GitHub hat einen umfassenden Plan zur Verbesserung der npm-Sicherheit (Node Package Manager) vorgestellt. Die Maßnahmen sind eine direkte Reaktion auf den npm-Großangriff von Mitte September, bei dem eine selbst-replizierende Malware über kompromittierte Maintainer-Accounts Dutzende JavaScript-Pakete infizierte.
Wie GitHub in einem Blogbeitrag mitteilte, werden künftig nur noch drei Authentifizierungsmethoden für das Veröffentlichen von Paketen unterstützt: lokales Publishing mit verpflichtender Zwei-Faktor-Authentifizierung, zeitlich begrenzte Granular-Token mit maximal sieben Tagen Gültigkeit sowie Trusted Publishing.
Die geplanten Sicherheitsverbesserungen gehen weit über bisherige Maßnahmen hinaus. GitHub will klassische Legacy-Token vollständig abschaffen und zeitbasierte Einmalpasswörter (TOTP) für die Zwei-Faktor-Authentifizierung durch FIDO-basierte Verfahren ersetzen. Granular-Token mit Publishing-Berechtigung erhalten eine deutlich verkürzte Gültigkeitsdauer.
Besonders einschneidend: Publishing-Zugriff wird standardmäßig Token-basierte Authentifizierung verbieten. Entwickler sollen stattdessen auf Trusted Publishing oder lokales Publishing mit 2FA-Pflicht umsteigen. Die Option, die Zwei-Faktor-Authentifizierung beim lokalen Paket-Publishing zu umgehen, entfällt komplett.
GitHub setzt verstärkt auf Trusted Publishing, eine von einer Arbeitsgruppe der Open Source Security Foundation empfohlene Sicherheitstechnologie. Das Verfahren eliminiert die Notwendigkeit, API-Token in Build-Systemen zu verwalten, und wurde bereits von PyPI, RubyGems, crates.io und NuGet implementiert.
Ursprünglich wollte GitHub das organische Wachstum von Trusted Publishing abwarten. Die jüngsten Angriffe haben jedoch gezeigt, dass schnelleres Handeln erforderlich ist. Das Unternehmen plant daher, die Anzahl der unterstützten Provider für Trusted Publishing zu erweitern.
Als Reaktion auf den Shai-Hulud-Wurm hatte GitHub bereits über 500 kompromittierte Pakete aus der npm-Registry entfernt und das Hochladen neuer Pakete mit entsprechenden Indikatoren blockiert. Der Wurm hatte sich durch das Einschleusen bösartiger Post-Install-Skripte in beliebte JavaScript-Pakete verbreitet und dabei verschiedene Arten von Geheimnissen gestohlen.
GitHub kündigte an, die Sicherheitsänderungen schrittweise einzuführen, um Störungen zu minimieren. Das Unternehmen will Entwickler mit klaren Zeitplänen, Dokumentation, Migrationsleitfäden und Support-Kanälen durch den Übergang begleiten. Maintainer können bereits jetzt auf Trusted Publishing umsteigen und ihre Publishing-Einstellungen für Accounts, Organisationen und Pakete verschärfen.
(mack)
Am Dienstagabend hat das US-Außenministerium Visa-Sanktionen gegen Mitglieder eines angeblichen „globalen Zensur-industriellen Komplexes“ verhängt. Der bekannteste Sanktionierte ist der frühere EU-Kommissar Thierry Breton, der eine tragende Rolle für den europäischen Digital Services Act (DSA) spielte.
Daneben gehören die Gründerin des britischen Global Disinformation Index (GDI), Clare Melford, und der Gründer des in Großbritannien und USA tätigen Center for Countering Digital Hate (CCDH), Imran Ahmed, zu denjenigen, die künftig Einreisebeschränkungen für die USA unterliegen. In Deutschland haben die USA mit Anna-Lena von Hodenberg und Josephine Ballon die Geschäftsführerinnen von HateAid sanktioniert.
Die Sanktionen erfüllen zwei Funktionen: Sind sind einerseits ein feindlicher Akt gegen die europäische Gesetzgebung des Digital Services Acts, dem auch die US-amerikanischen Tech-Konzerne unterworfen sind. Die EU-Verordnung enthält vor allem für sehr große Tech-Konzerne zahlreiche Pflichten: etwa zu Moderation und Transparenz, zur Löschung illegaler Inhalte oder dem Schutz von Nutzer:innen vor manipulativem Design.
