Seit dreieinhalb Jahren streiten die EU-Institutionen über die Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.
Die EU-Staaten konnten sich bisher nicht auf eine gemeinsame Position einigen. Vor zwei Wochen hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Internet-Dienste sollen freiwillig Chats kontrollieren dürfen, aber nicht dazu verpflichtet werden.
Letzte Woche haben die Ständigen Vertreter der EU-Staaten den Vorschlag diskutiert. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.
Die Vertreter diskutierten auf Basis eines vier-seitigen Debatten-Papiers. Am Tag darauf hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt, den wir ebenfalls veröffentlichen.
Die Ratspräsidentschaft sagte zum eigenen Kompromissvorschlag, „dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei“. Dänemark hätte die verpflichtende Chatkontrolle gern durchgesetzt. „Die Möglichkeiten seien aber erschöpft.“
Für die Kommission sei es „sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen“. Die Kommission dankte „allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen“.
Einige Staaten drückten ebenfalls „ihr Bedauern aus, keine bessere Lösung gefunden zu haben“. Frankreich nutzte drastische Worte: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt.“
Der Juristische Dienst des EU-Rats hat die Chatkontrolle als rechtswidrig bezeichnet. Die Kommission lässt sich von solcher Kritik nicht beeindrucken. Stattdessen fordert sie: „Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.“
Auch die Ratspräsidentschaft kritisiert die Medien: „Jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, [würden] schon morgen den Staat dafür kritisieren, seine Kinder nicht hinreichend zu schützen.“
Von Anfang an schreiben wir gegen die Chatkontrolle. Noch länger kritisieren wir den Staat für mangelnden Kinderschutz. Schon vor dem Chatkontrolle-Gesetzentwurf kritisierten wir, dass Polizei und Strafverfolger pädokriminelle Inhalte nicht löschen, sondern online lassen. Das passiert bis heute. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.
Die Vorwürfe erinnern an die Auseinandersetzung zu Netz-Sperren in Deutschland um 2010. Schon damals hat die Bundesregierung keine umfassenden Kinderschutz-Konzepte entwickelt, sondern sich ausschließlich auf Netz-Sperren konzentriert. Die Gegner bewiesen, dass Löschen statt Sperren effektiver und nachhaltiger ist. Seitdem beweist die Bundesregierung jedes Jahr, dass wir recht hatten.
Auch in der Debatte um die Chatkontrolle gibt es viele konkrete Vorschläge für besseren Kinderschutz. Die Chatkontrolle-Befürworter verhindern, über diese konkreten Lösungen zu sprechen.
Die Ratspräsidentschaft erhielt in der Sitzung für ihren Kompromissvorschlag „ohne Gegenstimme breite Unterstützung“. Mehrere EU-Staaten forderten, „über die von der dänischen Präsidentschaft vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen“.
Auch der Vertreter Deutschlands empfiehlt der Bundesregierung, „die dänische Präsidentschaft weiterhin zu unterstützen“. Deutschland soll „aktiv dafür eintreten“, dass „keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden“.
Das sahen nicht alle Verhandler so. Die Kommission und einige Staaten wie Spanien und Ungarn forderten, die „Pflicht zur Aufdeckung von Missbrauchsdarstellungen […] zumindest für öffentlich zugängliche Webseiten beizubehalten“. Das lehnte die Ratspräsidentschaft ab, weil damit neue Fragen aufkommen und Zeit verloren geht.
Die Bundesdatenschutzbeauftragte kritisierte am Tag der Rats-Verhandlungen weitere Teile des Gesetzentwurfs. Freiwilliges Scannen erfolgt ohne Rechtsgrundlage und damit rechtswidrig. Ein Ausschuss von Jugendlichen schränkt digitale Teilhabe ein. Eine verpflichtende Altersverifikation kann zur weitgehenden Abschaffung der Anonymität im Netz führen. Und Berichtspflichten für Diensteanbieter schaffen Anreize, Scanning als faktisch verpflichtend durchzuführen.
Die EU-Staaten diskutierten diese Elemente am Mittwoch nicht. Die Ständigen Vertreter sprachen ausschließlich über das vier-seitige Debatten-Papier. Die Ratspräsidentschaft schlussfolgerte, dass „dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe“.
Am Donnerstag hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt. Übermorgen tagt wieder die Arbeitsgruppe Strafverfolgung. Dort werden die Staaten den Gesetzentwurf detailliert besprechen.
Hier das Dokument in Volltext:
DNK PRÄS erhielt im heutigen AStV ohne Gegenstimme breite Unterstützung für das von ihnen vorgeschlagene (in Dokument 14032/25 skizzierte) weitere Vorgehen zur „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“.
