Datenschutz & Sicherheit
KI in Asylverfahren birgt erhebliche Risiken
Wenn Asylverfahren mit sogenannter Künstlicher Intelligenz bearbeitet werden, entstehen erhebliche Risiken für die Grundrechte der Betroffenen, das stellt der wissenschaftliche Dienst des Europäischen Parlaments in einem Bericht fest. Dennoch würden immer mehr KI-basierte Technologien in dem Bereich eingesetzt. Asylverfahren sollen so schneller, mit weniger Aufwand und ohne Vorurteile abgeschlossen werden.
Der wissenschaftliche Dienst stellt in dem Bericht jedoch fest, dass KI-Technologien Ungenauigkeit, Voreingenommenheit, Diskriminierung, Verfahrensbeeinflussung und Datenschutzrisiken mit sich bringen. Sie kämen nur den Behörden zugute und würden dabei die Position der Asylbewerber*innen im System schwächen.
Was für KI-Technologien werden benutzt?
Im Bericht werden KI-Systeme aufgeführt, die europaweit genutzt werden. Auch Deutschland nutzt bereits einige davon. Das Bundesamt für Migration und Flüchtlinge (BAMF) verwendet beispielsweise ein KI-System, welches dazu trainiert ist, Dialekte zu erkennen, um so die Herkunft der Menschen festzustellen, die Asyl beantragen. Mit der KI-Technologie soll die Bestimmung des Herkunftslandes vereinfacht werden, besonders wenn keine Nachweise vorliegen. Das Herkunftsland und die dort drohende Art der Verfolgung haben Auswirkungen auf die Entscheidung im Asylverfahren.
Außerdem nutzt Deutschland technische Systeme zur Analyse von Handydaten. Antragstellende ohne anerkannte Ausweisdokumente müssen ihr Handy zur Durchsuchung den Behörden übergeben, damit ihr Antrag bestehen bleibt. Ein Computer erstellt einen Bericht aus allen Daten auf dem Handy, die Rückschlüsse auf das Herkunftsland ermöglichen: Vorwahlen eingespeicherter Handynummern, verwendete Sprachen in Nachrichten oder gespeicherte Standortdaten von Fotos. Wenn ein Anwalt des BAMF entscheidet, dass der Bericht notwendig ist für die Feststellung des Herkunftslandes, können Sachbearbeiter*innen diese analysierten Daten einsehen.
Grundrechte können nicht gewahrt werden
In seinem Bericht fasst der wissenschaftliche Dienst einen Bericht der europäische Agentur für Grundrechte (FRA) zusammen. Diese warnte bereits 2020, dass mehrere Grundrechte asylsuchender Menschen aus der Charta der Grundrechte der Europäischen Union bei der Verwendung von KI-Systemen durch die Behörden gefährdet würden. Dazu gehören die Würde des Menschen (Artikel 1), die Achtung des Privat- und Familienlebens (Artikel 7), der Schutz personenbezogener Daten (Artikel 8), die Gleichheit vor dem Gesetz und Nichtdiskriminierung (Artikel 20-21), das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht (Artikel 47) und das Recht auf eine gute Verwaltung (Artikel 41).
Menschen, die in der EU Asyl beantragen, fliehen meist vor Verfolgung und können sterben, wenn sie keinen Schutz bekommen. Der Bericht warnt davor, die folgenschwere Entscheidung über die Schutzbedürftigkeit mithilfe von Datenanalysen durch KI-Systeme zu treffen, da die Technologie nicht so verlässlich sei, wie sie wirke.
KI ist nicht neutral
Die Qualität einer KI ist nur so gut, wie die Qualität der Trainingsdaten. Nur eine KI, die mit sehr vielen Daten trainiert worden ist, kann aussagekräftige Ergebnisse liefern. Für jedes Herkunftsland müssen ausreichend Daten vorhanden sein. Jedoch fehlen meist Daten, so der Bericht. Auch seien die Trainingsdaten nicht gleichmäßig verteilt, sondern gefärbt durch vermehrt auftretende Herkunftsländer. Entsprechend seien Ergebnisse der KI-Systeme nicht aussagekräftig genug für Entscheidungen mit potenzieller Todesfolge, besonders bei Herkunftsländern, zu denen wenig Daten zur Verfügung stehen.
