Die EU-Kommission arbeitet an einem Gesetz, das Internet-Unternehmen und Diensteanbietern vorschreiben soll, Metadaten aller Kunden ohne Anlass zu speichern. Es geht darum, Verkehrsdaten für einen noch nicht näher bestimmten Zeitraum zu speichern und an staatliche Behörden herauszugeben. Man mag das Wort fast nicht mehr hören: Es geht wieder um die Vorratsdatenspeicherung.

Die Diskussionen um die Idee begannen in Europa schon kurz nach dem 11. September 2001. In Deutschland war das Thema erstmal abgeräumt, als das Bundesverfassungsgericht die damalige deutsche Regelung zur Vorratsdatenspeicherung für verfassungswidrig und nichtig erklärte. Mehr als zwanzig Jahre später steht der Zombie wieder auf, in Europa und auch in Deutschland.

Der Europäische Gerichtshof hatte immer wieder darüber geurteilt und noch letztes Jahr im Grundsatz seine Position beibehalten: Eine allgemeine anlasslose Vorratsdatenspeicherung ist europarechtswidrig.

Doch die Kommission probiert es erneut. Im Juni kündigte sie an, eine Folgenabschätzung für eine neue Vorratsdatenspeicherung durchzuführen. Denn weil die verdachtsunabhängige Massenüberwachung ein schwerer Eingriff in die Privatsphäre aller Menschen in Europa wäre, müssen die Folgen erwogen werden.

Öffentliche Konsultation

Daher läuft nun eine Befragung zur „Öffentlichen Konsultation zu einer EU-Initiative zur Vorratsdatenspeicherung durch Diensteanbieter für Strafverfahren“. Die Kommission will in dem Fragebogen wissen, was die Bevölkerung von dem Neuanlauf hält. Sie fragt darin auch nach alternativen Maßnahmen und warum sie vorzuziehen wären.

Dankenswerterweise hat EDRi eine ausführliche Hilfestellung veröffentlicht, die das Ausfüllen erleichtert. Die Digitale Gesellschaft hat sie auf Deutsch angepasst.

Man kann entweder die dortigen Empfehlungen in der Befragung schnell durchklicken oder aber in Ruhe die Argumente wägen und die Begründungen für die Empfehlungen lesen und sich selbst eine Meinung bilden. Einzige Voraussetzung zur Teilnahme ist eine funktionierende E-Mailadresse.

Die EU-Kommission begründet ihren Vorstoß zur Vorratsdatenspeicherung mit der Behauptung, dass schwere Straftaten wie Mord oder Terror mit der anlasslosen Speicherpflicht besser aufgeklärt werden könnten. Unterschiede in den gesetzlichen Regelungen der Mitgliedstaaten erschwerten eine Aufklärung von Straftaten. Generell sollen Strafverfolgungsbehörden in Europa im Rahmen der Strategie für die innere Sicherheit („ProtectEU“) mehr Zugang zu Daten erhalten.

Bisher haben die Deutschen im Vergleich mit den anderen Europäern den Spitzenplatz bei den bisher über 2.300 Konsultationsteilnehmern. Die Befragung läuft noch bis 12. September. Die Rückmeldungen sollen in den Gesetzgebungsprozess und konkret in ein Arbeitspapier einfließen, welches für das erste Quartal 2026 vorgesehen ist.

Der Gerichtshof der Europäischen Union hat eine Klage gegen die Grundlage für Datenausfuhren aus der EU in die USA abgewiesen. Die von der US-Regierung 2022 im Rahmen des EU-US-Data-Privacy-Framework ergriffenen Maßnahmen zum Schutz der Daten von EU-Bürger:innen seien ausreichend gewesen. Das teilte das Gericht heute in einer Pressemitteilung mit.

Damit hat eine drei Jahre zurückliegende Entscheidung der EU-Kommission Bestand, wonach das Datenschutzniveau in den USA europäischen Standards entspricht. Gegen diese sogenannte Angemessenheitsentscheidung hatte der französische Parlamentarier Philippe Latombe geklagt. Das Urteil ist für ihn eine Niederlage auf ganzer Linie.

Andauerndes Daten-Dilemma

Eine Angemessenheitsentscheidung der EU-Kommission sorgt dafür, dass Unternehmen Daten von EU-Bürger:innen ohne größeren rechtlichen Aufwand in einem anderen Land verarbeiten dürfen. Das betrifft im Fall der USA nicht nur die Interessen der großen US-Tech-Konzerne, sondern auch von europäischen Unternehmen, die Cloud-Dienste oder andere Services aus den USA nutzen.

