Microsoft hat eine Erweiterung der .NET Security Group angekündigt. Bisher lief diese als private Gruppe und war nur auf Einladung zugänglich. Nun können sich jedoch Unternehmen, die ihre eigene Distribution von .NET ausliefern, um eine Mitgliedschaft bewerben – und vom Vorteil profitieren, früher als die Öffentlichkeit von erkannten Sicherheitslücken zu erfahren und Patches zu erhalten.

Die .NET Security Group mit den aktuellen Mitgliedern Canonical, IBM, Red Hat und Microsoft existiert bereits seit 2016. Das von Microsoft geführte .NET-Projekt veröffentlicht an den meisten Monaten am Patch Tuesday Informationen zu bekannten Sicherheitslücken und Fixes – so auch diesen Monat. Mitglieder der .NET Security Group erfahren jedoch schon rund eine Woche früher von bekannten Bedrohungen und erhalten entsprechende Patches, sodass sie ihre Binary-Pakete zur gleichen Zeit wie Microsoft bauen, validieren und veröffentlichen können.

Mitgliedschaft erfordert Vertrauen

Wie Microsoft auf seinem Entwicklerblog betont, erfordern die sensiblen Informationen ein hohes Maß an Vertrauen gegenüber den Partnern in der .NET Security Group. Nachdem Unternehmen das Bewerbungsformular eingereicht haben, findet daher zunächst eine Überprüfung der potenziellen neuen Mitglieder statt, die basierend auf dem Umfang der eingereichten Informationen meist einige Tage bis Wochen dauern soll. Zu den Kriterien zählen die Unternehmensauthentizität, Sicherheitsrisiken und mögliche Handelssanktionen. Jährlich prüft Microsoft die Mitglieder erneut und fordert unter Umständen weitere Informationen an.

Zugelassene Mitglieder müssen eine Programmvereinbarung über die Bedingungen der Mitgliedschaft unterschreiben, und zusätzlich ein Non-Disclosure Agreement (NDA) mit Microsoft, sofern noch nicht vorhanden.

(mai)

In Episode 145 des c’t-Datenschutz-Podcasts nehmen c’t-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich die Regulierung von Social-Media-Plattformen unter die Lupe. Als Gast haben sie sich den Rechtsanwalt und Social-Media-Experten Dr. Thomas Schwenke eingeladen. Schwenke, der gerade ein Buch zum Thema „Recht für Online-Marketing und KI“ veröffentlicht hat, erklärt gleich zu Beginn: Der Begriff „Social Media“ sei überholt. Plattformen wie TikTok oder Instagram entwickelten sich immer mehr zu „algorithmischen Medien“, bei denen der passive Konsum von Inhalten im Vordergrund stehe, und nicht mehr der soziale Austausch.

Hauptthema der Diskussion ist die Regulierungswelle der EU, die mit Gesetzen wie dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) versucht, die Macht der Tech-Konzerne zu begrenzen. Ein aktuelles Beispiel ist die neue Verordnung zur Transparenz politischer Werbung (TT-Verordnung). Sie schränkt das gezielte Ausspielen von Werbung, das sogenannte Microtargeting, stark ein. Die Reaktion der Konzerne ließ nicht lange auf sich warten: Sowohl Meta als auch Google kündigten an, wegen der neuen, komplexen Regeln künftig keine politische Werbung mehr in der EU schalten zu wollen.

Geschäftsmodell bleibt unangetastet

Die Experten sind sich uneins, wie wirksam diese vielen EU-Gesetze wirklich sind. Während Bleich argumentiert, dass die EU die Konzerne durchaus zum Handeln zwingt – etwa bei der Einholung von Einwilligungen oder der Anpassung ihrer Bezahlmodelle –, bleiben Schwenke und Heidrich skeptisch. Sie kritisieren, dass viele Nutzer mit den komplexen Einwilligungs-Bannern überfordert seien und dass das Geschäftsmodell des Trackings im Kern unangetastet bleibe.

Besonders ernüchternd fällt die Bilanz bei den viel beworbenen Schadensersatzklagen gegen Meta aus. Bleich zitiert Zahlen, die der ehemalige baden-württembergische Datenschutzbeauftragte Stefan Brink in einem anderen Podcast teilte: Von rund 2200 Klagen wegen der Business Tools von Meta wurden demnach 70 Prozent komplett zugunsten des Konzerns entschieden. In 97 Prozent der Fälle lag der zugesprochene Schadensersatz bei maximal 500 Euro. Die medienwirksamen Urteile mit hohen Schadensersatzzahlungen seien absolute Ausnahmen.