In einem eindrücklichen Appell dankte KOM allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen. Die über Internetplattformen geteilten Bilder und Filme seien regelmäßig die einzige Möglichkeit für Strafverfolgungsbehörden, um überhaupt auf sexuellen Missbrauch von Kindern aufmerksam zu werden. Die betroffenen Kinder seien meist zu jung, um zu verstehen, was ihnen widerfährt; zudem stammten die Täter nicht selten aus dem näheren Umfeld. Die von den Unternehmen (im Rahmen der freiwilligen Kooperation) bei der Aufdeckung kinderpornographischen Bildmaterials genutzten Technologien seien dieselben, die auch zur Bekämpfung von Malware und Spam eingesetzt würden: Hier wie dort gebe es keinen Einblick in Inhalte, von einer Überwachung könne deshalb keine Rede sein. Im Internet gebe es eine regelrechte Flut von Bildern und Filmen, die sexuellen Missbrauch darstellten und die Opfer immer und immer wieder an die schlimmsten Momente ihres Lebens erinnerten. Dass allein diese Bilder eine schwerwiegende Verletzung der Grundrechte der Opfer bedeuten, finde in der Diskussion aber kaum Beachtung. Insgesamt sei es für KOM sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen. Es sei nun aber richtig und wichtig, voranzuschreiten, da man sich in einem Wettlauf mit der Zeit befinde. KOM dankte in diesem Zusammenhang der DNK PRÄS ausdrücklich für ihr hohes Tempo. Es müsse weiterhin alles getan werden, um die durch das Auslaufen der Interims-VO im April 2026 drohende Verschlechterung des heutigen Status Quo soweit möglich zu vermeiden (ebenso GRC). Das Bewusstsein, dass die Zeit drängt und die Triloge dauern werden, müsse nun auch in den Hauptstädten reifen. Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.
Vorsitz stimmte diesen Ausführungen zu und merkte an, dass jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, schon morgen den Staat dafür kritisieren würden, seine Kinder nicht hinreichend zu schützen.
Mehrere MS drückten ihr Bedauern aus, keine bessere Lösung gefunden zu haben (FRA: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt“; weniger drastisch auch ESP, HUN, IRL, EST). Einige wiesen auf für sie wichtige Punkte hin, ohne dass sich hierzu ein einheitliches Bild ergeben hätte. Ich unterstützte den DNK Vorgehensvorschlag und betonte u.a. die große Bedeutung des EU-Zentrums.
Abschließend schlussfolgerte Vorsitz, dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe. DNK PRÄS werde den vorliegenden Rechtstext entsprechend überarbeiten und schnellstmöglich vorlegen.
Wir sollten DNK PRÄS weiterhin unterstützen und dabei schon aus Zeitgründen aktiv dafür eintreten, dass über die heute im AStV konsentierten Neuerungen hinaus keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden.
Vorsitz skizzierte eingangs entlang Dokument 14032/25 (liegt in Berlin vor) das bisherige, erfolglose Vorgehen und den infolgedessen unterbreiteten Vorschlag, verpflichtende Aufdeckungsanordnungen aus der Verordnung zu streichen und eine dauerhafte Verlängerung der freiwilligen Zusammenarbeit nach der Interim-VO aufzunehmen. Vorsitz betonte dabei, dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei, da er polizeiliche Belange und damit den Schutz von Kindern vor sexuellem Missbrauch abschwäche. Die Möglichkeiten seien aber erschöpft.
Einige MS wiesen auf für sie bedeutsame Punkte hin: Es sei wichtig, über die von DNK PRÄS vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen, auch wenn der Mehrwert des Verordnungstexts an manchen Stellen infolge der Herausnahme verpflichtender Aufdeckungsanordnungen geringer ausfalle (FRA). Der Bürokratieaufwand sei möglichst gering zu halten (HUN). Eine Pflicht zur Aufdeckung von Missbrauchsdarstellungen solle zumindest für öffentlich zugängliche Webseiten beibehalten werden (ESP, HUN; ebenso KOM; ablehnend aber DNK PRÄS unter Hinweis auf damit einhergehende neue Fragen und infolgedessen drohenden weiteren Zeitverlusts).
Ich unterstützte den DNK Vorgehensvorschlag. DEU messe der Bekämpfung der Kinderpornographie höchste Priorität bei, eine Verstetigung der rechtlichen Grundlage bei Beachtung von Grundrechten sei von großer Bedeutung. Die Einrichtung des EU-Zentrums werde einen wichtigen Mehrwert leisten. DNK PRÄS und KOM wiesen daran anknüpfend ausdrücklich darauf hin, dass das EU-Zentrum auch ohne verpflichtende Aufdeckungen einen Mehrwert biete, etwa beim Risikomanagement, bei der Entwicklung technischer Maßnahmen zur Risikominimierung, bei der Entgegennahme von Hashwerten und der Einstufung des entsprechenden Bildmaterials als kinderpornographisch, bei der Prävention und bei der Opferbetreuung. Längerfristig sei es zudem von Vorteil, eine europäische Unabhängigkeit vom in den USA angesiedelten NCMEC zu erreichen.