Der große Knackpunkt: US-Geheimdienste haben weitreichende Befugnisse zur Massenüberwachung digitaler Kommunikation und setzen diese auch ein, wie die Snowden-Enthüllungen gezeigt haben. Davor müsste EU-Recht Europäer:innen eigentlich schützen, doch die USA sind nicht zu substanziellen Zugeständnissen bereit. Nach Klagen des österreichischen Juristen Max Schrems hatte der Europäische Gerichtshof (EuGH) in den vergangenen Jahren deshalb bereits zwei Angemessenheitsentscheidungen zugunsten der USA für nichtig erklärt.

Das führte dazu, dass europäische Datenschutzbehörden Unternehmen die Nutzung von Diensten wie Google Analytics untersagten. Nach jahrelanger Rechtunsicherheit und wachsendem Druck sowohl aus der US-amerikanischen als auch aus der europäischen Wirtschaft gab es 2022 eine Einigung auf höchster Ebene.

Der damalige US-Präsident Joe Biden unterzeichnete eine Executive Order, die den Schutz vor US-Geheimdiensten verbessern sollten. Unter anderem wurde ein neues Aufsichtsgremium geschaffen, das die Arbeit der Geheimdienste kontrollieren sollte: der Data Protection Review Court (DPRC).

Gerichtshof: Schutzmaßnahmen ausreichend

Philippe Latombe hatte nun argumentiert, dass die ergriffenen Schutzmaßnahmen nicht ausreichend sind. Der DPRC sei kein unabhängiges Gericht, dessen Arbeit gesetzlich festgeschrieben ist, sondern ein von der Regierung abhängiges Gremium. Tatsächlich hatte Donald Trump nach seinem Amtsantritt demokratische Mitglieder des Privacy and Civil Liberties Oversight Board entlassen, welches die Arbeit des DPRC überwacht.

Darüber hinaus kritisierte Latombe, dass US-Geheimdienste ihre Massenüberwachung ohne vorherige Genehmigung durch Richter:innen oder unabhängige Verwaltungsbehörden durchführen.

In beidem widerspricht das Gericht dem Kläger. Laut Aktenlage sei gegen den Angemessenheitsbeschluss zum Zeitpunkt nichts einzuwenden. In Sachen Massenüberwachung sei nach Rechtsprechung des EuGH keine Vorab-Genehmigung notwendig, auch eine nachträgliche Überprüfung reiche aus. Der Data Protection Review Court sei zudem ausreichend unabhängig und seine Arbeit durch zahlreiche Garantien abgesichert.

Im Übrigen habe sich die EU-Kommission vorgenommen, ihren Angemessenheitsbeschluss regelmäßig zu überprüfen. Wenn sich der Rechtsrahmen in den USA ändere, könne die Kommission ihre Angemessenheitsentscheidung also revidieren oder anpassen.

Schrems prüft Klage vor EuGH

Bei Max Schrems, der den Rechtsrahmen für den transatlantischen Datenverkehr bereits zweimal erfolgreich gekippt hat, löst die Entscheidung des Gerichts Kopfschütteln aus. Sie weiche sowohl von der Rechtsprechung des EuGH als auch von der faktischen Lage in den USA „völlig ab“, so der Jurist in einer ersten Stellungnahme. „Das angebliche US-‚Gericht‘ ist nicht einmal gesetzlich verankert, sondern nur eine Executive Order von Biden – und kann daher in einer Sekunde durch Trump abgesetzt werden.“ Donald Trump entlasse sogar Leute, deren Unabhängigkeit gesetzlich garantiert sei, da könne das DPRC nicht als unabhängig gelten. Es könne „in einer Sekunde“ von Trump eingestampft werden.

Allerdings, so Schrems, sei Latombes Klage recht eng gefasst gewesen. Er halte eine umfassendere Klage weiterhin für vielversprechend, die Datenschutzorganisation noyb prüfe derzeit die Optionen für ein solches Verfahren. „Auch wenn die Europäische Kommission vielleicht ein weiteres Jahr gewonnen hat, fehlt es uns weiterhin an Rechtssicherheit für Nutzer:innen und Unternehmen.“

In der aktuell laufenden Debatte um Alterskontrollen im Netz lohnt sich der Blick nach Australien. Ab Dezember sollen dort Kontrollen gelten, wie sie derzeit verschiedene Politiker*innen auch in Deutschland fordern. Besucher*innen von Social-Media-Seiten sollen demnach ihren Ausweis vorlegen oder ihr Gesicht biometrisch scannen lassen.

