Eine Woche vor Heiligabend hat die UN-Generalversammlung in New York City einen Konsens zur Zukunft der Internet Governance und der internationalen Digitalpolitik gefunden. Dabei stand viel auf dem Spiel. Denn die sogenannte WSIS+20-Resolution entscheidet nicht nur über die Zukunft des Internet Governance Forums (IGF), sondern darüber, wer künftig Macht über das Internet ausübt. Das sorgte für Zündstoff. Auch wenn die Aufmerksamkeit nur in dieser Woche auf der Resolution lag, waren Stakeholder aus der ganzen Welt schon das ganze Jahr mit dem Prozess beschäftigt.
Dabei zeichneten sich viele Spannungsfelder ab. Eines davon: Welche Rolle sollen Akteure aus der Zivilgesellschaft künftig spielen? Zwanzig Jahre nach dem Weltgipfel zur Informationsgesellschaft in Genf und Tunis (World Summits on the Information Society 2003/2005) stand nicht weniger auf dem Spiel als die Frage, wie das Internet künftig gestaltet wird.
Aus Sicht der digitalen Zivilgesellschaft war dabei besonders wichtig: Welche Zukunft hat das Internet Governance Forum? Und wie wird es künftig gestaltet? Denn das IGF ist einer der letzten Orte, an dem Zivilgesellschaft, Wissenschaft, Wirtschaft, Jugend, technische Community, Politik und Verwaltung gemeinsam über die Zukunft des Internets beraten. Für die digitale Zivilgesellschaft ist es eines der wenigen globalen Foren, in denen ihre Perspektiven institutionell verankert sind und tatsächlich Einfluss entfalten können.
Am Vortag der Abstimmung hat Karsten Wildberger, Bundesminister für Digitales und Staatsmodernisierung, eine Rede gehalten. “Wir sind hier, um unser Engagement für das freie, offene und interoperable globale Internet zu bekräftigen. Seine größte Stärke ist die Offenheit.”
Diese Worte sind ein wichtiges Signal für die Prinzipien, für die sich die digitale Zivilgesellschaft einsetzt. Fast noch wichtiger: Die Bundesregierung will Worten auch Taten folgen lassen. Wildberger kündigte an, dass eine Million Euro aus dem Bundeshaushalt an das globale IGF gehen werden.
Der Hauptstreitpunkt im Prozess war die Zukunft des globalen IGF. In diesem kurzen Zeitfenster ist es gelungen, dass Staaten wie die Ukraine und Russland einen Konsens darüber finden konnten, wie es mit dem Internet weitergeht. Sie haben sich sogar darauf verständigt, das IGF als permanentes Forum der Vereinten Nationen zu etablieren.
Dass sich am Ende eine breite Unterstützung für eine Verstetigung des IGF abgezeichnet hat, ist zwar eine wichtige Errungenschaft. Das Ergebnis ist jedoch ambivalent.
Die Diskussionen über neue, primär staatlich geprägte Formate im IGF zeigen, wie brüchig der Konsens für das Multistakeholder-Modell geworden ist. Ein starkes IGF braucht keine geschlossenen Räume, in denen ausschließlich staatliche Akteure verhandeln. Es braucht bessere Modalitäten, eine nachhaltige Finanzierung und eine klare Anerkennung der Relevanz aller Stakeholder-Gruppen als gleichwertige Teilnehmende. Der erzielte Konsens darf nicht darüber hinwegtäuschen, wie umkämpft der Prozess war.
Der Konflikt kulminierte schließlich in Absatz 101 der WSIS+20-Resolution, der eine stärkere Rolle von Regierungen im IGF vorsieht. Das war ein Anliegen der „Gruppe der 77“, in der sich Länder der globalen Mehrheitsgesellschaft zusammengeschlossen haben, dem die EU mit ihrem Festhalten am Multistakeholder-Ansatz entgegen trat. Die Bundesregierung hat sich im Einklang mit den NETmundial+10-Prinzipien kontinuierlich für die Beteiligung von Stakeholder-Gruppen im internationalen Kontext bemüht.
Dabei besteht jedoch durchaus eine Doppelmoral. Denn auf nationaler Ebene verfolgt die Regierung diesen Anspruch nicht so konsequent. Beim Beteiligungsverfahren zum Deutschland-Stack etwa wurde die Zivilgesellschaft erst nach freundlichen Hinweisen neben Wirtschaftsverbänden als Zielgruppe für Workshops aufgeführt. Auch beim deutsch-französischen Gipfel zur digitalen Souveränität im November in Berlin spielte die digitale Zivilgesellschaft eine Nebenrolle.
Um zu verstehen, wie viel umfangreicher die digitale Zivilgesellschaft in die internationale Digitalpolitik eingebunden ist – im Vergleich zur nationalen und europäischen Ebene –, lohnt sich ein Rückblick auf die zahlreichen Beteiligungsmöglichkeiten bei der Vorbereitung der Verhandlungen zur WSIS+20-Resolution.