Diese Gesetzgebung versuchen die mittlerweile sehr nahe an den autoritären Trump gerückten Tech-Milliardäre von Musk bis Zuckerberg schon seit Langem und nun mit verstärkter Hilfe der Trump-Regierung zu attackieren. Früher mit massiver Lobbyarbeit in Brüssel, jüngst auch mit Zoll-Drohungen und jetzt mit Sanktionen gegen zivilgesellschaftliche Organisationen, die die Umsetzung des DSA mitgestalten.
Es handelt sich bei den jetzigen Sanktionen um einen direkten Angriff auf die Souveränität Europas, selbst digitale Märkte zu regulieren und die eigenen Gesetze gegen Konzerne auch durchzusetzen. Die Sanktionen sind Angriff auf die Rechtsstaatlichkeit, denn nichts anderes ist die Durchsetzung von Recht und Gesetz.
Die zweite Ebene ist die Bestrafung, Markierung und Einschüchterung politischer Gegner:innen. Die jetzt durch ihre Mitglieder sanktionierten Nichtregierungsorganisationen sind alle gegen Hassrede, illegale Inhalte und Desinformation tätig. Natürlich sind solche Organisationen denjenigen ein Dorn im Auge, deren Aufstiegs- und Machterhaltungsstrategie auf Hass, Lügen und Desinformation aufbaut. HateAid ist nicht umsonst hierzulande ein Lieblingsgegner der rechtsradikalen AfD und ihrer rechtskonservativen Steigbügelhalter.
Während US-Präsident Trump in den USA mit der New York Times die renommierteste Zeitung des Landes zum „Gegner des Volkes“ deklariert und die „Einschläferung“ des Satirikers Stephen Colbert fordert, malen er und seine Anhänger:innen das Schreckgespenst eines allmächtigen europäischen Zensurapparates an die Wand. Gleichzeitig übernehmen Trump-Getreue die US-Medienlandschaft und ein regierungsnahes global agierendes autoritäres Netzwerk von Tech-Konzernen hat sich gebildet. Die Realität ist also: Die Meinungsfreiheit ist in den USA in Gefahr – und weniger in Europa.
Bei den jetzt verhängten Einreiseverboten für die Betroffenen dürfte es nicht bleiben. Die Mitarbeitenden von HateAid wurden als „radikale Aktivisten“ klassifiziert, die ihre Organisationen als Waffe einsetzen würden. Es kann gut sein, dass die Organisationen ihre Social-Media- und sonstigen Accounts bei US-Konzernen verlieren könnten. Die Sanktionen gegen HateAid sind als Drohung gegen alle zu verstehen, die sich kritisch mit US-amerikanischen Tech-Konzernen auseinandersetzen.
Gegen das Vorgehen der US-Regierung müssen die Bundesregierung und die EU-Kommission scharf und entschieden protestieren. Es geht dabei um nicht weniger als die europäische Unabhängigkeit, selbst über die hier geltenden Gesetze zu entscheiden. Es geht darum, dass wir in der EU mit unseren 450 Millionen Einwohner:innen selbst aushandeln, welche Regeln bei uns gelten. Und dass wir uns nicht alles von den Konzernen der Oligarchen gefallen lassen, auch wenn diese bei Donald Trump auf dem Schoß sitzen.
Neben der europäischen Souveränität geht es auch darum, hier tätige zivilgesellschaftliche Organisationen in ihrer Handlungsfreiheit zu schützen. Sonst müssen in Zukunft alle möglichen Akteure damit rechnen, von den USA bestraft zu werden, wenn dies der autoritären Führung der USA und ihren Oligarchen nicht in den Kram passt. Es geht also um nicht weniger als um die politische und wissenschaftliche Freiheit unserer Zivilgesellschaft.
Jetzt sind also Bundeskanzler Merz und Kommissionspräsidentin von der Leyen gefragt, deutliche Worte und eine politische Antwort zu finden, damit dieser Präzedenzfall der Einschüchterung nicht unerwidert bleibt. Auch wenn heute Heiligabend ist.
Es wäre allzu leicht, auf das zurückliegende Jahr zu blicken und ein negatives Fazit zu ziehen. In den USA regiert ein rechtsradikaler Präsident – im engen Schulterschluss mit Tech-Milliardären. Die EU-Kommission will Verbraucher*innenrechte aussetzen, um den KI-Hype zu nähren. Und in Deutschland schleift die schwarz-rote Regierung die Grund- und Freiheitsrechte – und die Brandmauer gleich mit.