Das bedeutet einen tiefen Eingriff in Grundrechte wie Datenschutz, Privatsphäre, Teilhabe und Informationsfreiheit. Was für eine Technologie will der australische Staat Millionen Nutzer*innen aufbrummen? Genau das sollte ein von der australischen Regierung in Auftrag gegebenes Gutachten klären. Erstellt wurde es von einer Prüfstelle für Alterskontroll-Software, der Age Check Certification Scheme (ACCS).

Die australische Kommunikationsministerin sieht in dem Gutachten eine Bestätigung ihrer Regierungspläne: „Auch wenn es keine Patentlösung für Altersverifikation gibt, zeigt dieses Gutachten, dass es viele wirksame Möglichkeiten gibt – und vor allem, dass der Schutz der Privatsphäre der Nutzer gewährleistet werden kann“, zitiert sie die Nachrichtenagentur Reuters.

Gutachten umschifft kritische Aspekte gezielt

Zu dieser voreiligen Einschätzung kann man kommen, wenn man sich nur die farbenfroh gestalteten Zusammenfassungen des Gutachtens anschaut. Dort steht etwa: „Altersverifikation kann in Australien privat, effizient und effektiv durchgeführt werden“, und: „Die Branche für Altersverifikation in Australien ist dynamisch und innovativ“. Na, dann!

Erst bei näherer Betrachtung zeigt sich, wie das Gutachten kritische Aspekte von Alterskontrollen durch gezielte Priorisierung und Rahmensetzung umschifft. Auf diese Weise wird das Papier zur fadenscheinigen Argumentationshilfe für eine vor allem politisch gewollte Maßnahme.

• Schon zu Beginn machen die Gutachter*innen klar, dass sie einen engen Rahmen setzen und kritische Aspekte ausblenden. Allerdings ist das äußerst sperrig formuliert – möglicherweise, damit es weniger auffällt: „Auch wenn der Bericht in politischen Fragen neutral ist und sich nicht auf ein spezifisches Regulierungssystem bezieht, bedeutet dies nicht, dass es in bestimmten politischen oder regulatorischen Kontexten nicht zusätzliche Komplexitäten, operative Herausforderungen oder Anforderungen geben wird.“
• Eine zentrale Kritik am Einsatz strenger Alterskontrollen ist, dass sie das grundlegend falsche Mittel sind, um Jugendliche im Netz zu schützen. Das „Ob“ wird im Gutachten allerdings nicht thematisiert. „Der Bericht stellt weder eine Reihe von Handlungsempfehlungen noch eine Befürwortung bestimmter Technologien zur Alterskontrolle dar“, heißt es.
• Eine weitere zentrale Kritik an Alterskontrollen ist, dass sich Nutzer*innen nicht auf die Datenschutz-Versprechen von Anbietern verlassen können. Woher soll man wissen, dass erfasste Ausweisdaten nicht missbraucht werden? Auch hierfür sieht sich das Gutachten nicht zuständig. „Im Gutachten geht es auch nicht darum, zu überprüfen, ob jedes einzelne Produkt wie behauptet funktioniert.“

Das wirft die Frage auf, was die Gutachter*innen eigentlich begutachtet haben. Hierzu heißt es: Sie haben „festgestellt, ob Technologien zur Alterskontrollen technisch machbar und operativ einsetzbar sind“. Außerdem haben sie geprüft, ob sich Anbieter dabei an Standards und Zertifizierungen halten.

Gutachten: Manche Anbieter horten biometrische Daten

Trotz ihres schmalspurigen Vorgehens haben die australischen Gutachter*innen alarmierende Funde gemacht. So berichten sie von „besorgniserregenden Hinweisen“, dass zumindest manche Anbieter in übermäßigem Eifer bereits Werkzeuge entwickeln, damit Aufsichtsbehörden und Polizei auf erhobene Daten zugreifen können. „Dies könnte zu einem erhöhten Risiko von Datenschutzverletzungen führen, da Daten unnötig und unverhältnismäßig gesammelt und gespeichert werden.“ Es mangele an Richtlinien.

Das Gutachten bestätigt damit eines der größten Bedenken der Kritiker*innen: Dass Alterskontrollen zum Datenschutz-Alptraum werden, weil Anbieter die erhobenen Daten horten und an Behörden weitergeben. Die Gutachter*innen schreiben: „Das beinhaltete die Speicherung vollständiger biometrischer Daten oder Dokumentendaten aller Nutzer*innen, selbst wenn eine solche Speicherung nicht erforderlich oder angefragt war.“

Der Vollständigkeit halber muss erwähnt werden: Datensparsame Alterskontrollen sind wohl technisch möglich, auch anonyme. Einen Praxistest in der Fläche haben solche Ansätze aber bislang nicht bestanden. Nutzer*innen bringt es nichts, wenn sie bei ihrer alltäglichen Nutzung dann doch Datenschluckern zum Opfer fallen. Die EU-Kommission arbeitet gerade selbst an einer datenschutzfreundlichen Lösung, hat es aber noch nicht über das unzureichende Niveau pseudonymer Verifikation hinaus geschafft.