In Deutschland begann dies mit einer vom Bundesministerium für Digitales und Verkehr (BMDV) organisierten virtuellen Stakeholder-Konsultation im März 2025, die dort als Prozess für “Feinschmecker” bezeichnet wurde. Bereits im April und Mai fand eine umfangreiche Veranstaltungsreihe zum WSIS+20-Prozess statt, organisiert von zivilgesellschaftlichen Organisationen, an der nun auch das neu geschaffene Bundesministerium für Digitales und Staatsmodernisierung (BMDS) teilnahm.
Hinzu kam ein offenes Konsultationsverfahren der Ko-Fazilitatoren aus Albanien und Kenia, die den UN-Verhandlungsprozess leiteten – wenngleich das Verfahren daraus bestand, dass die Beteiligten drei Minuten ein Statement verlesen konnten, dem meist nur Gleichgesinnte zuhörten.
Zudem setzte sich die EU für die Einrichtung eines Informellen Multistakeholder Sounding Boards ein, welches auch eigene Konsultationen ausgerichtet und kontinuierlich Feedback gegeben hat. Anknüpfend daran konnte die Position der Bundesregierung, die als Gruppe über die EU verhandelt wurde, beeinflusst werden. Informiert bleiben konnte man über die regelmäßigen Updates des BMDS über eine Community-Mailing-Liste.
Für den deutschen Kontext bedeutet WSIS+20 vor allem eines: Der Multistakeholder-Ansatz muss auch national konsequent umgesetzt werden. Andernfalls droht der Ansatz zu einem reinen außenpolitischen Lippenbekenntnis zu verkommen. Die über 170 nationalen, regionalen und Jugend-Internet-Governance-Foren und Initiativen (NRIs), die nun auch in der Resolution hervorgehoben werden, spielen dabei eine Schlüsselrolle.
NRIs sind Orte, an denen globale Aushandlungsprozesse übersetzt, diskutiert und weiterentwickelt werden können, um in nationale und regionale Gesetzgebungsverfahren einzufließen. Die Voraussetzung dafür ist allerdings, dass sie ausreichend finanziell und personell ausgestattet und offen gestaltet sind.
Positiv hervorzuheben ist die signifikante Unterstützung des globalen IGFs durch das BMDS. Gleichzeitig zeigt sich, dass Beteiligung weiterhin zu oft projektbezogen und situativ erfolgt. Gerade vor dem Hintergrund der fehlenden Einbeziehung in Diskussionen rund um digitale Souveränität und Verwaltungsdigitalisierung ist es bedeutsam, zivilgesellschaftliche Expertise frühzeitig und strukturell in alle Bereiche einzubinden.
Das Internet Governance Forum Deutschland steht bislang auf einer fragilen Grundlage. Um seiner Rolle gerecht zu werden, braucht es eine stärkere institutionelle Verankerung, verlässliche Finanzierung und eine klare politische Anerkennung als zentraler Ort für Internet Governance in Deutschland. Nur so kann es langfristig dazu beitragen, internationale Prozesse wie WSIS und den Global Digital Compact mit nationalen Diskursen zu verzahnen.
Außerdem fehlen Räume, in denen in Deutschland über das Domain Name System und kritische Internetressourcen gesprochen wird, für die Internet Corporation for Assigned Names and Numbers (ICANN) und Regional Internet Registries (RIRs) zuständig sind. Auch Diskussionen über die grundlegende Arbeit der Internet Engineering Task Force oder des World Wide Web Consortiums (W3C) fallen zu oft hinten runter. Dort sucht man oft vergeblich nach zivilgesellschaftlicher Expertise. Genau darin besteht die Stärke des IGFs. Es führt all diese Stränge, Gremien und Prozesse zusammen und schafft Räume für Themen der Internet Governance.
Dementsprechend ist die WSIS+20-Resolution kein Endpunkt, sondern lenkt notwendige Aufmerksamkeit auf internationale Digitalpolitik. Die entscheidenden Weichenstellungen stehen noch bevor: bei der Reform des IGF und der anstehenden Diskussion über dessen Modalitäten, bei der weiteren Umsetzung des Global Digital Compacts und bei der Verankerung digitaler Zusammenarbeit in den Nachhaltigkeitszielen (Sustainable Development Goals). In den kommenden Jahren wird sich entscheiden, ob Multistakeholder-Governance weiter ausgehöhlt oder nachhaltig gestärkt wird.
Eines bleibt dabei klar: Ohne Zivilgesellschaft am Verhandlungstisch gibt es keine legitime und zukunftsfähige Digitalpolitik – weder in New York noch in Berlin.