Zäher Kampf

Ein Urteil des Landgerichts München I stützt diese skeptische Sicht. Das Gericht wies die Klage eines Nutzers ab, der wegen der Übermittlung seiner Daten in die USA Schadensersatz forderte. Die Richter argumentierten, wer einen globalen US-Dienst wie Facebook wissentlich nutze, müsse mit einem Datentransfer rechnen. Sich später darüber zu beschweren, sei widersprüchliches Verhalten. Das Fazit der Runde: Der Kampf gegen die Datenkraken ist zäh und die Erfolge sind oft kleiner, als es den Anschein hat.

Episode 145:

Hier geht es zu allen bisherigen Folgen:

(hob)

Früher, wenn eine Person ihren Vornamen und Geschlechtseintrag dem gelebten Geschlecht angepasst hat, wurde ein neuer Datensatz mit den korrekten Daten angelegt. Der alte wurde mit einem Sperrvermerk versehen, sodass er nur bei einem rechtlichen Interesse im Einzelfall eingesehen werden konnte.

Das Selbstbestimmungsgesetz nimmt das Innenministerium aber nun zum Anlass, das Melderegister an sich umzugestalten. Das Melderegister soll um eine Reihe neuer Datenblätter erweitert werden: der alte Geschlechtseintrag, der alte Vorname sowie jeweils das Datum und die ändernde Behörde nebst Aktenzeichen. Bei Menschen, die das Selbstbestimmungsgesetz in Anspruch nehmen, werden diese Datenfelder gefüllt. Bei allen anderen bleiben sie leer.

Nach dem Willen des Ministeriums von Alexander Dobrindt sollen diese sensiblen Daten außerdem breiter mit anderen Behörden geteilt werden und beispielsweise bei jedem Umzug mitwandern.

Trotz massiver Kritik versucht das Innenministerium, das eigene Vorhaben durchzudrücken. Am Freitag wird der Bundesrat über diese Meldeverordnung abstimmen.

Wir haben mit Julia Monro über die geplante Verschärfung des Selbstbestimmungsgesetzes und die Folgen für die Betroffenen gesprochen. Sie ist Autorin und Journalistin und seit vielen Jahren in der Aufklärungsarbeit zu geschlechtlicher Vielfalt aktiv. Julia Monro ist eine der bekanntesten Stimmen für die Rechte von trans Menschen in Deutschland.

Fremdbestimmt statt selbstbestimmt

netzpolitik.org: Was ist das Problem, wenn der alte Name und Geschlechtseintrag nach einer Änderung in den behördlichen Datensatz aufgenommen und an andere Behörden übermittelt werden sollen?

Julia Monro: Zunächst einmal ist das ein datenschutzrechtliches Problem. Denn bis jetzt hatten betroffene Personen nie die Möglichkeit, in diese neue Datenerfassung einzuwilligen. Das Zweite sind die Menschenrechte. Die meisten trans Personen wollen ihre alten Daten hinter sich lassen, etwa den Vornamen und das Geschlecht, die ihnen fremdbestimmt bei der Geburt zugewiesen wurden.

Für einige stellt das vielleicht kein Problem dar. Aber viele wollen, dass ihr sogenannter Deadname nirgendwo mehr auftaucht. Sie wollen mit dem neuen Namen und Geschlecht angesprochen werden und wünschen sich Akzeptanz aus der Gesellschaft.

Wenn der alte Vorname, das falsche Pronomen oder die falsche Anrede benutzt wird, ist das für viele sehr verletzend. Das wurde in zahlreichen Studien gezeigt. Wenn du also per Verordnung immer wieder mit den alten Daten konfrontiert wirst, kann das retraumatisierend sein.

Diese Verordnung will den alten Namen und Geschlechtseintrag zwangsweise erheben. Bei jedem behördlichen Kontakt sieht die Mitarbeiter*in automatisch, dass die Person vor ihr früher einen anderen Namen und einen anderen Geschlechtseintrag hatte. Sie sieht: Diese Person ist trans.