Auffällig industriefreundliche Formulierungen

Wer einem Kontrollsystem keine Dokumente anvertrauen will, kann es auch mit biometrischen Daten versuchen. Dann soll eine Software anhand individueller Merkmale im Gesicht das Alter abschätzen, oftmals werden solche Systeme als KI bezeichnet. Dabei passieren Fehler, und diese Fehler treffen nicht alle Gesellschaftsgruppen gleich, wie auch das Gutachten feststellt. Falsche Ergebnisse gibt es etwa seltener bei weißen Männern, häufiger bei weiblich gelesenen Personen und People of Color.

Die Formulierungen im Gutachten sind an dieser Stelle auffällig industriefreundlich. So heißt es etwa: „Die Unterrepräsentation indigener Bevölkerungsgruppen in Trainingsdaten bleibt eine Herausforderung, insbesondere für die First Nations, wobei Anbieter diese Lücken anerkannten und sich zur Behebung durch Fairness-Audits und Diversifizierung der Datensätze verpflichteten.“

Es gehört zum Vokabular der Öffentlichkeitsarbeit, Mängel als „Herausforderung“ herunterzuspielen. Die angesprochene „Verpflichtung“ ist wohl eher freiwillig, und deshalb gar keine „Verpflichtung“. Bis wann genau die gelobten Besserungen in die Tat umgesetzt werden sollen, steht nicht im Gutachten – dabei sollen die Alterskontrollen schon ab Dezember gelten.

Weitere Probleme hat biometrische Alterserkennung ausgerechnet bei der Gesellschaftsgruppe, die das Ziel aller Maßnahmen sein soll: junge Menschen. Hierzu schreiben die Gutachter*innen: Es sei ein „fundamentales Missverständnis“, zu glauben, die Technologie könne das genaue Alter einer Person einschätzen. Fehleinschätzungen seien „unvermeidlich“; vielmehr brauche es Pufferzonen. Dabei ist das exakte Alter gerade der Knackpunkt, wenn Angebote etwa ab 13, ab 16 oder ab 18 Jahren sein sollen. Es gibt keinen Spielraum für Puffer.

Nachrichtenmedien sind auf Framing nicht hereingefallen

Dem Gutachten zufolge würden die „meisten“ Systeme mindestens 92 Prozent der Proband*innen über 19 Jahren korrekt als volljährig einschätzen. Aber schon Fehlerraten im einstelligen Prozentbereich betreffen bei 1 Million Nutzer*innen Zehntausende Menschen. In Australien leben rund 27 Millionen Menschen.

Der Einsatz biometrischer Alterskontrollen ergibt am ehesten für Erwachsene Sinn, die deutlich über 18 Jahre alt sind. In diesem Fall ist das exakte Alter zweitrangig; es genügt der Befund, dass eine Person nicht mehr minderjährig ist. Für Jugendliche dagegen ist die Technologie praktisch nutzlos. Ganz so deutlich formulieren das die Gutachter*innen allerdings nicht. Sie schreiben mit Blick auf junge Nutzer*innen, dass „alternative Methoden“ erforderlich sind.

Die trügerische Sicherheit von Alterskontrollen im Netz

Weiter schreiben sie, wenn die Technologie „verantwortungsvoll konfiguriert und in verhältnismäßigen, risikobasierten Szenarien eingesetzt wird, unterstützt sie Inklusion, verringert die Abhängigkeit von Ausweisdokumenten und erhöht die Privatsphäre der Nutzer*innen“. Die Betonung sollte hier auf dem Wörtchen „wenn“ liegen. Denn wenn all diese Bedingungen nicht zutreffen, richtet die Technologie breiten Schaden an.

Blumig verfasste Passagen wie diese legen den Verdacht nahe: Die nach eigenen Angaben „unabhängige“ australische Prüfstelle liefert mit ihren Formulierungen gezielt das, was der politisch motivierte Auftraggeber gern hören möchte. Die Kosten für das Gutachten betrugen laut Guardian umgerechnet rund 3,6 Millionen Euro.

Wir erinnern uns, Australiens Kommunikationsministerin äußerte sich zu dem Gutachten optimistisch. Nachrichtenmedien sind auf dieses Framing allerdings nicht hereingefallen. So haben etwa auch die Agentur Reuters und das deutsche Medium heise online in den Mittelpunkt gerückt, welche Bedenken das Gutachten untermauert.