Die elektronische Patientenakte (ePA) ist inzwischen einem Großteil der Bevölkerung bekannt. Gleichzeitig kursieren aber noch viele falsche Informationen über sie. Und nur etwa jede:r Zehnte nutzt die eigene Akte aktiv.
Das sind zentrale Ergebnisse einer „Datenbarometer-Befragung“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider. In ihrem Auftrag hat das Meinungsforschungsinstitut info im November rund 1.500 gesetzlich Versicherte zur ePA befragt.
Seit Januar haben die Krankenkassen für alle gesetzlich Versicherten, die nicht widersprachen, eine digitale Patientenakte angelegt. Nach einer Pilotphase wurde die ePA im Frühjahr schrittweise bundesweit ausgerollt. Seit Oktober sind alle Ärzt:innen, Apotheken und Krankenhäuser dazu verpflichtet, die ePA zu nutzen.
Nach knapp einem Jahr kennen 95 Prozent der Befragten die ePA zumindest dem Namen nach. Allerdings verfügen nur 12 Prozent über einen Zugang zu ihrer Akte. Das heißt, sie haben etwa eine Gesundheits-ID und sich mit Hilfe der App ihrer Krankenkasse in die persönliche ePA eingeloggt. Zu den aktiven Nutzer:innen zählen laut Datenbarometer vor allem jüngere Menschen unter 40 und Menschen mit höherem Bildungsabschluss.
Knapp 80 Prozent der Befragten haben ihre ePA noch nicht aktiviert, sie gelten als „passiv Nutzende“. Als Grund führen sie einen fehlenden Bedarf (42 Prozent) und Zeitgründe (26 Prozent) an.
7 Prozent der Befragten haben der ePA widersprochen, 5 Prozent wollen dies noch tun, 3 Prozent sind unentschieden – in der Summe sind das 15 Prozent der Befragten. Die BfDI schließt daraus, dass 85 Prozent der gesetzlich Versicherten ihre ePA behalten möchten.
Auch wenn der Bekanntheitsgrad der ePA steigt, zeigt die Umfrage, dass derzeit noch zahlreiche Fehlannahmen über sie kursieren.
Demnach glauben 43 Prozent der Befragten fälschlicherweise, dass die ePA erst eingerichtet werde, wenn sich Versicherte registriert und die entsprechende App auf ihrem Endgerät installiert haben. Und nur gut ein Drittel von ihnen weiß, dass Versicherte eigenständig Dokumente aus der digitalen Patientenakte löschen dürfen.
Immerhin geben 60 Prozent der Befragten korrekt an, dass die ePA nicht verpflichtend ist. Und knapp 90 Prozent wissen, dass der Arbeitgeber die in der Akte hinterlegten Daten nicht einsehen darf.
Diese Zahlen stützen die Kritik an der Informationspolitik des Gesundheitsministeriums und vieler Krankenkassen. Schon vor dem bundesweiten Roll-out im April hatten Nichtregierungsorganisationen und Patientenschützer:innen deren Vorgehen als intransparent und irreführend gerügt.
Auch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider kritisierte jüngst im Interview mit netzpolitik.org die Informationspolitik der Krankenkassen:
Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist.
Laut der Datenbarometer-Befragung haben rund 70 Prozent der Befragten das Informationsschreiben der Krankenkassen zur ePA ganz oder teilweise gelesen; jede*r Zehnte sagt, den Brief nicht erhalten zu haben.
Insgesamt sei „viel zu spät und mit viel zu geringer Priorität informiert“ worden, sagt Louisa Specht-Riemenschneider. Eine Informationskampagne zur ePA unter dem Motto „ePA? Na sicher!“ startete das Bundesgesundheitsministerium Anfang Dezember.
Insgesamt wollen 42 Prozent der Befragten die ePA in den kommenden sechs Monaten aktiv nutzen. Gleichzeitig gaben mehr als vier Fünftel (83 Prozent) von ihnen an, sich umfangreichere Einstellungsmöglichkeiten in der digitalen Patientenakte zu wünschen. Diese Einstellungen können unter anderem steuern, wer Befunde oder verschriebene Medikamenten einsehen darf.
Zugleich ist die Bereitschaft unter den Befragten, ihre Gesundheitsdaten weiterzugeben, relativ hoch: Mehr als zwei Drittel der Befragten würde demnach wichtige medizinische Unterlagen mit behandelnden Ärzt:innen teilen. Genauso viele von ihnen wären dazu bereit, pseudonymisierte Daten zu wissenschaftlichen Zwecken bereitzustellen.