Weitere Wortmeldungen blieben sehr kurz: EST unterstütze das DNK Vorgehen ausdrücklich. CZE gab an, aufgrund der neuen Regierung keine Position zu haben. LUX und SWE bekannten sich zum Kindesschutz und gaben an, sich nach Vorlage des Rechtstextes näher zu äußern.
Dieser Artikel erschien zuerst in längerer Form und auf Englisch bei BIKEPACKING.com
Der Verkauf der beliebten Outdoor-App Komoot im März diesen Jahres traf die europäische Outdoor-Community aus heiterem Himmel. Entgegen aller Beteuerungen der Komoot-Chefs wurde die Plattform, mit der sich Wanderungen oder Radausflüge planen lassen, ohne Vorwarnung an das Tech-Konglomerat Bending Spoons aus Italien übertragen. Die sechs Gründer zogen sich mit dem Löwenanteil des 300-Millionen-Euro-Deals zurück, während die etwa 150 Angestellten und 45 Millionen Nutzer:innen um ihren bisherigen Traumjob und ihre Plattform bangten.
Über 80 Prozent der Angestellten wurden umgehend entlassen, was langjährige Mitarbeitenden mir gegenüber als „grausamen Verrat“ bezeichneten. Viele hatten Abstriche beim Gehalt hingenommen und waren aufs Land oder in die Berge gezogen, um sich der Arbeit in der „Komoot-Familie“ voll hinzugeben. Geschockt, wütend und traurig mussten sie sich nun im schlechten Arbeitsmarkt nach neuer Lohnarbeit umschauen – teils auch um ihre Aufenthaltstitel zu behalten.
Die Nutzer:innen meldeten ihre Empörung in Kommentarspalten und den sozialen Medien. Denn für viele war Komoot kein austauschbares Tool, sondern ein liebgewonnenes Erinnerungsbuch für ihre besonderen Naturerlebnisse und Urlaube. Und auch sie waren maßgeblich am Erfolg von Komoot beteiligt, denn es waren ihre Planungen, GPS-Aufzeichnungen, und Reisedokumentation, die die Plattform mit Leben füllten.
Komoots Erfolg basiert auf diesem Nutzerdatenschatz: aufgezeichnete Routen, Punkte, Fotos und Notizen, sogenannter User-Generated Content, werden verarbeitet und anderen Menschen auf der globalen Karte, in Collections und in persönlichen Feeds dargestellt. So werden kurze oder auch längere Abenteuer ins Grüne vereinfacht, was wieder zu mehr Nutzer:innenaktivität führt und die Plattform somit attraktiver macht.
Spätestens mit dem Verkauf offenbarte sich jedoch hinter Komoots freundlichem Grün kaltes Business As Usual. In der offiziellen Pressemeldung zu dem Verkauf beschreibt Ex-CEO Markus Hallermann Bending Spoons als „perfekten Partner, um Komoot in die Zukunft zu führen“ – eine Zukunft, die ohne die Angestellten und der Community entschieden wurde, die die Plattform groß gemacht haben und an ihrem Fortbestand interessiert waren. Die neuen Eigner in Mailand äußerten sich „enthusiastisch über das zukünftige Wachstumspotenzial“, sprich den Ausblick auf noch größere Profite. Die Angestellten wurden in der Pressemitteilung nicht erwähnt. Der Ausverkauf offenbart die Prekarität von Angestellten und Community, wenn diese nicht die Kontrolle über ihr Unternehmen und ihre Plattform haben.
Der Fall Komoot ist jedoch weder einzigartig, noch ist er als moralisches Versagen gieriger Gesellschafter zu verstehen. Vielmehr ist er Ausdruck eines kapitalistischen Systems, das solche Verrate an der Community laufend und unweigerlich wiederholt. Die Nutzer:innen von Couchsurfing, Reddit und Twitter können ein Lied davon singen. Und ob nun Komoot, Strava, AllTrails, RideWithGPS: Alle kommerziellen Anbieter im umkämpften Markt sind gezwungen, mittels ihrer Nutzer:innen und deren Inhalten maximalen Profit zu machen.
Wie genau beuten kommerzielle Plattformen wie Komoot ihre Nutzer:innen aus? Und was können wir aus dem Fall Komoot lernen für den Aufbau nachhaltiger digitaler Plattformen, die tatsächlich langfristig für die Community funktionieren?
