Ausländerbehörden melden mutmaßliche Hinweise auf Straftaten, die sie bei der Durchsuchung von Computern und Handys von abzuschiebenden Personen finden, an die Polizei oder den Zoll. Das zeigen die Antworten der zuständigen Behörden und Ministerien in den Bundesländern auf Anfrage von netzpolitik.org.

In Bayern kam es etwa in den vergangenen fünf Jahren zu 12 solcher Meldungen, teilt ein Sprecher des zuständigen Landesamtes für Rückführungen mit. „Die Mitteilung strafrechtlich relevanter ‚Zufallsfunde’ erfolgt jeweils in Form einer Verdachtsmeldung an die sachlich zuständige Polizeidienststelle sowie an die zuständige Ausländerbehörde.“

In Nordrhein-Westfalen liegt die Aufgabe seit 2022 bei der Zentralen Ausländerbehörde Essen. Dort arbeiten drei Personen in einer „Stabsstelle Datenforensik“ an der Durchsuchung. 2024 kam es in sieben Fällen zu Zufallsfunden während der Auswertung, im Jahr 2025 in sechs Fällen, schreibt eine Sprecherin der Stadt Essen. Gebe es Anhaltspunkte für eine Straftat, würden diese angezeigt – als Beispiele nennt sie „Fälle von Kinderpornographie oder Tötungsaufzeichnungen“.

Auch Berlin, Hessen und Niedersachsen bringen Zufallsfunde zur Anzeige. Allerdings erfassen die Länder nicht, wie oft das geschieht. In Hamburg sei es bislang zu keinem Fall gekommen.

Dafür schreibt die Sprecherin aus Niedersachsen, an welche Art von Behörden die Meldungen gehen, darunter: „Polizei, Staatsanwaltschaft, Finanzverwaltung oder Zoll“.

Was das Aufenthaltsrecht vorsieht

Ausländerbehörden dürfen seit mehr als zehn Jahren die Datenträger von ausreisepflichtigen Personen durchsuchen, die abgeschoben werden sollen. Voraussetzung ist, dass die Identität oder Herkunft der Person nicht mit anderen Mitteln geklärt werden kann. Die Durchsuchungen sind in vielen Bundesländern inzwischen Standard.

Nachdem die Behörden dafür anfangs bei den jeweiligen Landeskriminalämtern andockten, haben inzwischen mehrere Bundesländer eigene Abteilungen für die forensischen Untersuchungen etabliert. Die Ausländerbehörden können die Datenträger einziehen und zur Auswertung einschicken.

Laut Aufenthaltsrecht dienen die Durchsuchungen dazu, Hinweise auf die Identität oder Herkunft einer Person zu erlangen. Anhand von angerufenen Telefonnummern, Dokumenten auf einem Handy oder verwendeten Sprachen soll die Behörde darauf schließen, welches Herkunftsland für die Person Passpapiere ausstellen könnte. Zahlen dazu, wie erfolgreich dieses Vorgehen im Sinne der Behörden ist, werden nicht erfasst.

Eine Weitergabe von Informationen an Ermittlungsbehörden ist im Aufenthaltsrecht nicht vorgesehen. Die Betroffenen sind auch keiner Straftat beschuldigt, sie haben lediglich keine Papiere, die ihre Herkunft bestätigen könnten.

Laut den Behörden ist dies aber auch nicht notwendig. Die Sprecherin der Stadt Essen verweist etwa auf das nordrhein-westfälische Datenschutzgesetz als Rechtsgrundlage.

Die Sprecherin der Landesaufnahmestelle Niedersachsen schreibt: „Einschlägig sind die rechtlichen Normen der Strafprozessordnung, des Niedersächsischen Datenschutzgesetzes, des Bundesdatenschutzgesetzes und des Aufenthaltsgesetzes.“

„Kein Verbot“ als Freifahrtschein

Auch das Landesamt für Rückführungen in Bayern legt ein fehlendes Verbot im zuständigen Paragrafen im Aufenthaltsrecht als Erlaubnis aus: Die „Zulässigkeit einer Datenweitergabe“ bemesse sich an den allgemeinen Datenschutzregeln im Bundesland (BayDSG). Dieses erlaube die Weitergabe, „da die Daten zur Erfüllung der Aufgaben der Polizei zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich sind“.

In Hessen schließlich zieht das Innenministerium das Hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) heran. Es regele auch die Datenübermittlung zwischen Gefahrenabwehr– und Polizeibehörden, soweit die Kenntnis dieser Daten zur Erfüllung der Aufgaben der empfangenden Stelle erforderlich erscheint. Die Ausländerbehörden im Land gelten laut Verordnung als Gefahrenabwehrbehörden.