Die Bundesdatenschutzbeauftragte sieht hier einen Zusammenhang. „Die Funktionen und Einstellungsmöglichkeiten bei der ePA müssen für alle verständlich und nachvollziehbar sein“, so Louisa Specht-Riemenschneider. „Das ist die Grundvoraussetzung für einen selbstbestimmten Umgang mit den eigenen Gesundheitsdaten, den sich die Menschen wünschen.“
Die Entwickler von Foxit PDF haben neue Versionen des Editors und des Readers sowohl für macOS als auch für Windows herausgegeben. Sie schließen eine größere Zahl an Sicherheitslücken, von denen einige sogar die Risikoeinstufung „kritisch“ nur um Haaresbreite verfehlen.
Weiterlesen nach der Anzeige
Auf der Foxit-Webseite mit Sicherheitsmitteilungen kündigen die Entwickler die aktualisierten Softwarepakete an. Eine der schwerwiegendsten Schwachstellen betrifft die Windows-Version, wenn sie aus dem Microsoft Store installiert wurde. Angreifer mit niedrigen Berechtigungen können dem Installer Code unterschieben, da der „msiexec.exe“ aus dem aktuellen Pfad aufruft anstatt aus dem vertrauenswürdigen Systempfad (CVE-2025-57779, CVSS 8.8, Risiko „hoch“). Auch im Updater für die Windows-Version (ohne die Einschränkung auf den MS-Store-Bezug) können lokale Angreifer ihre Rechte zu „SYSTEM“ ausweiten, da bei der Plug-in-Installation falsche Dateisystemberechtigungen für Ressourcen vergeben werden, die der Updater nutzt (CVE-2025-13941, CVSS 8.8, Risiko „hoch“).
Auch die Mac-Versionen sind von weiteren „Use-after-free“-Schwachstellen . Die können Angreifer zum Einschleusen von Schadcode mit manipulierten PDF-Dateien missbrauchen – betCVE-2025-58085, CVE-2025-59488, CVE-2025-66493, CVE-2025-66494 und CVE-2025-66495 erhalten alle eine Risikoeinstufung „hoch“ mit einem CVSS-Wert 7.8. Hierbei greift der Programmcode auf Ressourcen zu, die zuvor bereits freigegeben wurden und daher einen undefinierten Inhalt haben. Ein Heap-basierter Pufferüberlauf kann zudem bei der Verarbeitung von JBIG2-Daten in PDFs auftreten und dabei eingeschleuster Code zur Ausführung gelangen (CVE-2025-66499, CVSS 7.8, Risiko „hoch“). Drei weitere Lücken (CVE-2025-66496, CVE-2025-66497 und CVE-2025-66498) stufen die Entwickler mit CVSS 5.3 nur als „mittleres“ Risiko ein.
Die Schwachstellen bessern die jetzt verfügbaren Versionen Foxit PDF Reader 2025.3 sowie PDF Editor 2025.3, 14.0.2 und 13.2.2 für macOS und Windows aus. Betroffene können sie von der Download-Seite bei Foxit herunterladen. Lokal lässt sich das Update durch Klick auf „Hilfe“ – „Über Foxit PDF [Editor|Reader]“ – „Auf Update prüfen“ suchen und anwenden.
Zuletzt hatte Foxit im August mit Softwareupdates Sicherheitslücken in den PDF-Programmen geschlossen. Auch da galten einige Lücken als „hohes“ Risiko. Sie erlaubten Angreifern unter anderem das Einschleusen und Ausführen von Schadcode.
(dmk)
Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk. Sie ist Teil der Databroker Files.
Seit Monaten häufen sich Berichte über menschenfeindliche Übergriffe von Beamt*innen der US-Abschiebebehörde ICE. Sie inhaftieren massenhaft Menschen, die nach dem Willen der Regierung von US-Präsident Donald Trump das Land verlassen sollen. Um sie aufzuspüren, kann die Behörde ein mächtiges Werkzeug nutzen: Mit Tracking-Daten aus der Online-Werbeindustrie kann sie Milliarden Standorte von Handys ausspionieren.
Die Angebote für solche Informationen kommen von Databrokern und darauf spezialisierten Dienstleistern. Gesammelt werden die Daten angeblich nur zu Werbezwecken, doch auch staatliche Stellen können beherzt zugreifen. Kommerzielle und staatliche Überwachung sind weltweit inzwischen eng verwoben.
Neue Dokumente aus dem Bundestag zeigen jetzt: Die Bundesregierung verweigert zwar eine Auskunft darüber, ob deutsche Sicherheitsbehörden auf solche Standortdaten zugreifen – die Möglichkeit schließt sie aber ausdrücklich nicht aus.
Zugleich nährt ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages Zweifel daran, ob staatliche Shoppingtouren bei Databrokern überhaupt rechtmäßig wären: Bei Bundespolizei und Bundeskriminalamt fehlt demzufolge eine Ermächtigungsgrundlage; selbst für die mit weitreichenden Befugnissen ausgestatteten Geheimdienste ist die Rechtslage unklar.