Komoot ist ein Paradebeispiel des perfiden Wirkprinzips geschlossener, kommerzieller Plattformen. Komoot zieht Wanderer, Radsportler:innen, und Radreisende an, indem es vorgefertigte „Inspiration“, praktische Routenempfehlungen, und Turn-by-Turn-Anweisungen in einem Google-Maps-ähnlichen Dienst vereint.
Viele mächtige Funktionen der App ließen sich kostenfrei nutzen, die Weltkarte ließ sich mit einer Einmal-Zahlungen von 30 Euro dauerhaft freischalten. Ein Abo gab es auch, es schaltete lediglich Zusatz-Features wie Wetter-Infos und 3D-Karten frei.
In einem Interview offenbarte Hallerman 2023, dass Komoots Umsatz sich zu etwa gleichen Anteilen aus Abos und Einmalzahlungen von neuen Nutzer:innen zusammensetzte, während Einnahmen durch Fremdwerbung nur einen geringen Anteil ausmachten. Somit musste Komoot ständig neue Nutzer:innen anziehen und neue Märkte erschließen, um im Geschäft zu bleiben. Wachstum ist also nicht bloß kapitalistische Ideologie, sondern finanzieller Zwang.
Entsprechend setzten die Komoot-Chefs, wie so oft bei Tech-Plattformen, den Fokus der Entwicklung darauf, die Nutzer:innenzahl und das Engagement auf der Plattform zu steigern. Das hat jedoch Grenzen, irgendwann sind alle möglichen Nutzer:innen einer Zielgruppe erreicht. 2024 hatte Komoot bereits 40 Millionen registrierte Nutzer:innen, das Wachstum des Unternehmens verlangsamte sich bedrohlich. Ein weiterer Grund für die Gründer, die unnachhaltige Firma abzustoßen?
Um Engagement zu fördern und ganze Nutzer:innengruppen einzufangen, manipulieren Tech-Firmen besonders gern das menschliche Bedürfnis, Teil einer Gemeinschaft zu sein und ihr beizutragen. So auch bei Komoot. Aber wenn wir etwas zu einer „Community“ oder besser gesagt einem Kundenstamm wie auf Komoot beisteuern, leisten wir vor allem auch unbezahlte Arbeit für das Wachstum der Plattform. Ein Mitbestimmungsrecht darüber, wie die Plattform funktioniert, haben wir nicht. Nutzer:innen zahlen sogar für das Vergnügen. Daran verdienen, das tun andere.
Das und der Ausverkauf von Komoot verdeutlichen unmissverständlich, dass eine solche „Community“ mehr Schein als Sein ist. Diese ausbeuterische Beziehung zwischen Nutzer:innen und Plattform ähnelt der Beziehung zwischen Arbeitskräften und Kapital, in der Bosse private Profite erwirtschaften, indem sie enormen Mehrwert von Arbeiter:innen abschöpfen.
Eine echte Community kann als Gruppe verstanden werden, die durch ein Commons verbunden ist, ein gemeinsames materielles oder immaterielles Gut. Bei Wanderern, Radsportlern, und Radreisenden stellen geteilte Strecken, bemerkenswerte Landmarken, Fotos und Ortswissen ein wichtiges Commons dar. Sie sind Grundlage für neue Unternehmungen und Veranstaltungen, die Menschen zusammenbringen, menschliche Beziehungen gedeihen lassen und zum Beitragen motivieren.
Plattformen wie Komoot stellen aber kein Commons dar, da keine gemeinschaftliche Kontrolle über die Plattform besteht. Kein Commons, keine echte Community. Kapital eignet sich das produktive Commons an und macht das gemeinschaftliche Gut zu privatem Profit. Dieser Vorgang bei Komoot und anderen digitalen Plattformen kann als digitale Einhegung betrachtet werden.
Ob digital oder physisch, die Einhegung ist oft fatal für die Vielfalt des Commons und schwächt das gesamte Ökosystem. Geschlossene Plattformen wie Komoot verhindern, dass der kommunale Datenschatz kreativ umgenutzt wird, beispielsweise für spezialisierte Tools und Datensätze für bestimmte Sportarten und Regionen. Er kann nicht in große digitale Commons wie Wikipedia oder OpenStreetMap einfließen, wovon noch viel mehr Menschen profitieren würden.
Zwischen der erklärten Mission, leichten Zugang zur freien Natur zu ermöglichen, und der exklusiven Nutzung entstandener Daten liegt ein eklatanter Widerspruch.
Ähnlich sieht es bei Komoots Kerntechnologie aus, die hauptsächlich auf Open-Source-Projekten beruht. Ohne die Leaflet-Karte, die Graphhopper-Routing-Engine und OpenStreetMap-Daten würde Komoot nicht existieren, jedoch werden die internen Weiterentwicklungen nicht grundsätzlich veröffentlicht. So bedient sich der Tech-Sektor immer gerne am Open-Source-Commons, ohne nennenswert zurückzugeben. Projekte, deren Bestand kritisch für allerlei Infrastruktur ist, bleiben oft chronisch unterfinanziert.
