Auf dem 39C3 beleuchtete der Talk „CUII: Wie Konzerne heimlich Webseiten in Deutschland sperren“ einen weiterhin wenig transparenten Mechanismus der Internetregulierung in Deutschland. Northernside und Lina zeigten, wie über die Clearingstelle Urheberrecht im Internet (CUII) in Zusammenarbeit von Rechteinhabern und Internetanbietern Websites gesperrt werden – meist freiwillig, häufig ohne richterliche Entscheidung und weitgehend unter Ausschluss der Öffentlichkeit. Sie selbst betreiben die Webseite „CUII Liste“, die eine möglichst umfassende Liste der durch die CUII in Deutschland gesperrten Webseiten vorhält.

Über die CUII

Zu den beteiligten Rechteinhabern der CUII zählen unter anderem die Film- und Musikindustrie (zum Beispiel GEMA, Filmstudios) sowie die Fußballbranche (DFL, Sky), während die teilnehmenden Internetanbieter nach eigenen Angaben rund 85 Prozent der deutschen Internetanschlüsse abdecken. Über die CUII können Rechteinhaber Sperranträge für mutmaßlich rechtsverletzende Websites stellen. Diese werden intern geprüft und anschließend an die beteiligten Provider weitergeleitet, die die Seiten meist per DNS-Sperre blockieren. Die Bundesnetzagentur war zeitweise eingebunden, betonte jedoch, nicht über die Rechtmäßigkeit der Inhalte zu entscheiden. Kritiker bemängeln, dass es sich um ein intransparentes, privatisiertes Verfahren ohne klare rechtliche Kontrolle handelt.

Besondere Aufmerksamkeit erregte die Veröffentlichung interner Sperrlisten infolge einer Fehlkonfiguration bei einem Provider. Dadurch wurde bekannt, dass zahlreiche Domains gesperrt waren, obwohl die beanstandeten Inhalte teils seit Jahren nicht mehr verfügbar waren. Analysen zeigten laut Kritikern erhebliche Defizite beim Monitoring: Ein erheblicher Teil der Sperren sei veraltet oder unberechtigt gewesen. Zudem änderten einige Anbieter ihre Sperrmechanismen, sodass Nutzer nicht mehr erkennen können, ob eine Seite gezielt gesperrt wurde oder lediglich nicht erreichbar ist. Diese erschwerten Transparenz- und Crowdsourcing-Projekte, die Sperrmaßnahmen dokumentieren wollen.

Mit dem 2024 vorgestellten „Kodex 2.0“ kündigte die CUII an, sich künftig stärker auf Gerichtsurteile zu stützen. Laut Lina wirke das Ganze wie ein PR-Stunt. „Es scheint nämlich so, als würden die Internetanbieter oft einfach nicht vor Gericht auftauchen. Dann gibt es ein sogenanntes ‚Versäumnisurteil‘, wodurch der Richter die ganze Sache also gar nicht inhaltlich tief prüft. Und dieses eine Urteil kann die CUII jetzt vorzeigen, und somit sperren dann alle anderen Internetanbieter in der CUII die Seite freiwillig“, sagt Northernside. Wie das genau ablaufe, sei sehr schwer zu sagen, von der CUII aus gebe es leider nicht viele Informationen. „Die Informationen mussten wir uns aus IFG-Anfragen [IFG: Informationsfreiheitsgesetz, Anm.d.R] und Anfragen an Gerichte zusammenpuzzeln. Wir wissen daher auch, dass die Bundesnetzagentur selbst um kontradiktorische (’richtige’) Urteile gebeten hat, keine Versäumnisurteile“.

Lina ergänzt: „Man sieht hier einfach, wie milliardenschwere Firmen Internetanbieter dazu bringen, still und leise deren Selbstjustiz durchzusetzen“. Es zeig, dass momentane Copyright-Gesetze am Ende meist nur den gigantischen Konzernen helfe, als normaler Mensch habe man solche Möglichkeiten hingegen nicht. „Technisch ist das auch sehr bedenklich: Die Internetanbieter müssen quasi alle Anfragen durchleuchten, um die Antworten dann manipulieren zu können. Und das machen die alles ’freiwillig’ mit ihren Kunden, weil die Konzerne mit ihrem vielen Geld und unseren Copyright-Gesetzen einfach die Macht haben“.

(mack)

Mit der Handreichung „KI in Behörden – Datenschutz von Anfang an mitdenken“ will die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, öffentliche Stellen des Bundes beim datenschutzkonformen KI-Einsatz unterstützen. Zu Unsicherheiten führt insbesondere der Umgang mit personenbezogenen Daten beim Training und bei der Nutzung von Large Language Models (LLMs). Im Fokus der Handreichung stehen außerdem Herausforderungen mit in LLMs memorisierten Daten sowie die Anforderungen an Rechtmäßigkeit und Transparenz. Die Publikation soll dabei helfen, eine strukturierte, lösungsorientierte Herangehensweise an KI-Projekte zu entwickeln.