„Wir haben es hier mit einer echten Black Box zu tun“, konstatiert die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke). Sie lehnt es ab, dass Sicherheitsbehörden den Handel mit Werbedaten anheizen. Als „eindeutig rechtswidrig“ bezeichnet Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München mögliche Datenkäufe durch Sicherheitsbehörden. Auch Geheimdienstforscher Thorsten Wetzling von der Denkfabrik Interface warnt: Behörden könnten beim Kauf von Datenbanken verfassungswidrig handeln.
Über die vielfältigen Gefahren von Handy-Standortdaten aus der Werbeindustrie haben wir in unserer Recherche-Reihe Databroker Files ausführlich berichtet. Anhand echter Datensätze konnten wir zeigen, wie detaillierte Bewegungsprofile auch Millionen Menschen in Deutschland gefährden. Ausspionieren lassen sich sogar Angestellte von Regierung, Militär und Geheimdiensten. Datenschützer*innen gehen davon aus, dass der Datenhandel in der Regel gegen die Datenschutzgrundverordnung (DSGVO) verstößt.
Wie also hält es die Bundesregierung mit Databrokern? Das und mehr wollte die Bundestagsabgeordnete Donata Vogtschmidt durch eine Kleine Anfrage erfahren. Solche Anfragen sind ein Werkzeug, das die Fraktionen im Bundestag nutzen können, um die Regierung zu kontrollieren.
In der Antwort, die wir hier veröffentlichen, stellt die Bundesregierung bei den entscheidenden Fragen keine Transparenz her. Fragen dazu, ob Sicherheitsbehörden wie Bundeskriminalamt (BKA) und Bundespolizei bei Databrokern einkaufen, beantwortet sie nicht. Sie tut dies auch nicht in „eingestufter Form“; das heißt, selbst unter Ausschluss der Öffentlichkeit sollen die Abgeordneten keine Informationen zu einer möglichen Teilnahme am umstrittenen Datenhandel bekommen.
„Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden“, rechtfertigt sich die Bundesregierung. Demnach könnten „Täter oder potenzielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln“. Weiter könnte eine Antwort „fremde staatliche Akteure dazu verleiten, entsprechende Dienste anzugreifen, um die jeweiligen Datenbestände im eigenen Sinne zu manipulieren.“
Möglich ist es jedoch durchaus, dass deutsche Sicherheitsbehörden bereits bei Databrokern einkaufen. So schreibt die Regierung:
Die Bundesregierung schließt nicht aus, dass der Bezug von personenbezogenen Daten von Datenhändlern im Einzelfall zur Erfüllung ihrer Aufgaben angemessen sein kann. Dies muss im jeweiligen Einzelfall unter Berücksichtigung der jeweiligen Rechtslage individuell geprüft werden.
Details nennt die Bundesregierung lediglich bei weniger sicherheitsrelevanten Behörden. So kauft etwa das „Bundesamt für Kartographie und Geodäsie“ seit einigen Jahren regelmäßig personenbezogene Daten bei kommerziellen Anbietern. Zum Beispiel bei einem Unternehmen, das nach eigenen Angaben unter anderem Adressen von Arztpraxen, Apotheken und Krankenhäusern anbietet. Solche Daten sind jedoch weitaus weniger brisant als etwa detaillierte Bewegungsprofile von Handy-Nutzenden.
Die größtenteils ausgebliebene Antwort der Bundesregierung auf ihre Kleine Anfrage kritisiert die Abgeordnete Donata Vogtschmidt scharf: „Es ist absolut nicht hinnehmbar, dass die Bundesregierung die Öffentlichkeit im Unklaren darüber lässt, ob und in welcher Form Sicherheitsbehörden persönliche Daten einkaufen, die die Menschen vermeintlich freiwillig für Werbezwecke freigegeben haben.“ Die Digitalpolitikerin fordert “Transparenz darüber, wie und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden am Markt für kommerzielle Geschäfte mit persönlichen Daten beteiligt sind“.
Weiter kritisiert die Abgeordnete, dass der riesige und in der Öffentlichkeit kaum bekannte Markt für personenbezogene Daten entstehen konnte: „Wie konnte es überhaupt dazu kommen?“ Eine Reform der DSGVO wäre wichtig, so Vogtschmidt, würde das Problem aber nicht an der Wurzel packen. Als solche benennt sie den Kapitalismus und das unausgeglichene Kräfteverhältnis zwischen Konzernen und Betroffenen. Ihre Forderung: „Wir brauchen Online-Plattformen im Gemeinwohl ohne Profitabsichten.“
Während die Bundesregierung jeglichen Einblick in mögliche Datenkäufe durch Sicherheitsbehörden für ein Risiko hält, liefern andere Staaten mehr Transparenz. Einkäufe von Handy-Standortdaten durch US-Behörden wurden spätestens ab dem Jahr 2020 schrittweise bekannt. Im November stellte ein Bericht des Kontrollgremiums PCLOB heraus, dass das FBI Kunde bei kommerziellen Datensammlern wie Clearview AI und Babel Street ist.