Dem Ausverkauf der Komoot-Nutzerschaft wurden eigentlich schon mit der Aufnahme von Wagnis- und Bankkapital bei der Firmengründung die Weichen gestellt. Damit sind maximale Rendite und lukrativer Exit für die Investoren als oberste Ziele festgelegt. Der Zwang zur kurzfristigen Steigerung des Unternehmenswert seitens des Managements stellt einen fundamentalen Widerspruch mit langfristiger Stabilität und Nutzwert für Angestellte und Nutzer:innen dar.
Der Verlauf dieses Konflikts wird gut durch die Enshittification-Theorie nach Cory Doctorow erklärt. Sie beschreibt den Verlauf kommerzieller Plattformen von nutzerfreundlichen Anfängen bis hin zum Raubbau der Plattform zur Maximierung von Profit und Unternehmenswert.
In der Anfangsphase hatten es Komoot-Nutzer:innen verhältnismäßig gut. Eine erschwingliche Einmalzahlung für ein Kartenpaket, subventioniert durch ihre Daten, schaltete nützliche Funktionen dauerhaft frei. Die Leidenschaft der Angestellten für die Mission hinderte die Bosse daran, Features durchzusetzen, die die Nutzererfahrung sehr beeinträchtigen würden. Es gab zwar Ausnahmen wie die Flutung von Suchergebnissen mit zehntausenden KI-generierten Routen fragwürdiger Qualität. Es wurden jedoch keine Nutzerdaten verkauft und die Werbung im Feed war moderat.
Mit der Entlassung der meisten Angestellten fällt diese Gegenmacht weg. Die neuen Eigner können die Plattform auf pures Rent-Seeking ausrichten – die direkte Ausbeutung der gefangenen Nutzer:innen. Eine implizite Übereinkunft zwischen Plattform und Nutzer:innen wird zunehmend zugunsten der Eigner verändert, während sich die Nutzererfahrung auf der Plattform immer weiter verschlechtert.
Komoot ist im Zuge der Enshittification wie schon die Bending-Spoons-Zukäufe WeTransfer und Evernote. Kern-Features wie die Integration mit Garmin- und Wahoo-Navigationsgeräten sind für Neukunden nun hinter einer Bezahlschranke. Überall in der App und auf der Webseite wird die kostenfreie Nutzung mit „kreativer“ Reibung verschlechtert, wie es schon bei WeTransfer geübt wurde. Komoot-Nutzer:innen werden zu teureren wöchentlichen Abos getrieben. Das überfällige UI-Facelift, das in den letzten Monaten ausgerollt wurde, kann den Abbau nicht kaschieren.
Für viele Nutzer:innen dürfte der Abbau noch nicht zu belastend sein. Aber der Zwang zur Rendite bleibt und die Endphase, in der die Plattform bis auf den letzten Cent ausgequetscht wird, steht wohl noch bevor. Bei Evernote stieg der Preis nach der Übernahme schrittweise fast auf das Doppelte. Mehr gesponsorte Inhalte und Werbung im Produkt sind bewährte Mittel, um mehr Gewinn zulasten der Nutzererfahrung zu erwirtschaften. KI-generierte Inhalte – die weitere Entfremdung von anderen Menschen und der Natur liegen auf der Hand.
Im Endstadium der Enshittfication versuchen das Unternehmen, die Nutzer:innen so lange wie möglich am Abwandern zu hindern, um ihren Profit zu maximieren. Soziale Medien nutzen dafür Netzwerkeffekte, die bei Komoot aber weniger stark ausgeprägt sind. Stattdessen hält Komoot die persönlichen, teils umfangreichen Planungen und Dokumentationen von Reisen effektiv zurück. Ein nativer Batch-Datenexport wurde nach der Übernahme entfernt. Der Datenexport nach DSGVO ist praktisch unbrauchbar, da nicht im menschenlesbaren Format. Nutzer:innen müssen sich mit Export-Tools aus der Community behelfen, um ihre Daten aus den Klauen der Plattform zu retten.
Komoot ist kein Einzelfall, sondern eine erneute Mahnung, dass geschlossene Plattformen unter der Kontrolle weniger Bosse langfristig nicht für echte Gemeinschaften funktionieren. Denn Unternehmen hegen ein, beuten aus und verkaufen die Community, trotz bester Absichten von Angestellten und möglicherweise manchen Eignern. Von der nächsten kommerziellen Routen-Plattform, die Komoot den Rang ablaufen will, ist nichts anderes zu erwarten. Tech-Kapital hat in unseren Gemeinschaften nichts zu suchen.