Große Sprachmodelle bilden die Grundlage für Chatbots und werden zur Bewältigung etlicher Aufgaben im Arbeitsalltag eingesetzt. Rechtlich relevant für den Umgang mit ihnen ist die KI-Verordnung, die das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen regelt. Maßgeblich sind des Weiteren datenschutzrechtliche Bestimmungen. So regelt die DSGVO die Rechtmäßigkeit und Grenzen der Verarbeitung personenbezogener Daten. KI-Verordnung und DSGVO „ergänzen sich zu einem kohärenten unionsrechtlichen Regelungsrahmen für KI-Systeme“, erklärt die Handreichung.

Datenschutzrechtliche Herausforderungen gibt es beim LLM-Einsatz viele. Die Handreichung nennt unter anderem den Blackbox-Charakter, der das Nachvollziehen der Datenverarbeitung aufgrund der technischen Beschaffenheit der Systeme verhindert, das Halluzinieren, das eine Herausforderung für den Grundsatz der Datenrichtigkeit darstellt, die Memorisierung (Einprägen) personenbezogener Daten in der KI, die unabsichtlich oder durch gezielte Attacken zur Datenausgabe führen kann, und den Aspekt der (mangelnden) Fairness/Bias, der aufgrund einer Über- oder Unterrepräsentation in den Trainingsdaten entsteht.

Maßnahmen gegen zu starke Eingriffe

Die nachfolgenden Kapitel analysieren die rechtlichen Grundlagen im Detail und nennen konkrete Maßnahmen, mit denen sich die Auswirkungen der beschriebenen Herausforderungen abschwächen lassen – sie reichen von organisatorischen Maßnahmen wie Zugriffs- und Rechtekonzepten bis zu technischen Maßnahmen. Um die Eingriffstiefe beim Verarbeiten personenbezogener Daten zu reduzieren, nennt die Handreichung beispielsweise die Pseudonymisierung der Trainingsdaten, bestmögliches Entfernen personenbezogener Daten wie Namen, Telefon- und Steuernummern, Differential Privacy, anhand derer der Datensatz möglichst anonymisiert wird oder das Nutzen von Filtern im KI-System, die eine Extraktion personenbezogener Daten aus dem KI-Modell möglichst mindern – jeweils vor dem Training.

„Gerade beim Einsatz von Large Language Models bestehen für öffentliche Stellen erhebliche Unsicherheiten“, resümiert die Bundesdatenschutzbeauftragte. „Mit dieser Handreichung will ich zur Rechtssicherheit beitragen und aufzeigen, an welche datenschutzrechtlichen Aspekte man beim Einsatz von Künstlicher Intelligenz in den meiner Aufsicht unterliegenden Behörden denken sollte.“ Auch stünde ihre Behörde für die weitere Prüfung konkreter Vorhaben beratend zur Seite. Die vollständige Veröffentlichung steht auf der Website der BfDI zur Verfügung (PDF, 46 Seiten).

(ur)

Seit dem 6. Dezember 2025 ist die NIS-2-Richtlinie in Deutschland in Kraft getreten. Sind Sie unsicher, ob Ihr Unternehmen betroffen ist und was Sie nun tun müssen, finden Sie hier eine kurze Übersicht über Hilfsangebote, die Sie bei Ihrer Suche nach Antworten unterstützen.

Worum geht es?

Die NIS-2-Richtlinie soll nun pünktlich zu Nikolaus für eine höhere Cybersicherheit in der Europäischen Union sorgen. Im Vergleich zur bisherigen NIS-Richtlinie sind mehr Unternehmen betroffen, da nicht nur die kritische Infrastruktur einbezogen wird. Viele kleine und mittlere Unternehmen müssen prüfen, ob sie in den Anwendungsbereich der Richtlinie fallen und wie sie die neuen Vorgaben umsetzen müssen. Doch dazu fehlt es oft an Fachpersonal.

Die Richtlinie fokussiert sich auf Risikomanagement, die verpflichtende Meldung von Sicherheitsvorfällen sowie die Gewährleistung der Dienstleistungskontinuität. NIS-2 verpflichtet Unternehmen dazu, belastbare Sicherheitsvorkehrungen einzuführen und kontinuierlich Risikobewertungen durchzuführen. Eine fehlende oder mangelhafte Umsetzung kann deutliche Konsequenzen nach sich ziehen. So können Geschäftsführer beispielsweise persönlich haftbar gemacht werden.

Was tun?

Einen kurzen Überblick über die Problematik erhalten Sie in diesem Beitrag zu der verpflichtenden Cyberrüstung und in dieser Ausgabe des Podcasts Café Datenschutz auf Youtube durch Dr. Sebastian Kraska von der IITR Datenschutz GmbH.

Die offizielle Betroffenheitsprüfung und ein passendes Informationsvideo finden Sie direkt beim Bundesamt für Sicherheit in der Informationstechnik.

Wie Sie NIS-2- in der Praxis umsetzen und die IT-Sicherheit Ihres Unternehmens ganz praktisch stärken, können Sie unter anderem in der Schulung NIS-2 in der Praxis – EU-Richtlinie umsetzen und Sicherheit steigern an der heise academy ab dem 22. Januar 2026 lernen.

(cbr)