Das bedeutet: Egal wo du hingest, erlebst du immer wieder ein Zwangsouting. Und das fühlt sich an wie eine Art Markierung und ruft die große Sorge hervor, dass man per Knopfdruck ein Register mit trans Personen erstellen kann. Einige erinnert das fast an die Rosa Listen aus der Zeit des Nationalsozialismus, mit denen queere Menschen verfolgt wurden.

netzpolitik.org: Das Bundesinnenministerium hat nach zahlreichen Einwänden von Betroffenen und Verbänden einen Satz in die Verordnung hinzugefügt. „Eine Suche zur Erstellung einer Ergebnisliste, die ausschließlich Personen anzeigt, die ihren Geschlechtseintrag geändert haben, ist ausgeschlossen.“

Julia Monro: Nach Gesprächen mit IT-Expert*innen glaube ich dennoch, dass man so eine Liste leicht erstellen kann. Solange das Innenministerium nicht klarstellt, wie es den Datenschutz der Betroffenen gewährleisten will, habe ich kein Vertrauen.

netzpolitik.org: Nehmen wir an, die Verordnung wird in dieser Form im Bundesrat angenommen und tritt im November 2026 in Kraft. Was ist dann aus dem Selbstbestimmungsgesetz geworden?

Julia Monro: Der Kern des Selbstbestimmungsgesetzes ist ja, dass man ohne Begutachtung und fremde Bewertung den eigenen Geschlechtseintrag und den eigenen Vornamen anpassen kann. Das Selbstbestimmungsgesetz beinhaltet aber auch das sogenannte Offenbarungsverbot. Und dieses Offenbarungsverbot wird mit der neuen Verordnung vollständig ausgehöhlt.

In über vierzig Jahren Praxis nach dem sogenannten Transsexuellengesetz war es nicht erforderlich, Änderungen am Melderegister vorzunehmen. Dieses Gesetz und das Selbstbestimmungsgesetz haben exakt dasselbe juristische Ergebnis: ein neuer Vorname und ein neuer Geschlechtseintrag. Das Bundesinnenministerium tut jetzt aber so, als ob es mit dem Selbstbestimmungsgesetz etwas Neues gäbe und der frühere Name plötzlich erfasst werden müsste. Das ist ein vorgeschobenes Argument. Es ist ungeheuerlich, dass man das Argument der Identifizierbarkeit oder Nachverfolgbarkeit vorschiebt. Das widerspricht dem Offenbarungsverbot, das es auch schon im Transsexuellengesetz gab, und markiert trans Personen ein Leben lang.

Das Menschenbild der Union

netzpolitik.org: Das Ministerium argumentiert, dass diese Datenerfassung aber gerade aufgrund des Offenbarungsverbotes notwendig ist. Wie kann es sein, dass das Verständnis des Offenbarungsverbots des Innenministeriums dem der Betroffenen so diametral entgegensteht? Das ist ja geradezu absurd.

Julia Monro: Dafür lohnt sich ein Blick in die Historie der CDU/CSU. Grundrechte, insbesondere queere Menschenrechte, mussten bisher gegen den Widerstand der Union durchgesetzt werden. Sowohl gerichtlich als auch durch Protest oder beispielsweise Gesetzesinitiativen durch den Bundesrat. Die Union hat das nie von sich aus angepackt.

Denn in der Union hat man grundsätzlich ein anderes Verständnis von queeren Personen. Ein Referent in der Parteizentrale sagte vor einigen Jahren zu mir: „Wir vertreten das christliche Menschenbild und lehnen alles ab, was dem widerspricht.“ Diese Aussage spricht Bände. Sie haben eine bestimmte Vorstellung davon, wie Menschen sein müssen. Sobald etwas von dieser Vorstellung abweicht, versuchen sie das aufzuhalten. So ist es auch aktuell mit dem Offenbarungsverbot.

Sie glauben an eine totale Realität, dass trans Menschen eine biologische Wahrheit haben und diese unveränderlich ist. Das ist die Messgröße, an der sie sich orientieren. Mit dieser Verordnung wollen sie sich das Recht herausnehmen, diese vermeintliche biologische Wahrheit weiterhin so zu benennen. Den neuen Namen und das neue Geschlecht tun sie lediglich als eine unbedeutende Änderung ab. Da fehlt die Akzeptanz für das Individuum. Das beobachte ich schon sehr lange.

Das sind zwei Weltanschauungen, die total aufeinanderprallen. Deshalb glaube ich nicht, dass die Union in puncto trans Rechte jemals ihre Meinung ändern wird. Jedenfalls nicht freiwillig.

„Das Innenministerium macht einfach, was es will“

netzpolitik.org: Was das Bundesinnenministerium als Vorhaben ankündigt, ist längst umgesetzt. Die neuen Datenblätter wurden mit Wirkung zum 1. April bereits eingerichtet, obwohl die Verordnung noch gar nicht beschlossen ist. Wie siehst du das?