Stattdessen benötigen wir quelloffene, unkommerzielle Routen-Plattformen. Echte Community-Plattformen müssen sich der Profitlogik entziehen und vollständig unter der Kontrolle der Betreiber:innen, Entwickler:innen und Nutzer:innen stehen, damit ein Ausverkauf niemals möglich ist und die Plattform langfristig und nachhaltig gedeihen kann. Das Fediverse mit Mastodon, Matrix, Pixelfed und Co. macht es vor: ein wachsendes Ökosystem offener Protokolle und verteilter Diensten, das sich der Einhegung durch das Tech-Kapital widersetzt. Die dezentralisierte Routen-Plattform Wanderer.to ist ein Vorreiter in diesem Sinne, zwar noch unausgereift, aber Komoot wurde auch nicht an einem Tag gebaut. Wir brauchen diverse offene Werkzeuge und Plattformen für viele Nischen, die zusammen durch Föderation und Interoperabilität aufblühen.
Der Kampf um die Datenhoheit und unsere Plattformen ist freilich nicht wichtiger als andere Kämpfe wie gegen die Klimakatastrophe und weitere Krisen. Aber wie Cory Doctorow auch schreibt: „Freie, faire, offene Technologie ist notwendig, um diese anderen Kämpfe zu gewinnen. Den Kampf für bessere Technologie zu gewinnen wird nicht diese anderen Probleme lösen, aber den Kampf für bessere Technologie zu verlieren löscht jede Hoffnung aus, diese wichtigeren Kämpfe zu gewinnen.“
Als erfahrener Radreisender schreibt Joshua Meissner unter anderem für BIKEPACKING.com. Seine Recherchen, Profile und Essays begleitet er mit seiner Fotografie. Er studiert Mensch-Technik-Interaktion im Master Human Factors an der TU Berlin. Erreichbar ist Josh unter hello@joshuameissner.de.
Das Sicherheitsteam der NoSQL-Datenbank-Software MongoDB hat am Freitag in eine schwerwiegende Sicherheitslücke dokumentiert: „Ein clientseitiger Exploit der zlib-Implementierung des Servers kann nicht initialisierten Heap-Speicher zurückgeben, ohne dass eine Authentifizierung am Server erforderlich ist. Wir empfehlen dringend, so schnell wie möglich auf eine korrigierte Version zu aktualisieren.“
Weiterlesen nach der Anzeige
Angreifer können einen Fehler in der Kompressionssoftware zlib ausnutzen, um auf nicht zurückgesetzten dynamischen Arbeitsspeicher (heap memory) zuzugreifen, wo möglicherweise noch alte Daten, etwa Passwörter, Schlüssel oder andere sensible Daten liegen. Die Zugangsdaten für die Datenbank bräuchte ein Angreifer dafür nicht. Eine Benutzerinteraktion ist dafür laut BleepingComputer nicht nötig.
Die Schwachstelle betrifft die folgenden MongoBB-Server-Versionen:
MongoDB 8.2.0 bis 8.2.3
MongoDB 8.0.0 bis 8.0.16
MongoDB 7.0.0 bis 7.0.26
MongoDB 6.0.0 bis 6.0.26
MongoDB 5.0.0 bis 5.0.31
MongoDB 4.4.0 bis 4.4.29
Sowie jeweils alle
MongoDB Server v4.2 Versionen
MongoDB Server v4.0 Versionen
MongoDB Server v3.6 Versionen
Diese sind jeweils auf MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30 upzugraden.
Die unter CVE-2025-14847 veröffentlichte Sicherheitslücke gilt als kritisch und hat einen CVSS-Score von 8,7.
Wer nicht sofort auf eine der gepatchten Versionen upgraden kann, soll die zlib-Komprimierung auf dem MongoDB-Server deaktivieren. Das geht laut der MongoDB-Warnung, „indem man mongod oder mongos mit einer networkMessageCompressors – oder net.compression.compressors -Option startet, die zlib explizit ausschließt.“
Weiterlesen nach der Anzeige
MongoDB wird weltweit von mehr als 62.000 Kunden genutzt. Das Datenbankmanagementsystem sichert Daten in BSON-Dokumenten (Binary JSON) statt in wie klassische relationale SQL-Datenbanken wie MySQL oder PostgreSQL in Tabellen.
(kst)
Die Tickets für den Chaos Communication Congress sind auch dieses Jahr wieder ausverkauft. Das Programm auf den drei Hauptbühnen könnt ihr aber auch von zu Hause verfolgen. Unsere Favoriten für ein ausgewogenes Unterhaltungsprogramm zwischen den Jahren haben wir hier für euch zusammengestellt.