Gleichzeitig aber ist die (digitale) Zivilgesellschaft laut und deutlich vernehmbar – obwohl es zahlreiche Versuche gibt, sie einzuschüchtern und ihr den Geldhahn abzudrehen. Und sie führt dabei nicht nur Abwehrkämpfe, in denen sie Errungenschaften erfolgreich verteidigt. Sondern sie schafft weiterhin Räume, in denen viele Menschen zusammen für eine bessere und solidarische Zukunft kämpfen.
Auch wir haben uns am Anfang des Jahres gefragt, wie sich das verschärfte politische Klima auf unsere Arbeit auswirken wird. Einige Mitglieder unserer Redaktion ziehen im Folgenden ihr ganz persönliches Fazit. Welche Themen haben sie 2025 begeistert, bewegt und umgetrieben? Und worauf richten sie im kommenden Jahr den Blick?
Das Jahr 2025 begann mit einer vorgezogenen Bundestagswahl. Das hat nicht nur uns ganz schön auf Trab gehalten. Wir haben Wahlprogramme seziert, geschaut, wie die großen Plattformen mit politischer Werbung umgehen, und die Zivilgesellschaft gefragt, was sie sich eigentlich für die nächste Legislatur wünscht.
Gerade diese Zivilgesellschaft geriet aber schon vor dem Wahlsieg der Union in den Fokus. Denn gleichzeitig zum Wahlkampf entstand eine unsägliche Neutralitätsdebatte. Als eine ihrer letzten Amtshandlungen in der Noch-Opposition griff die Unionsfraktion mit 551 Fragen eine ganze Latte von Organisationen an, die ihr offenbar nicht neutral genug waren. Ein Vorbote auf das, was uns erwartet hat: Kritische Stimmen sind offenbar unerwünscht. Der Kurs stand klar auf Law-and-Order-Politik.
Seit sich eine schwarz-rote Koalition gefunden hat, ist die Schlagzahl von Gesetzesverschärfungen hoch. Nicht nur in der Bundespolitik, wo viele Vorschläge zu einem neuen Sicherheitspaket oder zur Vorratsdatenspeicherung in den Startlöchern stehen. Auch die Länder ebnen den Weg für Software von Palantir und mehr biometrische Überwachung.
Mich persönlich beschäftigen neben den „großen“ Ausweitungen von Polizeibefugnissen die Bereiche, wo Gesetze ohne öffentlichen Aufschrei verschärft und entmenschlicht werden: etwa beim Umgang mit psychisch erkrankten Personen oder Asylsuchenden.
Das werde ich auch im kommenden Jahr eng begleiten. Denn immer noch wird über mehr Datenaustausch von Menschen geredet, die wegen einer Erkrankung als vermeintliches Risiko markiert werden. Und 2026 steht auch die deutsche Umsetzung des Gemeinsamen Europäischen Asylsystems bevor, mit dem das Asylrecht in der EU wie nie verschärft wird. Einen Entwurf zum erneuten Ausbau des Ausländerzentralregisters hat die Bundesregierung kurz vor Jahres Ende auch noch auf den Tisch gelegt. Doch das ist sicher noch nicht das Ende.
Bevor es allzu düster wird, ein letzter Blick auf etwas, das mich begeistert hat: das zivilgesellschaftliche Engagement gegen eine verpflichtende Chatkontrolle, das am Ende zu einem Teilerfolg geführt hat. Es war beeindruckend zu sehen, was passieren kann, wenn so viele mit ganz unterschiedlichen Hintergründen gemeinsam für etwas kämpfen. Das sollte man sich als Beispiel merken, wenn mal wieder alles aussichtslos erscheint.
Das netzpolitische Jahr habe ich als verstörend finster erlebt. Während in anderen Jahren noch die Freiheit von Memes das große Ding war, steht 2025 für mich im Zeichen von grassierendem Faschismus, sowohl in den USA als auch in Deutschland. Oft unter Einsatz von Überwachungstechnologie entsteht eine zunehmend menschenfeindliche Umwelt, in der sich Hass und Ausgrenzung ausbreiten. Das ist nicht die von Fortschritt und Verständigung geprägte Zukunft, die ich vor Augen hatte, während ich als kleiner Junge Star Trek geschaut habe.
