Viele deutsche Bundesministerien und Behörden sind weiterhin auf dem umstrittenen Kurznachrichtendienst X aktiv. Meist begründen sie dies mit dem verfassungsrechtlichen Informationsauftrag, der sie angeblich dazu zwinge, auf der auf rechts gepolten Propagandaplattform des US-Unternehmers Elon Musk zu bleiben.

Sonderlich erfolgreich sind die Behörden damit jedoch nicht, wie nun eine Reichweitenanalyse des Zentrums für Digitalrechte und Demokratie zeigt. Ihre Beiträge werden in Summe kaum angesehen, kommentiert oder weiterverbreitet. Wenn es Interaktionen gibt, dann fallen diese selten konstruktiv aus. Stattdessen hetzen etwa unter Posts des Innenministeriums mal mutmaßliche, mal offen rechtsradikale Accounts gegen Geflüchtete oder verbreiten rassistische Kriminalitätserzählungen.

Es handle sich um eine kleine Stichprobe, die keine repräsentativen Aussagen erlaube, betont das Zentrum. Aber dabei enthüllte „deutliche Muster“, Tendenzen und beispielhafte Kommunikationsdynamiken deckten sich mit Forschungsergebnissen über Polarisierung, Plattformlogik und Benachteiligung sachlicher Kommunikation.

Zu einem ähnlichen Ergebnis ist im Februar netzpolitik.org gelangt, das die X-Accounts ausgewählter großer deutscher Medienhäuser analysiert hatte. Obwohl auch sie nur verhältnismäßig wenige Nutzer:innen erreichen, berufen sie sich unter anderem auf die Reichweite, die das vormals als Twitter bekannte soziale Netzwerk biete. Zudem sei der Online-Dienst genau der richtige Ort, um der auf X grassierenden Desinformation mit Fakten und Qualitätsjournalismus zu begegnen, so die befragten Medien.

Interaktionen im einstelligen Prozentbereich

Wie die Untersuchung des Zentrums nun offenlegt, ergeht es Behörden auf X kaum anders als journalistischen Inhalten. Die meisten untersuchten Accounts der Bundesministerien haben unter 200.000 Follower:innen und erzeugen kaum Resonanz. Selbst das Gesundheitsministerium (BMG), das immerhin knapp 330.000 folgende Accounts aufweist, geht auf der Spielwiese für Reaktionäre unter: Im Schnitt erreichte das BMG im Untersuchungszeitraum nicht einmal 1,3 Prozent seiner Follower:innen, wie das Zentrum vorrechnet. Gelingt es Behörden zuweilen, reichweitenstarke Posts abzusetzen, dann besetzen oft rechtsradikale Nutzer:innen den Debattenraum darunter.

Diesen Schnappschuss untermauern zahlreiche wissenschaftliche Studien, die das Zentrum heranzieht. So ist etwa belegbar, dass der Empfehlungsalgorithmus von X dafür anfällige Menschen nach rechts zieht. Faktenbasierte Kommunikation reicht in stark polarisierten Umfeldern nicht aus, um Desinformation wirksam zurückzudrängen, zeigt eine andere Studie – erst recht nicht in stark ideologisch aufgeladenen Kontexten. Und konstruktiver Dialog ist nur dann möglich, wenn Menschen wirklich miteinander reden und auf Argumente eingehen, was sich auf X nur selten beobachten lässt.

Damit verschiebe sich auch die Bedeutung des Informationsauftrags, schreibt das Zentrum: „Behörden sind auf X nicht einfach nur präsent. Sie kommunizieren in einer Umgebung, die aktiv gegen sie arbeitet – und der Algorithmus auf X ist ein mächtiger Gegner.“ Das zeige sich etwa daran, dass algorithmisch sortierte Kommentare immer wieder rechtsextremistische Accounts nach oben spülen, unter anderem die Identitäre Bewegung. Dass sich staatliche Behörden in einem derartigen Umfeld, selbst losgelöst von etwaigen Reichweitenargumenten, nicht mehr auf ihren verfassungsrechtlichen Informationsauftrag berufen können, hatte bereits im Vorjahr der Verfassungsblog ausgeführt.