Wie immer gilt: Diese Sammlung ist garantiert unvollständig, denn selbst auf den Hauptbühnen findet schon mehr statt, als wir in diesem Überblick unterbringen konnten. Wir empfehlen daher, diese Auswahl mit einem Blick ins Gesamtprogramm zu ergänzen.
Auch Menschen aus unserer Redaktion werden wieder auf der Bühne stehen, podcasten und über ihre Recherchen aus dem vergangenen Jahr sprechen. Eine Übersicht über die netzpolitik.org-Talks haben wir an anderer Stelle für euch zusammengestellt.
Los geht es mit einem Aufreger-Thema: Den derzeitigen Versuchen, im Namen des Jugendschutzes das Netz zu regulieren – von der Chatkontrolle bis zu verpflichtenden Altersüberprüfungen. Kate Sim arbeitet seit Jahren zum Thema, zuletzt etwa im Safety-Team von Google, und verspricht in ihrem Vortrag „Not an Impasse: Child Safety, Privacy, and Healing Together“ Lösungen vorzustellen, die nicht das Wohl von Kindern gegen die Rechte von Erwachsenen ausspielen.
Die Omnibus-Gesetze der EU laden nicht nur zur vielen, wirklich vielen lustigen Wortspielen ein. Sie bergen auch große Gefahren für digitale Grundrechte. Der Vortrag „Throwing your rights under the Omnibus“ von Thomas Lohninger und Ralf Bendrath erklärt, welche Auswirkungen das Gesetzespaket mit dem euphemistischen Namen „Digital Simplification Package“ haben würde – und verspricht doch einen hoffnungsvollen Ausblick.
Neurowissenschaftlerin Elke Smith erforscht an der Universität Köln, was sich bei Glücksspiel im Gehirn abspielt und wie sich die Branche das zunutze macht. Im Talk „Neuroexploitation by Design“ spricht sie über die offenen und verdeckten Mechanismen, die Glücksspielprodukte einsetzen, um das Belohnungssystem zu aktivieren und welche Folgen das haben kann.
Es gibt bekanntlich fast nichts, was sich mit „KI“ nicht vermeintlich lösen ließe, etwa die Krise des deutschen Gesundheitssystems. Manuel Hofmann von der Deutschen Aidshilfe knöpft sich in seinem Talk die techgläubigen Heilserzählungen vor und fragt, was es statt Selbstoptimierung und „KI-Assistent*innen“ tatsächlich bräuchte.
Eine „wilde, unterhaltsame Fahrt“ verspricht Katika Kühnreich zu einem erstmal eher bedrückenden Thema: die Zusammenhänge zwischen der Macht von Tech-Bros und Faschismus. Auch eine Betrachtung von Widerstandsmöglichkeiten soll in ihrem Talk „All Sorted by Machines of Loving Grace?“ nicht fehlen.
Christoph Saatjohann ist Professor für eingebettete und medizinische IT-Sicherheit und hat vor zwei Jahren mehrere Schwachstellen im Kommunikationsdienst im Medizinwesen KIM aufgedeckt. Nun schaut er wieder auf die Telematikinfrastruktur und offenbar ist er fündig geworden. Die Fundstücke zeigt er in „KIM 1.5: Noch mehr Kaos In der Medizinischen Telematikinfrastruktur (TI)“.
Christiane Mudra inszeniert ihre Arbeiten sonst in Form von „investigativem Theater“. Ihr Vortrag „freiheit.exe – Utopien als Malware“ basiert auf den Recherchen für ihr gleichnamiges Stück und dreht sich um die ideologischen Wurzeln der Tech-Oligarchen – von Transhumanismus und Neo-Eugenik bis zur „Akzeleration als politische Strategie“.
Ministerien und Behörden lassen ihre offiziellen Domains manchmal einfach auslaufen, so dass sich andere diese sichern können. Was soll da schon schief gehen? Was schief gegangen ist, darüber spricht der Sicherheitsforscher Tim Philipp Schäfers von Mint Secure im Talk „Was alte Behördendomains verraten“.
Juchu, Abgeordnete packen aus. Anna Kassautzki saß für die SPD von 2021 bis 2025 im Bundestag – auch im Digitalausschuss. Ihre Mitarbeiterin Rahel Becker ebenso. Jetzt erklären sie im Talk „Power Cycles statt Burnout“, wie politische Einflussnahme auf Entscheidungen wirklich funktioniert und was zivilgesellschaftliche Organisationen daraus ableiten sollten, wenn sie ihre Energie effizient einsetzen wollen.
Hoffnung auf die Kraft sozialer Bewegungen verspricht auch der Beitrag von Mustafa Mahmoud Yousif. Im Vortrag „Hatupangwingwi: The story how Kenyans fought back against intrusive digital identity systems“ geht es um die kolonialen Wurzeln von Identifikationssystemen und den Widerstand der kenianischen Zivilgesellschaft gegen die Datenbank Huduma Namba.