In den Niederlanden beaufsichtigt das Gremium CTIVD die Geheimdienste. Bereits dessen Bericht aus dem Jahr 2018 handelte davon, wie Agent*innen kommerzielle Datensätze erworben haben. Auch in Norwegen bestätigte das parlamentarische Kontrollgremium EOS-Committee 2023 in einem öffentlichen Bericht, dass der militärische Geheimdienst massenhaft personenbezogene Daten gekauft hat. Die Aufseher*innen sparten nicht mit Kritik, weil der Behörde für das Daten-Shopping eine Rechtsgrundlage fehlte.
Wie Datenhändler Deutschlands Sicherheit gefährden
Eine grundsätzliche Kritik am Handel mit personenbezogenen Daten aus dem Ökosystem der Online-Werbung ist, dass er in der Regel gegen das europäische Datenschutzrecht verstößt. Die Daten aus dem Angebot von Databrokern haben oftmals schon eine lange Reise hinter sich, noch bevor Sicherheitsbehörden überhaupt ins Spiel kommen. Bereits die Erhebung, etwa durch Apps und Tracking-Firmen, kann rechtswidrig sein, weil die Einwilligung der Nutzer*innen oft nicht informiert erfolgt und somit ungültig ist. Der Weiterverkauf wiederum kann gegen die Zweckbindung verstoßen, die etwa die DSGVO verlangt. Von Werbezwecken kann nämlich keine Rede mehr sein, sobald die Daten zur offenen Handelsware werden.
Diesen Standpunkt vertrat 2024 auch das deutsche Verbraucherschutzministerium. Jüngst sprach die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider im Interview mit netzpolitik.org von einer „unglaublichen Masse an Daten, die rechtswidrig genutzt werden“.
Hätten Sicherheitsbehörden des Bundes überhaupt eine Rechtsgrundlage, um bei Databrokern einzukaufen? Dieser Frage geht ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages nach. Die dort tätigen Forscher*innen arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Ebenfalls im Auftrag der Abgeordneten Vogtschmidt haben sie die „rechtlichen Voraussetzung und Grenzen des behördlichen Ankaufes von personenbezogenen Daten aus Werbedatenbanken“ untersucht. Hier veröffentlichen wir das 25 Seiten umfassende Gutachten [PDF].
Aus dem Gutachten geht hervor: Sicherheitsbehörden fehlt eine klare Rechtsgrundlage für den Kauf von personenbezogenen Daten von Databrokern. Der Kauf kann zudem einen weitreichenden Grundrechtseingriff darstellen, für den es deshalb sehr hohe Hürden gibt. So könnten die Behörden damit etwa in das Recht auf informationelle Selbstbestimmung eingreifen.
„Betroffene können in aller Regel weder überschauen noch beherrschen, welche Daten aus welchen Quellen in Werbedatenbanken gespeichert und miteinander verknüpft werden“, schreiben die Wissenschaftler*innen. Zudem besteht „beim Ankauf von Daten aus Werbedatenbanken eine besondere Gefahr von Eingriffen in den Kernbereich privater Lebensgestaltung“.
Wie intim Erkenntnisse aus solchen Daten sein können, zeigen die Databroker Files: Handy-Ortungen offenbarten beispielsweise Besuche in Bordellen, Kliniken oder Gefängnissen; die Nutzung bestimmter Apps kann Aufschluss über Krankheiten oder sexuelle Orientierung geben.
Weiter gehen die Wissenschaftler*innen auf die „Schwere der Belastung“ von Betroffenen ein, wenn Behörden ihre personenbezogenen Daten kaufen. Zunächst erfahren die Betroffenen nichts davon, die Maßnahme ist also heimlich. Außerdem könne es sein, dass die Daten selbst rechtswidrig erhoben wurden. Weiter sei unklar, ob die gekauften Daten „überhaupt inhaltlich korrekt“ sind.
Eine Studie des NATO-Forschungszentrums Stratcom schätzte 2021, dass im Durchschnitt nur 50 bis 60 Prozent der Daten von Databrokern „als präzise angesehen werden können.“ Auch unsere Recherchen zeigten, dass immer wieder Zeitstempel oder Geräte-Kennungen in den Datensätzen von Databrokern falsch sind. Im Fall von geheimdienstlicher Überwachung könnten also Unbeteiligte ins Visier geraten.
Bei BKA und Bundespolizei konstatiert das Gutachten, dass ihnen eine „Ermächtigungsgrundlage“ fehle, um solche Daten zu kaufen. Das heißt: Es gibt in den Gesetzen, die die Arbeit dieser Sicherheitsbehörden regeln, keine Normen, die ein Shopping bei Databrokern erlauben oder rechtfertigen würden.