Zusätzlich treffen KI-Systeme Entscheidungen über Asylverfahren, die auf vorausgegangenen menschlichen Entscheidungen basieren. Vorurteile in menschlichen Entscheidungen würden dabei von den Systemen erlernt und repliziert. Wenn diese auch mit Daten von KI-beeinflussten Entscheidungen trainiert werden, reproduzierten sich die Vorurteile immer weiter. Somit sei die KI-Technologie, so der Bericht, eben nicht der vorgesehene unvoreingenommene Entscheidungsträger.
Daten sind eben auch nur Daten
Darüber hinaus weist die FRA darauf hin, dass die KI-Systeme etwas anhand der Daten entscheiden sollen, was logisch nicht unbedingt zusammenhängt. Nimmt man das Dialekterkennungssystem aus Deutschland als Beispiel, bedeutet ein Dialekt aus einer bestimmten Region nicht unbedingt eine Herkunft aus der Region und auch nicht die entsprechende Nationalität.
Deswegen müsse von Mitarbeiter*innen der zuständigen Behörden beachtet werden, dass die KI-Systeme keine klaren Ergebnisse liefern würden. Als Ergebnis würden sie nur Wahrscheinlichkeiten ausspucken, die auf unzureichenden Daten beruhen würden. Dazu käme die hohe Fehlerquote der KI-Systeme. Das Dialekterkennungssystem, welches das BAMF nutzt, ordnet zwei von zehn asylsuchenden Menschen mit arabischem Dialekt und fast drei von zehn asylsuchenden Menschen mit persischem Dialekt das falsche Herkunftsland zu. Menschen tendieren dazu, Technologien blind zu vertrauen, besonders einem intransparenten KI-System. Der Bericht weist auf das Risiko hin, dass Fehler eines KI-Systems den Verdacht einer Fehlbehauptung von Antragstellenden bestätigen könnten.
Ein faires Verfahren ist nicht sichergestellt
Auch wenn mit den Ergebnissen der KI-Systeme reflektiert umgegangen werde und sie nur in unterstützender Funktion genutzt würden, bestünden große Risiken. Aus juristischer Sicht sei die Fairness des Verfahrens beeinflusst. Als Schutz vor Diskriminierung und Fehlentscheidungen müssen alle Asylanträge objektiv, unvoreingenommen und individuell begutachtet werden.
Eine KI, die aus vorausgegangenen Entscheidungen lernt und so ihre Aussagen trifft, ist nicht objektiv und unvoreingenommen. Dazu generalisiere eine KI, wobei individuelle Besonderheiten jedes einzelnen Falles nicht mehr genug Beachtung fänden.
Ebenfalls juristisch wichtig ist die Möglichkeit eine Entscheidung im Asylverfahren anzufechten. Stütze sich diese Entscheidung aber auf die angebliche Neutralität der Technologie, kann ein Anfechten schwierig werden. Asylbehörden sind dazu verpflichtet, Entscheidungen ausreichend zu begründen, damit Bewerber*innen die nächsten rechtlichen Schritte einleiten können. Eine KI-unterstützte Entscheidung ließe sich durch die Intransparenz der Technologie schwer erklären, weshalb das Verfahren undurchsichtig und komplexer werden würde. Zentral stellt der wissenschaftliche Dienst des EU Parlaments fest, dass sich die Integration von KI in den Asylprozess gegen die Asylbewerber*innen richtet und nur für die Behörden einen Vorteil darstellt.
Abschließend wirft das Briefing Datenschutzbedenken auf, die durch die Einspeisung persönlicher Daten in KI-Systeme entstünden. Bei der Menge von personenbezogenen Daten, die durch KI-Systeme verarbeitet werden, könnte eine Datenschutz-Folgeabschätzung erforderlich werden, um festzustellen ob ein derart großer Eingriff in den Datenschutz verhältnismäßig ist.