Julia Monro: Bis heute habe ich nicht verstanden, warum die technische Umsetzung früher stattfindet als die Verordnung in Kraft treten soll. Das konnte mir bisher niemand erklären. Und das irritiert mich sehr. Es zeigt die Vorgehensweise des BMI – wie per Trump-Dekret. Sie machen einfach, was sie wollen. Ganz nach dem Motto: Wenn Menschen damit ein Problem haben, sollen sie den Rechtsweg beschreiten.

Das Innenministerium unter Nancy Faeser hatte schon während des Gesetzgebungsverfahrens der Ampel versucht, dass sämtliche Strafverfolgungsbehörden über die Änderung des Geschlechtseintrags automatisch informiert werden. Der Bundesdatenschutzbeauftragte hatte das schwer kritisiert. Diese automatische Datenerfassung und Datenweitergabe wäre sehr wahrscheinlich verfassungs- und europarechtswidrig. Daraufhin wurde diese Passage gestrichen.

Nun versucht das Ministerium, Verschärfungen über andere Wege einzubringen. Anstatt einen neuen Gesetzesentwurf vorzulegen und die Punkte nachzufordern, erlässt es Änderungen per Verordnung – einfach am Parlament vorbei. Gerade bei solchen sensiblen Daten am Bundestag vorbei zu agieren, hinterlässt verfassungsrechtlich einen bitteren Beigeschmack.

Was die Union angeht: Es war von vornherein völlig klar, dass die Union durch die Hintertür versuchen wird, das Gesetz auszuhöhlen. Abschaffen können sie es nicht, also werden sie alles Mögliche versuchen, um es weiter zu verschärfen. Hauptsache, eigene Ideen durchsetzen, um doch noch das Gefühl zu haben, wir haben für Ordnung gesorgt. Das ist dieses autoritäre Regieren, was ich bei der Union ganz problematisch finde.

„Der Bundesrat sollte die Menschenrechte in den Fokus nehmen“

netzpolitik.org: Was würdest du dem Bundesrat im Vorfeld der Abstimmung gern mitgeben?

Julia Monro: Der Bundesrat sollte sich seiner demokratischen Verantwortung bewusst sein und die Menschenrechte in den Fokus nehmen. Gerade die trans Community ist eine der vulnerabelsten Gruppen in der Gesellschaft. Die queere Community insgesamt steht massiv unter Druck und wird immer häufiger von rechts angegriffen. Die CSDs werden angegriffen, es gibt Übergriffe gegen trans Personen. Der Bundesrat sollte berücksichtigen, dass gerade diese vulnerable Minderheit besonders schützenswert ist. Dazu zählt auch der Schutz der Privatsphäre und der informationellen Selbstbestimmung, um weitere Verletzungen und Demütigung durch das Misgendern zu unterbinden.

Der Bundesrat sollte sich an Menschenrechte halten und keine parteipolitischen Spielchen mitmachen.

netzpolitik.org: Für wie wahrscheinlich hältst du es, dass der Bundesrat der Verordnung zustimmen wird?

Julia Monro: In den letzten Wochen habe ich viele Gespräche und Telefonate geführt, um das herauszufinden. Nach meinen aktuellen Berechnungen komme ich auf insgesamt 42 Stimmen, die sich enthalten oder gegen die Verordnung stimmen. Damit wäre die Verordnung abgelehnt. Ich bin also ein wenig optimistisch.

Am Vorabend der Sitzung gibt es noch ein sogenanntes Kamin-Gespräch. Da wird besprochen, wie sich die einzelnen Länderregierungen in der Abstimmung verhalten werden. Ob das am Ende auch so eintritt, entscheidet also mit hoher Wahrscheinlichkeit auch dieses Kamin-Gespräch. Da kann es Änderungen in letzter Sekunde geben.

Auch das Bundesinnenministerium hat wohl verstanden, dass viele Bundesländer dagegen stimmen oder sich enthalten wollen. Deshalb schickt es in letzter Minute noch das Dokument „Folgen einer Ablehnung der Verordnung“ herum, um noch Einfluss zu nehmen. Bundestag und Bundesrat sind nicht umsonst separate Verfassungsorgane und hier wird meines Erachtens die Neutralität nicht gewahrt. Es zeigt auch, wie sehr sie es ohne Rücksicht durchbringen wollen und jegliche Kritik ignorieren. Von der Bundesregierung erwarte ich, dass sie sich an Fakten und nicht an irgendwelchen Meinungen oder Gefühlen orientiert.­