Ein Abschied von X ist möglich

Indes sprechen deutsche Behörden nicht mit einer Stimme. Einige haben X dauerhaft verlassen, etwa die Berliner Staatsanwaltschaft oder die Antidiskriminierungsstelle des Bundes. X sei „für eine öffentliche Stelle kein tragbares Umfeld mehr“, erklärte Behörden-Chefin Ferda Ataman damals. Andere lassen ihren X-Account ruhen oder bespielen ihn nur mehr unregelmäßig, darunter das Verteidigungsministerium oder das Landwirtschaftsministerium. Ein sachlicher Austausch werde auf X „zunehmend erschwert“, begründete das Verteidigungsministerium den Schritt.

Auf die Kommunikation mit der Außenwelt verzichten sie deshalb jedoch nicht, schließlich existieren neben X zahlreiche weitere Online-Dienste mit grob vergleichbaren Funktionen. Dabei sei die „Förderung einer respektvollen und sachorientierten Diskussion“ maßgeblich, teilte ein Sprecher des Landwirtschaftsministeriums dem Zentrum mit. „Vor diesem Hintergrund setzen wir in unserer digitalen Kommunikation den Fokus auf Plattformen wie LinkedIn oder Instagram, auf denen erfahrungsgemäß häufiger ein fachlicher und konstruktiver Austausch stattfindet.“

Das Recht auf Auskunft über die eigenen personenbezogenen Daten gehört zu den schärfsten Schwertern der Datenschutz-Grundverordnung (DSGVO). Doch wer dieses Instrument zweckentfremdet, um daraus ein Geschäftsmodell zu machen, stößt nun an juristische Grenzen. Der Europäische Gerichtshof (EuGH) hat am Donnerstag in einem wegweisenden Urteil klargestellt, dass Auskunftsanträge eindeutig als rechtsmissbräuchlich eingestuft werden können. Voraussetzung ist, dass sie allein mit der Absicht gestellt werden, später Schadenersatzansprüche zu provozieren.

Mit der Entscheidung in der Rechtssache C-526/24 stärkt das höchste europäische Gericht die Verteidigungsmöglichkeiten von Unternehmen gegen sogenannte Datenschutz-Trolle. Der Fall nahm seinen Ausgang vor dem Amtsgericht Arnsberg. Dort entwickelte sich eine Art Lehrstück über eine moderne juristische Grauzone.

Eine in Österreich wohnhafte Person hatte sich für den Newsletter des Optikerunternehmens Brillen Rottler angemeldet und dabei freiwillig ihre Daten in die Maske eingegeben. Nur 13 Tage später forderte sie das Unternehmen nach Artikel 15 DSGVO auf, umfassend Auskunft über die verarbeiteten Daten zu erteilen. Als das Unternehmen den Antrag mit Verweis auf einen mutmaßlichen Missbrauch ablehnte, klagte die Person auf eine Entschädigung von mindestens 1000 Euro für den angeblich entstandenen immateriellen Schaden.

Kläger war kein Unbekannter

Das Optikerunternehmen konnte vor Gericht darauf verweisen, dass der Antragsteller kein Unbekannter war. Medienberichte und Informationen von Rechtsanwälten legten nahe, dass die Person systematisch Newsletter abonniert, unmittelbar danach Auskunft verlangt und bei der kleinsten Verzögerung oder Ablehnung Klagewellen wegen Datenschutzverstößen initiiert. Das Amtsgericht Arnsberg rief daraufhin den EuGH an. Es wollte klären lassen, ob bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne der DSGVO gelten kann und unter welchen Bedingungen ein Schadenersatzanspruch in solchen Konstellationen besteht.

Die Luxemburger Richter stellten nun fest, dass der einschlägige Schutz der DSGVO nicht schrankenlos gilt. Zwar dient das Auskunftsrecht dazu, dass sich Bürger der Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Ziel ist es, gegebenenfalls Rechte auf Berichtigung oder Löschung wahrzunehmen. Wenn aber nachgewiesen werden kann, dass ein Antrag trotz formaler Korrektheit nur gestellt wurde, um künstlich die Voraussetzungen für eine Schadenersatzklage zu schaffen, liegt ein Rechtsmissbrauch vor.

Ein solcher Nachweis kann laut EuGH etwa durch das bisherige Verhalten der Person und öffentlich zugängliche Informationen über ähnliche Forderungen gegenüber anderen Unternehmen geführt werden.