Trotz Bedenken grünes Licht für KI-Systeme in Asylanträngen
Obwohl der aufgegriffene Report der FRA bereits 2020 Risiken bei KI-Systemen zur Unterstützung bei Asylansträgen festgestellt hat, werden KI-Systeme weiter in den Asylprozess integriert. Trotz der Gefahren für die Grundrechte versäumt die 2024 verabschiedete KI-Verordnung der EU, die KI-Nutzung für Asylverfahren zu regulieren und Risiken zu beseitigen. Stattdessen gelten die Transparenzregelungen der Verordnung speziell in den Bereichen der Migration und des Asyls nicht.
Datenschutz & Sicherheit
Die Woche, in der wir Bargeld-Tracking in die Öffentlichkeit brachten
Liebe Leser*innen,
Bargeld ist nicht so anonym wie man denkt. Sicherheitsbehörden aus aller Welt verfolgen bei Ermittlungen den Weg von Geldscheinen und Unternehmen der Bargeldindustrie tracken Scheine, um sie effizienter zu handhaben.
Diese erstaunliche Geschichte war die umfassendste Recherche, der ich je nachgegangen bin. Ich habe dafür ein Dutzend Patente, rund 50 weitere PDFs und unzählige Websites durchgearbeitet, je rund 250 E-Mails geschrieben und empfangen, mir Vorträge von Lobbyist*innen angehört, eine IFG-Anfrage gestellt und die Antwort auf eine parlamentarische Anfrage ausgewertet.
Gleichzeitig war es auch die zäheste Recherche meines Lebens. Bundesbank und Sicherheitsbehörden haben sehr viel dafür getan, möglichst wenig sagen zu müssen.
Nicht verwunderlich. Denn das Thema hat das Zeug dazu, die Leute auf die Barrikaden zu bringen. Viele Deutsche lieben ihr Bargeld. Und dass dieses nun immer weiter deanonymisiert wird, weil an unzähligen Punkten die Seriennummern von Geldscheinen erfasst und diese Informationen immer weiter vernetzt werden, war bislang nicht wirklich bekannt.
Ich habe die Geschichte auf zwei Stücke aufgeteilt. Im ersten beschreibe ich, wie Sicherheitsbehörden Banknoten-Seriennummern für Ermittlungen nutzen und wie deren Erfassung immer enger vernetzt wird. Im zweiten zeige ich, welche Akteure in Deutschland Seriennummern erfassen (können) und wie bedrohlich deren potenzielle Vernetzung für die Anonymität des Bargelds ist.
Zu verdanken habe ich das Thema Marc Lagies. Er hat sich überlegt: Banknoten haben Seriennummern und moderne Automaten können diese Nummern lesen – ist es dann nicht auch möglich, den Weg einzelner Banknoten relativ eng nachzuvollziehen? Diese Frage hat er an netzpolitik.org geschickt. Und sich daraufhin sogar noch tiefer als ich in das Thema eingearbeitet. Ohne ihn gäbe es diese Geschichte nicht. Vielen Dank Marc.
Und euch viel Spaß beim Lesen!
Martin
Datenschutz & Sicherheit
BSI-Chefin: Cyberschutz-Verpflichtung für Firmen ab 2026
Die Bundesregierung will die NIS2-Richtlinie der EU für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern. „Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran“, sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. „Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.“
Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. „Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören“, sagt die BSI-Chefin.
Schutz vor Erpressern und Sabotage
Mit der Umsetzung der europäischen Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Als wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären – etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.
Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen. Seit ungefähr vier Monaten ist die NIS-2-Betroffenheitsprüfung des BSI online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: „Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.“
Umsetzungsfrist lief im Oktober ab
Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.
„Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin. Aus ihrer Sicht sei es daher besser, die Richtlinie rasch umzusetzen und später gegebenenfalls noch einmal nachzubessern. Denn deutsche Unternehmen, Behörden, Forschungsinstitute und auch Einrichtungen in der Politik würden auf einem relativ hohen Niveau dauerhaft angegriffen und das Gesetz werde dafür sorgen, das Risiko zu reduzieren, dass diese Angriffe erfolgreich sind.
Kriminelle und politische Akteure
Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferketten-Angriffe. Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel war, sondern Firmen oder Institutionen, die ihre Kunden sind. „Das können auch Behörden oder Institutionen aus dem politischen Raum sein“, sagt Plattner. Manchmal sei auch nicht ganz klar, ob es um eine rein kriminelle Operation geht oder womöglich auch ein staatlicher Akteur im Hintergrund eine Rolle spielt. In einigen Fällen sei beides relevant. „Es gibt da unheilige Allianzen zwischen finanziell motivierten und politischen Akteuren“, berichtet die BSI-Präsidentin.
Ein Hackerangriff hatte in den vergangenen Tagen einen massiven IT-Ausfall verursacht und für Probleme in den deutschen Einrichtungen des Gesundheitskonzerns Ameos gesorgt. In Sachsen-Anhalt waren am Donnerstag mehrere Internetseiten von Ministerien kurzzeitig nicht aufrufbar. Grund sei ein Überlastungsangriff einer prorussischen Hackergruppe auf das Landesportal, hieß es.
BSI bietet Unterstützung an
Der Aufwand, den die einzelnen Unternehmen und Einrichtung betreiben müssen, um die Verpflichtungen aus der NIS-2-Richtlinie zu erfüllen, ist nach Einschätzung von Plattner nicht pauschal zu beziffern. Wer eine gute IT-Abteilung habe und sich auch jetzt schon um Cybersicherheit kümmere, werde die Herausforderungen häufig auch „mit Bordmitteln“ bewältigen können. Bei denjenigen, die sich noch nie um das Thema gekümmert hätten, werde dagegen „die Lernkurve deutlich steiler sein“. Die Leiterin der Bundesbehörde, die ihren Hauptsitz in Bonn hat, verspricht hier Unterstützung. „Wir bemühen uns, das mit unseren Informations- und Beratungsangeboten für die Unternehmen so schmerzfrei wie möglich zu machen.“
Lesen Sie auch
(nie)
Datenschutz & Sicherheit
Vor 25 Jahren tanzte der Techno-Wikinger auf der Fuckparade
Ziemlich genau vor 25 Jahren weist ein muskulöser Mann mit geflochtenem Wikingerbart einen rempelnden Besucher auf der Fuckparade am 8. Juli 2000 zurecht und tanzt dann mit freiem Oberkörper wild und etwas aggressiv zu einem Techno-Track hinter einem Wagen her. Er wird dabei gefilmt. Was er damals nicht weiß: Dass er zu einer legendären Figur der Technokultur und zu einem frühen großen Memes der Internetgeschichte werden würde.
Doch das sollte noch etwas dauern. Der Filmemacher Matthias Fritsch hatte das etwa vierminütige Video sechs Jahre nach dem Tanz auf der Protestparade auf das damals noch brandneue YouTube gestellt. Doch erst im Jahr 2007 geht das Filmchen wirklich viral, als jemand es auf die Seite Break.com stellt. Das mittlerweile als „Technoviking“ benannte Video wird nicht nur millionenfach geschaut, sondern auch tausendfach geremixt. Menschen stellen die Szene nach, es gibt den Wikinger in Videospielen, in Musikvideos, als Auto-Aufkleber, als Action Figur und KI-generierten Anime-Star.
Ungefragt monetarisiert
Der Techno-Wikinger selbst findet allerdings keinen Gefallen an seinem weltweiten Ruhm. Er schickt im Jahr 2009 seinen Anwalt zu Filmemacher Fritsch, um eine weitere Verbreitung des Videos zu verhindern, welches Fritsch auf YouTube monetisiert hatte. Der tanzende Mann, den das Internet zum Wikinger erklärt hatte, brachte damals laut Fritsch hervor, dass das Video ohne seine Zustimmung produziert und veröffentlicht sowie für Merchandising-Zwecke verwendet worden sei.