Exemplarisch für das finstere Jahr finde ich die Nachricht von Schergen der rechtsradikalen US-Abschiebebehörde ICE, die zur Umsetzung der von Donald Trump ausgerufenen Massendeportationen Menschen auf offener Straße zu biometrischer Gesichtserkennung nötigen. Das und mehr landet täglich in unseren Newsticker.
Was wir als Redaktion entgegenhalten, ist Aufklärung, die bestenfalls Leser*innen aktiviert und Änderungen anstößt. Keine Recherche hat mich 2025 so lange beschäftigt wie die Databroker Files. Zum zweiten Jahr in Folge haben unter anderem mein Kollege Ingo und ich immer tiefer gegraben. Wir haben herausgearbeitet, wie tiefgehend die Massenüberwachung durch die Werbeindustrie die Privatsphäre von uns allen bedroht – und obendrein die nationale Sicherheit. Eines kann ich versprechen: 2026 kommt noch mehr.
Im nächsten Jahr werde ich außerdem weiter mit meiner Kollegin Chris verfolgen, wie Alterskontrollen im Namen des Jugendschutzes die Grundrechte von Jugendlichen und Erwachsenen einschränken. Während Regierungen in Großbritannien, Australien und den USA zunehmend strengere Altersschranken hochziehen, will sich zumindest die Bundesregierung ein Jahr Zeit nehmen, um eine Expert*innen-Kommission auf Antwortsuche zu schicken. Ich bin überzeugt: Statt massenhafter Kontrollen sollte Jugendschutz sichere digitale Räume schaffen. Hoffentlich wird 2026 das Jahr, in dem das bei allen ankommt.
2025 war ein absolutes Databroker-Jahr. Wir haben unsere Recherchen zusammen mit Partnern wie WIRED aus den USA, LeMonde aus Frankreich und natürlich dem BR aus Bayern vorangetrieben. Das ging im Januar gleich mit einem Highlight los: Wir haben über mehr als 40.000 Apps geschrieben, die in den Handel mit unseren Werbedaten verwickelt sind. Im Februar konnten wir eine Firma aus Litauen ans Licht zerren, die im System des Datenhandels mutmaßlich eine wichtige Rolle spielt. Unsere Berichterstattung über eine von Deutschlands beliebtesten Apps, WetterOnline, führte direkt zu Konsequenzen der Aufsichtsbehörde. Im November haben wir dann die EU-Kommission in Aufregung versetzt, indem wir demonstrierten, wie sich mit Werbedaten Spitzenpersonal der EU ausspionieren lässt.
Persönlich habe ich mich sehr gefreut, dass ich an die Arbeit zu meinem Buch über digitalen Kolonialismus auch auf netzpolitik.org anknüpfen konnte, vor allem in Form von Interviews mit Aktivist*innen aus dem globalen Süden. So zum Beispiel mit der Anwältin Mercy Mutemi zur Ausbeutung von Datenarbeiter*innen, mit der Künstlerin Esther Mwema über Unterseekabel, mit der Aktivistin Nighat Dad über den Brüssel-Effekt und mit dem Menschenrechtler Christian Rumu über globale Lieferketten.
Richtig schön ist es, wenn unsere Arbeit ausgezeichnet wird. Das war dieses Jahr für die „Databroker Files“ beim European Press Prize und beim Datenschutzmedienpreis der Fall. Unser Podcast „Systemeinstellungen“ erhielt zudem eine späte Ehrung mit dem Rainer-Reichert-Preis zum Tag der Pressefreiheit. Noch viel schöner als jeder Preis: Das Verfassungsgericht hat entschieden, dass die Hausdurchsuchung bei Journalist Fabian Kienert aus unserem Podcast verfassungswidrig war!
Apropos Podcast: Eine Überraschung in 2025 war für mich unser Hintergrund-Podcast Off the Record. Wir haben nur ein paar kleine Änderungen an der Struktur vorgenommen und ein bisschen an unseren Rollen geschraubt, und schon macht der Podcast gleich noch viel mehr Spaß.
Eine Überraschung der anderen Art bescherte uns die EU-Kommission zum Jahresende: Die Datenschutzgrundverordnung soll geschliffen werden. Ansätze zur Verbesserung des Datenschutzes sucht man vergebens, stattdessen gehts nur um Deregulierung und Wirtschaftsförderung. Dass die Kommission im Bereich KI ausgerechnet Konzernen wie Meta Geschenke macht, die in diesem Jahr viele Leute mit der ungefragten Verwendung ihrer Daten für KI-Training gegen sich aufbrachten, setzt dem Ganzen die Krone auf. Die Debatte wird in 2026 weiter an Fahrt aufnehmen – wir bleiben dran.