Wann wird Schadenersatz fällig?

Relevant für die Praxis ist die Klarstellung des EuGH zu den Voraussetzungen für Schadenersatz. Ein bloßer Verstoß gegen die DSGVO reicht demnach nicht automatisch für eine Geldentschädigung aus. Der Kläger muss vielmehr nachweisen, dass ihm tatsächlich ein konkreter materieller oder immaterieller Schaden entstanden ist.

Zwar umfasst ein immaterieller Schaden grundsätzlich auch den Kontrollverlust über die eigenen Daten. Doch setzt der EuGH hier jetzt eine entscheidende Hürde: Wer durch sein eigenes Verhalten die entscheidende Ursache für den Schaden gesetzt hat – etwa indem er die Datenverarbeitung nur provoziert, um sie später zu „verklagen“ – kann keinen Ersatz verlangen.

Firmen verspricht dieses Urteil eine Erleichterung. Sie können bei exzessiven Anträgen unter Berufung auf Artikel 12 Absatz 5 DSGVO entweder die Auskunft verweigern oder ein angemessenes Entgelt für den Verwaltungsaufwand verlangen. Trotzdem bleibt die Beweislast beim Verantwortlichen.

Das Amtsgericht Arnsberg muss nun im konkreten Einzelfall prüfen, ob das Verhalten des Klägers die Schwelle zum Missbrauch überschritten hat, wobei Faktoren wie die kurze Zeitspanne zwischen Anmeldung und Antrag sowie die Freiwilligkeit der Datenpreisgabe eine zentrale Rolle spielen.

()

iPhone-, iPad- und Mac-Nutzer sollten schnellstmöglich alle verfügbaren Updates einspielen. Die jüngsten Versionen von iOS 26 bis zurück zu iOS 15 schützen gegen Schwachstellen, die durch die zwei mächtigen Exploit-Kits DarkSword und Coruna offenbar für großflächige Angriffe gegen iPhone-Nutzer eingesetzt wurden, wie Apple mitteilte. Ob ein Update vorliegt, lässt sich auf dem Gerät in „Einstellungen > Allgemein > Softwareupdate“ prüfen. Die Software auf dem neuesten Stand zu halten, bleibe der wichtigste Baustein, um das eigene Gerät zu schützen.

Nicht alle iOS-Versionen erhalten Patches

Genaue Versionsnummern mit sämtlichen verfügbaren Patches nannte der Hersteller nicht. Aktuell sind iOS, iPadOS und macOS 26.3.1, iOS 18.7.6 sowie iOS/iPadOS 16.7.15 und iOS/iPadOS 15.8.7. Für die alten iOS-/iPadOS-Versionen hatte Apple in der vergangenen Woche unter Verweis auf Coruna ein Notfall-Update veröffentlicht. Ob die Exploit-Kits auch gegen Macs eingesetzt wurden, bleibt unklar, Sicherheits-Updates liefert Apple derzeit für macOS 26, macOS 15 und macOS 14.

Nutzer, die noch iOS 17 einsetzen, müssen demnach auf iOS 18 aktualisieren. iPhones, die noch mit iOS 13 oder iOS 14 laufen, sollten zur Beseitigung der Sicherheitslücken auf iOS 15 umsteigen, merkt der Hersteller an.

Mehrere Sicherheitsforscher haben in den vergangenen Tagen ausführliche Analysen zu DarkSword und Coruna veröffentlicht. Zum ersten Mal scheinen hochkomplexe Exploit-Kits im breiteren Stil gegen beliebige iPhone-Nutzer eingesetzt worden zu sein – auch aus finanzieller Motivation und nicht allein im Rahmen gezielter staatlicher Überwachung.

Malware über Webseiten eingeschleust

Der Aufruf einer manipulierten Webseite reichte demnach zur kompletten Kompromittierung des iPhones aus. Dabei konnten angeblich sensible Daten von den Geräten ausgelesen und an die Angreifer übertragen werden. Die Angriffe richteten sich unter anderem gegen Nutzer in der Ukraine, Türkei und Saudi-Arabien, die Exploits waren speziell auf bestimmte Versionen von iOS 17 und iOS 18 ausgelegt.

(lbe)