Aufgrund der Berühmtheit des Techno Vikings könne er seinen Arbeitsplatz verlieren, sein Bild würde zudem von Rechtsradikalen missbraucht. Der Wikinger beruft sich auf das Recht am eigenen Bild, also das Recht selbst darüber bestimmen zu dürfen, ob und in welchem Zusammenhang Bilder von ihm veröffentlicht werden. Doch das Video ist längst außer Kontrolle geraten, das ganze zum größten deutschen Meme überhaupt geworden.
Dann lässt sich der Wikinger vier Jahre Zeit bis zur nächsten Aktion.
Das Recht am eigenen Bild
Im Jahr 2013, die Videos haben damals um die 40 Millionen Views, kommt es dann vor dem Berliner Landgericht zum Prozess (netzpolitik.org berichtete) – wegen Verletzung des Persönlichkeitsrechts. Das Verfahren mit dem Aktenzeichen 27 O 632/12 (PDF) endet mit einem Teilerfolg für den Wikinger. Filmemacher Fritsch muss nicht nur knapp 9.500 Euro an den Mann zahlen, sondern darf das Video in dieser Form und andere Bildnisse des Techno Vikings nicht mehr verbreiten. Das Geld ist eine Beteiligung des Wikingers an den Einnahmen auf YouTube, zudem muss Fritsch für die Anwaltkosten des Klägers aufkommen.
Frisch selbst kann nicht von dem Fall lassen. Er macht ein Crowdfunding und dreht einen Dokumentarfilm über den Techno Viking. Zudem legt er ein Archiv zum Meme an. Trotz des Gerichtsurteils lässt sich das Meme nicht mehr stoppen, auch heute ist das Originalvideo in verschiedensten Ecken und Plattformen des Internets zu finden. Der Fall vor Gericht zeigt die Grenzen im Bereich Urheberrecht, Persönlichkeitsrecht und Kunstfreiheit in einem bisher so nie dagewesenen digitalen Umfeld mit eigenen Regeln und Dynamiken.
Die Geschichte des Techno-Wikingers nimmt Entwicklungen der Digitalkultur vorweg. Das heimliche Filmen in der Öffentlichkeit hat sich heute zu einem eigenen Genre in den sozialen Medien entwickelt. Auf der Jagd nach authentischen Inhalten setzen sich moderne Content Creator:innen über die Privatsphäre und Rechte ihrer Mitmenschen hinweg – das Bild wird zur Beute und schamlos monetarisiert. Andere Influencer:innen drücken ahnungslosen Leuten Geld, Geschenke und Blumen in die Hand – und stellen den Film dann als „Random Act of Kindness“ auf TikTok. Dagegen war die doch eher zufällige Meme-Werdung des Wikingers doch eher harmlos.
Bis heute ist die Identität des Techno-Wikingers nicht bekannt. Er muss sehr gute Freunde mit Sinn für Privatsphäre haben: Sie haben sich weder verplappert noch ihn verraten.
-
Online Marketing & SEOvor 1 Monat
TikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Apps & Mobile Entwicklungvor 4 Wochen
Metal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
Digital Business & Startupsvor 2 Wochen
80 % günstiger dank KI – Startup vereinfacht Klinikstudien: Pitchdeck hier
-
UX/UI & Webdesignvor 4 Wochen
Philip Bürli › PAGE online
-
Social Mediavor 1 Monat
Aktuelle Trends, Studien und Statistiken
-
Social Mediavor 4 Wochen
LinkedIn Feature-Update 2025: Aktuelle Neuigkeiten
-
Online Marketing & SEOvor 4 Wochen
#WantaFanta: Warum Fanta und Nico Santos der Gen Z Wünsche erfüllen
-
Social Mediavor 4 Wochen
“Wir haben doch nichts zu erzählen…” – 3 Tricks für neue Social Media Content Ideen