Schwere der Tat muss maßgeblich sein

Der Jurist Davy Wang koordiniert bei der Gesellschaft für Freiheitsrechte Fälle von Betroffenen, deren Datenträger laut Aufenthaltsrecht eingezogen oder durchsucht werden. Er sagt: Finden Ausländerbehörden bei der Durchsuchung von Datenträgern zur Feststellung der Identität oder Staatsangehörigkeit Anhaltspunkte für Straftaten und leiten diese an Ermittlungsbehörden weiter, dann sei das eine „zweckändernde Weiterverarbeitung“. „Sie begründet einen neuen Grundrechtseingriff und braucht eine eigenständige Rechtsgrundlage.“

Entscheidend sei deswegen, dass die Verantwortlichen nach der Schwere der jeweiligen Tat unterscheiden. Laut Verfassung dürften vorliegende Daten nur dann für einen neuen Zweck genutzt werden, wenn sie dafür mit vergleichbar eingriffsintensiven Mitteln hätten erhoben werden dürfen. „Die vollständige Auswertung von Datenträgern, die teilweise höchstsensible private Daten beinhalten, greift besonders tief in die Grundrechte der Betroffenen ein.“

Eine Übermittlung sei daher nur bei hinreichend schweren Straftaten zulässig, bei leichteren Delikten und Ordnungswidrigkeiten dürfte sie unverhältnismäßig sein, sagt er. „Ansonsten wird die Datenträgerauswertung im Aufenthaltsrecht zum Einfallstor für eine Strafverfolgung, die auf direktem Weg unzulässig gewesen wäre.“

Anders gesagt: Weil Ladendiebstahl, Fahren ohne Führerschein oder der Besitz von Drogen in geringen Mengen in Deutschland keine Durchsuchung von Smartphone oder Computer rechtfertigen, dürften solche Delikte auch im Fall einer zufälligen Entdeckung bei der Datenträgerdurchsuchung von den Ausländerbehörden nicht an die Polizei gemeldet werden.

Regierung hält an Durchsuchungen fest

Die Gesellschaft für Freiheitsrechte, die mit strategischen Verfahren Grundrechte schützt, hält die Durchsuchungen für nicht verfassungskonform. Vor Gericht hat der Verein gegen das BAMF gewonnen, das ebenfalls Handyforensik einsetzt: Die Behörde darf nicht mehr pauschal von allen Schutzsuchenden ohne Identitätspapiere das Handy verlangen, sondern muss prüfen, ob es mildere Mittel zur Feststellung von Identität und Herkunft gibt.

Fachleute bezweifeln, dass die Handydurchsuchungen überhaupt Vorteile für das erklärte Ziel der Identitätsfeststellung bringen. Das BAMF etwa schaut auf Anrufhistorie, Browserdaten oder auch Geodaten auf den Geräten, um Sprachen oder Länderbezüge herauszufinden. Diese seien aber wenig aufschlussreich, um auf die Identität oder Staatsbürgerschaft einer Person zu schließen, kritisiert die GFF.

Die Bundesregierung will trotzdem weiter an der Rechtsgrundlage für die Maßnahme festhalten. Zuletzt hatte die Ampelregierung das Asyl- und Aufenthaltsreicht weiter verschärft und dabei die Befugnisse der Ausländerbehörden noch erweitert: Sie dürfen nun auch in die Privaträume von Menschen eindringen, die abgeschoben werden sollen, um darin nach Dokumenten oder Geräten zu suchen. Außerdem darf neben den Daten auf Computer oder Handy nun auch alles durchsucht werden, was Betroffene in der Cloud gespeichert haben.

Eine weitreichende Sicherheitsinitiative des KI-Anbieters OpenAI liefert ein Update für GPT-5.5-Cyber, eine Unterstützung von Open-Source-Projekten mit Patch the Planet und ein Security-Plugin für Codex Desktop oder CLI.

Die Initiative unter dem Namen Daybreak zielt nicht nur auf das agentengestützte Auffinden unbekannter Lücken im Code, was zu einer Flut an Issues insbesondere in Open-Source-Kreisen geführt hat. Vielmehr sollen die nun vorgestellten Tools Entwicklerinnen und Entwicklern bei der Behebung der Funde helfen. Open-Source-Maintainer können sich zudem bei Patch the Planet um kombiniertes Patchen durch OpenAI und Trail of Bits bewerben.

GPT-Cyber schlägt Mythos

Das Update für das Modell GPT-5.5-Cyber ist auf das Finden und Patchen von Sicherheitslücken in großen Codebasen spezialisiert. Es soll Probleme identifizieren, den Kontext untersuchen und einen Patch-Zyklus einleiten: entwickeln, in geschützter Umgebung prüfen, testen und für den menschlichen Review vorbereiten.

Im CyberGym-Benchmark erreicht es als Agent 85,6 Prozent, der Vorgänger lag bei 81,8 Prozent. Zudem schlägt es sich besser als Mythos, der Konkurrent von Anthropic (83,1 Prozent). Bei CyberGym müssen die Agenten eine bekannte Sicherheitslücke in einer großen Codebasis finden und in einem Proof of Concept ausnutzen – ein Patchen bewertet der Test nicht. Vor GPT-5.5-Cyber liegen noch ein speziell angepasster und ein Multimodell-Agent.