In „Current Drone Wars“ beleuchtet Leonard Veränderungen in der Kriegsführung mit Drohnen: von den großen und schwerfälligen Apparaten des US-amerikanischen „War on Terror“ zu den billig produzierten Massendrohnen des Ukraine-Krieges. Mittlerweile mischen auch deutsche Rüstungskonzerne und -Start-ups im Geschäft mit dem Kriegsgerät der Zukunft mit.
Jürgen Bering und Simone Ruf von der Gesellschaft für Freiheitsrechte berichten davon, wie die NGO für strategische Klagen seit ihrer Gründung vors Bundesverfassungsgericht und andere Rechtsprechungsorgane zieht. In „Hacking Karlsruhe – 10 years later“ geht es um Erfolge, Fehlentscheidungen und was sich daraus lernen lässt.
Künstlerin Esther Mwema spricht über Unterseekabel und andere Internetinfrastrukturen in Afrika als Schauplätze des digitalen Kolonialismus: „Undersea Cables in Africa: New Frontiers of Digital Colonialism“.
Forschende haben sich Bikesharing-Daten vorgenommen und zwar jede Menge davon. Im Talk „What Makes Bike-Sharing Work?“ fragen sie: Was können wir aus 43 Millionen Kilometern an Bikesharing-Fahrten aus 268 europäischen Städten für eine zeitgemäße Mobilitätsplanung lernen?
Hannah Vos und Vivian Kube arbeiten als Anwältinnen für die Transparenzplattform FragDenStaat. In ihrem Beitrag sezieren sie, wie „Neutralität“ zu einem neuen Kampfbegriff wurde. „Zivilcourage kann nicht neutral sein – und soll es auch nicht“, sagen die beiden und erklären, warum das so ist.
Im letzten Jahr sorgten die von Bianca Kastl und Martin Tschirsich vorgestellten Sicherheitsprobleme bei der elektronischen Patientenakte für Aufregung. Ein Jahr später blickt Bianca zurück, was seit dem Talk und der tatsächlichen Einführung der ePA für alle passiert ist – in „Schlechte Karten – IT-Sicherheit im Jahr null der ePA für alle“.
Informatiker Rainer Rehak spricht über die automatisierten Zielsysteme des israelischen Militärs und warum IT-Fachleute dazu nicht schweigen sollten. Es geht unter anderem um das Völkerrecht, sogenannte Künstliche Intelligenz und die Verantwortung großer Tech-Konzerne: „Programmierte Kriegsverbrechen? Über KI-Systeme im Kriegseinsatz in Gaza und warum IT-Fachleute sich dazu äußern müssen“.
Laufen auf .onion-Seiten im Darknet vor allem kriminelle Aktivitäten oder findet sich da die letzte Bastion der Freiheit? Selbst in wissenschaftlichen Papern widersprechen sich die Zahlen extrem. Tobias Höller leuchtet aus, wie das zu interpretieren ist.
„Ein analoger Überwachungskrimi mit sauberen Städten, lichtscheuen Elementen, queerem Aktivismus, und kollektiver Selbstorganisation“ verspricht Simon Schultz in seinem Vortrag zu einem Überwachungssystem in Hamburger Toiletten aus den 1980ern, das vor allem auf queere Menschen abzielte.
Wir haben immer wieder über Linas Recherchen zur CUII, der Clearingstelle Urheberrecht im Internet, berichtet. Auf dem Congress stellt sie gemeinsam mit Elias Zeidler alias Northernside im Talk „Wie Konzerne heimlich Webseiten in Deutschland sperren“ die neuesten Entwicklungen in der Causa CUII vor.
Was hat KI mit Gaskraftwerken zu tun? Das erklären Friederike Karla Hildebrandt von Bits und Bäume und Moritz von urgewald in ihrem Vortrag „Fossile Industrie liebt KI“.
Mit Hilfe der YouTube-Datenspende von 1.064 Dänen haben Forschende untersucht, wie die Plattform ihre Besuche beeinflusst. Es geht aber auch um europäische Regeln, die Wissenschaftler:innen mehr Zugang zu Daten geben sollten, aber in der Praxis noch nicht ausreichend funktionieren: „We, the EU, and 1064 Danes decided to look into YouTube“.
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
![Neu in .NET 10.0 [3]: C# 14.0](https://i2.wp.com/heise.cloudimg.io/bound/1200x1200/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/9/9/9/2/6/2/csharp_sign-880ad48e29751852.jpg?w=80&resize=80,80&ssl=1 "Neu in .NET 10.0 [3]: C# 14.0")