Weniger deutlich fällt die rechtliche Einordnung allerdings bei den Geheimdiensten des Bundes aus, also Bundesnachrichtendienst, Bundesamt für Verfassungsschutz und Militärischer Abschirmdienst. Auch hier finden die Wissenschaftlichen Dienste keine ausdrückliche Rechtsgrundlage. Allerdings kommen sie zu dem Ergebnis, dass der Kauf solcher Daten möglicherweise in Einzelfällen gerechtfertigt sein könnte, wenn auch unter sehr begrenzten Umständen.
Das Gutachten stellt zudem heraus:
Unter welchen Umständen und mit welchen Methoden die Daten erhoben und in die Datenbank eingepflegt wurden, ist daher völlig offen und für den ankaufenden Nachrichtendienst auch kaum mit hinreichender Sicherheit überprüfbar. Es erscheint daher möglich, dass Nachrichtendienste durch den Ankauf an Daten gelangen könnten, die sie im Wege einer Überwachung nicht selbst erheben dürften.
Thorsten Wetzling forscht für die gemeinnützige Denkfabrik Interface zu Geheimdiensten und ADINT. So nennt man die Erlangung geheimdienstlicher Erkenntnisse („intelligence“) durch Daten aus der Werbeindustrie („Ad“). Gerade die Aussicht auf Daten, die Geheimdienste sonst nicht erheben dürften, sieht Wetzling als wesentlichen Anreiz für ADINT. Hierbei könnten sich Geheimdienste auch umfangreiche Genehmigungsverfahren, Nutzungsbeschränkungen und Kontrollvorgaben sparen.
Mit Blick auf das Gutachten beschreibt Wetzling die unklare Rechtslage als besorgniserregend. Gewichtige Gründe sprechen ihm zufolge dagegen, dass die entsprechenden Normen den verfassungsrechtlichen Standards der Bestimmtheit und der Verhältnismäßigkeit entsprechen. Der Forscher warnt:
Sollte die Bundesregierung nachrichtendienstliche Datenkäufe tätigen, so ist deren rechtliche Grundlage ungewiss und verfassungswidriges Handeln durchaus möglich.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider deutet die Rechtslage ähnlich. Ankauf und Nutzung von Werbedaten bedürften „spezieller gesetzlicher Regelungen, welche für die Sicherheitsbehörden bisher nicht bestehen“, schreibt ein Sprecher auf Anfrage von netzpolitik.org und BR. Eine allgemeine Ermächtigungsgrundlage reiche nicht aus. „Hier gilt: Der Rechtsstaat versteckt keine Elefanten hinter Mäuselöchern“, so der Sprecher.
Deutlich wird auch Mark Zöller, der an der Ludwig-Maximilians-Universität München zu Polizeirecht forscht. Er sagt, es wäre „eindeutig rechtswidrig“, wenn Behörden personenbezogene Daten aus der Werbeindustrie kaufen würden. „Eine spezielle Ermächtigungsgrundlage für den Ankauf solch privater Datenbestände gibt es in keinem Sicherheitsgesetz in der Bundesrepublik Deutschland.“ Es sei jedoch typisch für Sicherheitsbehörden, dass sie neue Instrumente ohne Rechtsgrundlage erst mal nutzen würden, „bis sich Widerstand regt“. Juristisch könne das aber zum Problem werden, weil damit auch die gerichtliche Verwertbarkeit auf diesem Weg erlangter Beweise in Frage stehe.
ADINT – gefährliche Spionage per Online-Werbung
Forscher Thorsten Wetzling sieht im Ankauf kommerzieller Daten „einen Paradigmenwechsel bei der nachrichtendienstlichen Informationsbeschaffung“, der dringend reguliert werden muss. Das Mandat der unterschiedlichen Gremien zur Kontrolle der Geheimdienste sei für das Phänomen nicht ausreichend. Der Gesetzgeber sollte bei der anstehenden Geheimdienstreform jedoch nicht nur auf ADINT schauen, sondern „die ganze Palette des möglichen Zusammenwirkens privater und öffentlicher Stellen näher in den Blick nehmen“. Im Falle einer gesetzlichen Regelung fordert Wetzling eine Diskussion über Schutzvorkehrungen beim Kauf sensibler Daten – bis hin zu einem möglichen Verbot, hochsensible Daten überhaupt zu kaufen.
Darüber, wie Geheimdienste mit Databrokern umgehen sollten, gibt es im Bundestag gespaltene Meinungen. „Ich lehne es ab, dass Sicherheitsbehörden den vor Datenschutzverletzungen strotzenden Handel mit Werbedatenbanken anheizen und fordere einen gesetzlichen Riegel davor“, sagt Linken-Abgeordnete Donata Vogtschmidt mit Blick auf die neusten Recherchen. Bereits zuvor sagte sie: „Geheimdienste sind Fremdkörper in der Demokratie und müssen schrittweise durch Informationsstellen ohne nachrichtendienstliche Mittel ersetzt werden“.