Nur für Partner und deren Kunden

Daybreak kommt zu einem für OpenAI günstigen Zeitpunkt, da die Konkurrenzmodelle von Anthropic vorige Woche von der US-Regierung für ausländische Nutzer weitgehend gesperrt wurden. OpenAI betont in der Ankündigung die enge Zusammenarbeit mit der US-Regierung: „Wir stehen in einem kontinuierlichen Austausch mit der US-Regierung über unsere Cyber-Initiative, einschließlich der heutigen Ankündigungen und unseren Vorbereitungen auf die kommenden Modellveröffentlichungen.“

Nur registrierte Partner erhalten Zugang zum neuen Modell. OpenAI hat dreißig US-Firmen genannt wie Checkpoint, Cloudflare, Palantir, Sophos und eine Reihe an Beratungsfirmen. Die deutsche Pressemitteilung spricht auch von Partnerschaften mit Deutschland, UK, der EU und weiteren westlichen Ländern.

Partner dürfen GPT mit Cyber ab jetzt auch nicht nur intern, sondern auch für Kundenprojekte nutzen, den Kunden das Modell selbst aber nicht zur Verfügung stellen.

Patch the Planet: Unterstützung von Open-Source-Projekten

In Partnerschaft mit der Sicherheitsberatung Trail of Bits ruft OpenAI einen besonderen Review-Service für Open-Source-Projekte ins Leben: Patch the Planet. Nach einer Beratungsrunde prüfen die Experten eine Woche lang mit Hilfe von GPT Cyber den Code des Projekts, beheben gefundene Lücken und testen das Ergebnis. Wobei eine menschliche Prüfung am Ende des Prozesses steht.

Die ersten Projekte, die die Untersuchung durchlaufen haben, waren, cURL, NATS, pyca, Sigstore, aiohttp, Go, freenginx, Python, Python.org, urllib3, PyPI, SimpleX, Valkey und RustCrypto. Das Ergebnis waren „hunderte entdeckte Bugs, 64 Pull Requests und 51 Issues“, beispielsweise eine Korrektur der Big-Integer-Bibliothek in RustCrypto oder eine verbesserte Release-Pipeline für Python.org.

Projekte, die an einer Beratung Interesse haben, können sich über die Webseite bewerben.

(who)

Lina ist zurück. Die 18-jährige Studentin hat mit ihren Recherchen die Grundlage für bereits sieben Texte auf netzpolitik.org gelegt. Und jetzt hat sie schon wieder einen Skandal aufgedeckt.

Lina ist Fan der Netzneutralität. Wenn in Deutschland Websites gesperrt werden, dann soll das doch bitte auf der Grundlage von Gesetzen geschehen, findet sie.

Linas Erzfeind ist die CUII. Das steht für Clearingstelle Urheberrecht im Internet. Es ist die Geschäftsstelle eines Vereins, in dem sich deutsche Internetprovider gemeinsam mit Groß-Eigentümern von Urheberrechten organisieren – wie zum Beispiel der Deutschen Fußball Liga, der Musik- oder der Filmindustrie.

Lina geht es ums Prinzip

Die privatwirtschaftliche Organisation sperrt regelmäßig Domains, weil auf deren Websites urheberrechtlich geschützte Werke abrufbar sein sollen. Die Sperre geschieht per Domain-Namen-System, ist also leicht zu umgehen. Aber Lina geht es ums Prinzip.

Immer wieder findet sie Domains, die CUII zu Unrecht gesperrt hat. Auch in der neuesten Sperr-Runde hat sie wieder einige Fails aufgestöbert. Die gesperrten Seiten switchroms.me und megakino.tw existieren gar nicht mehr. Mit stikeout.im hat die CUII zudem eine Domain gesperrt, die es nie gab. Gemeint war wohl strikeout.im, die CUII hat vermutlich per Tippfehler die falsche Domain gesperrt.

„Dass sowas niemandem auffällt, ist schon interessant“, sagt Lina, und: „Es ist schade, wie die CUII weiterhin so achtlos mit unserem offenen Internet umgeht, und so simple Fehler weiterhin begeht.“

Lange hatte Lina Zugang zur jeweils aktuellsten CUII-Sperr-Liste. Ein CUII-Mitglied hatte diese wohl versehentlich offen ins Netz gestellt. Diese Liste ist inzwischen offline, doch Lina gibt deshalb nicht auf. Aktuell scannt sie gemeinsam mit Freunden das gesamte Internet nach Domains, die von der CUII gesperrt wurden. So fand sie auch die aktuellsten Fails. „Meine Liste der gesperrten Seiten ist jetzt wieder ziemlich aktuell“, sagt sie.