicherten Kundeninhalte gegenüber der US-Regierung offengelegt zu haben, wenn es Anfragen erhalten hat, die sich auf den CLOUD Act bezogen – zumindest für die vergangenen sechs Jahre, „seit wir 2020 mit der statistischen Erfassung begonnen haben“.

Das ist keine Gewähr dafür, dass es nicht doch noch dazu kommt. Zumal Jeff Bezos, Gründer von Amazon und heute geschäftsführender Vorsitzender des Verwaltungsrats, inzwischen als „Fanboy“ von Präsident Donald Trump gilt.

Dieses Risikos ist sich offenbar auch EPI bewusst.“Potenzielle extraterritoriale Zugriffsanfragen“ sehe die Initiative „als relevantes rechtliches und geopolitisches Risiko“. Sie verfüge „bereits über Notfall- und Ausstiegspläne für kritische Technologiedienstleistungen“.

Außerdem verfolgt die Initiative nach eigenen Angaben das Ziel, künftig mit mehr europäischen Anbietern zusammenarbeiten und „dabei die für eine kritische Zahlungsinfrastruktur erforderliche Sicherheit, Ausfallsicherheit und Skalierbarkeit zu gewährleisten“.

Welche europäischen Dienstleister das sind, verrät EPI nicht. Ebenso bleibt die Frage offen, wann Wero sein Versprechen nach digitaler Unabhängigkeit einlösen wird.