Eine ambivalente Position äußerte der CDU-Abgeordnete Roderich Kiesewetter gegenüber netzpolitik.org und BR im Sommer 2024: „Angesichts der Bedrohungslage und der Ressourcenknappheit kann es durchaus sinnvoll sein, auch solche Daten verstärkt für die Aufklärung zu nutzen.“ Andererseits sprach er davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und um „unsere Bürger vor dem Datenabgriff durch ausländische Staaten zu schützen.“
Der Abgeordnete Konstantin von Notz (Grüne) sprach sich 2024 für eine rechtliche Klärung aus. Er verglich das mit anderen Mitteln wie etwa dem Abhören von Telefongesprächen, bei denen es auch klare Regeln gibt.
Auch der Thinktank Hybrid CoE, bei dem Fachleute im Auftrag von EU und NATO hybride Bedrohungen erforschen, bewertet ADINT als zweischneidig. „Die Frage, ob die Chancen die Risiken überwiegen, ist schwer zu beantworten, da sich beide offenbar die Waage halten“, sagte Sprecherin Kirsi Pere auf Anfrage von netzpolitik.org.
Aus Perspektive von Daten- und Verbraucherschutz sollten die Maßnahmen bereits früher ansetzen, und zwar schon bei der schieren Anhäufung der Daten. Nicht zuletzt der Verbraucherzentrale Bundesverband fordert ein Verbot von Tracking und Profilbildung zu Werbezwecken.
Zumindest scheint im Zuge der Databroker Files das Bewusstsein dafür zu wachsen, wie gefährlich es ist, wenn Angebote von Databrokern praktisch allen offenstehen. Am 4. November haben netzpolitik.org und Recherche-Partner berichtet, wie Datenhändler metergenaue Standortdaten von EU-Personal verkaufen. Wenig später, am 19. November, thematisierte die EU-Kommission Databroker in einem Schreiben an EU-Parlament und Ministerrat. Darin heißt es, leicht gekürzt und aus dem Englischen übersetzt:
Der Handel mit personenbezogenen Daten ist zu einem wachsenden Problem geworden. Solche intransparenten Praktiken untergraben zentrale Grundsätze des Datenschutzrechts und der Privatsphäre, verzerren den Wettbewerb und unterminieren das öffentliche Vertrauen in digitale Märkte. Eine konsequentere Durchsetzung der bestehenden Vorschriften ist erforderlich. Die Kommission wird prüfen, ob zusätzliche Schutzmaßnahmen notwendig sind, um diese Praktiken einzudämmen und die Transparenz im Datenhandel zu erhöhen.
Dabei stehen die Zeichen eigentlich auf Deregulierung. Anlass des Schreibens ist das Vorhaben der EU-Kommission, Daten für KI-Innovationen zu befreien. Auch der Digitale Omnibus, ein Gesetzpaket der EU-Kommission, will Unternehmen beim Datenschutz mehr freie Hand lassen. Offenbar erweisen sich die Databroker Files als Sand im Getriebe der Deregulierung.
Noch im Herbst hatte sich die Bundesregierung mit möglichen Regulierungslücken beim Handel mit personenbezogenen Daten beschäftigt. Anlass war eine schriftliche Frage des Abgeordneten Konstantin von Notz (Grüne). Eine Lücke können etwa Datenmarktplätze sein, die Kontakt zwischen Databrokern und potenziellen Käufern herstellen. Prominentes Beispiel für einen Datenmarktplatz ist der Berliner Anbieter Datarade, der offenbar durch die Maschen der Datenschutz-Regulierung schlüpft und sogar von einer teilweise staatlichen Investition profitiert hat. Über Datarade konnte netzpolitk.org Kontakt zu einem Datenhändler herstellen, der dem Team letztlich 3,6 Milliarden Handy-Standortdaten aus Deutschland zur Verfügung stellte.
In ihrer Antwort vom 16. September schreibt die Bundesregierung, sie „beobachtet aufmerksam die Entwicklungen im Bereich des Datenhandels“. Auch Datenmarktplätze erwähnt sie ausdrücklich. Zu Konsequenzen äußert sie sich jedoch zurückhaltend. „Sollte sich zeigen, dass zusätzliche Regelungen erforderlich sind, wird die Bundesregierung die erforderlichen Schritte prüfen“, heißt es. „Dies kann, je nach Sachlage, auch gesetzgeberische Maßnahmen einschließen.“
Allein in den drei Monaten nach dieser Antwort sind vier große Enthüllungen über die Gefahren von Handy-Standortdaten erschienen – mit Daten aus Belgien, Irland, Frankreich und Italien.
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