Der seit Jahren gärende Streit um die Zusammenarbeit der Polizeien mit Palantir hat 2025 eine Wendung genommen, die mich überrascht und auch gefreut hat: Seit die Folgen von Donald Trumps zweiter Amtszeit deutlicher erkennbar sind, ist die öffentliche Debatte um den US-Tech-Konzern überaus kritisch geworden und geht nun weit über ein paar Interessierte hinaus. Mit Sicherheit werden mich Palantir und auch die automatisierte Datenanalyse weiter beschäftigen.
Vielleicht war ich übermäßig naiv, aber ich setzte Anfang des Jahres einige Hoffnungen auf den neuen Digitalminister Karsten Wildberger. Durch den hohen Digitalisierungsleidensdruck, den die Deutschen mittlerweile fast so pflegen wie ihren Unmut über die Verspätungen der Deutschen Bahn, hatte ich den Eindruck, dass die Zeit reif sein könnte für ein wirkliches Umdenken. Aber jeglicher Hoffnungsschimmer war schon nach den ersten Reden des Ministers dahin. Er singt nur das uralte Lied von der Innovationsbremse Datenschutz und hat zugleich bei Fragen der IT-Sicherheit eine auffällige Leerstelle. Zuletzt jubilierte er über die angeblichen Segnungen der „Künstlichen Intelligenz“ ohne einen Anflug von Skepsis.
Offenbar geht das anhaltende Tamtam um „Künstliche Intelligenz“ vielen technisch interessierten Menschen gehörig auf den Zeiger, mir auch. Trotzdem erscheint es mir unerhört wichtig, an der öffentlichen Diskussion um KI mitzuwirken und sich verfestigenden Bullshit nicht unwidersprochen zu lassen. Dass der riesige Ressourcenverbrauch generativer KI keine bloße Fußnote ist, sondern ein noch anschwellendes Problem, dessen Größe richtig eingeordnet werden muss, motiviert mich dazu, mich dem Thema weiter zu widmen. Mein Eindruck ist zudem, dass wir im neuen Jahr auch die informationelle Selbstbestimmung auf dem KI-Schlachtfeld werden verteidigen müssen. Denn mit der Wucht, mit der die US-Konzerne gerade allen Leuten überall KI-Anwendungen reindrücken, dürften sich auch die neuen KI-Geschäftsmodellideen zeigen.
Dieses Jahr war ich an zwei Recherchen beteiligt, die mich extrem gefesselt haben: Einmal ging es um mSpy. Eine Spionage-App, die Menschen einsetzen, um ihre Partner*innen zu überwachen – und die gerne möchte, dass netzpolitik.org für sie wirbt. Das andere Thema war die Überwachung von Bargeldströmen anhand von Geldschein-Seriennummern. Etwas, von dem ich zuvor nicht gedacht hätte, dass es das gibt.
Begeistert haben mich 2025 die Abiturientin Lina, die die Unterhaltungsindustrie vor sich hertreibt, indem sie sich gegen Netzsperren engagiert, und Thorsten Müller, der der Welt seine Stimme geschenkt hat. So wie auch die vielen Freiwilligen, die in Repair-Cafes Dinge vor dem Müll retten, oder die Digital-Lots*innen, die in Berlin dafür sorgen, dass technisch unbedarfte Menschen nicht den Anschluss an die Gesellschaft verlieren.
Schön fand ich auch, wie die Diskussion um technologische Unabhängigkeit der Debatte über freie und offene Software neuen Schwung gab. Und dass Meta erstinstanzlich dazu verurteilt wurde, mir wegen Verletzung meiner Privatsphäre 250 Euro zu zahlen. Außerdem habe ich gerne gesehen, wie der Streik der TikTok-Moderator*innen den Konzern letztlich zu weitreichenden Zugeständnissen zwang.
Extrem unangenehm fand ich, dass Hamburg KI-gestützte Verhaltenserkennung in seine Videoüberwachung aufgenommen hat, obwohl die Technologie noch lange nicht marktreif ist – und dafür auch noch Technologie von einem Konzern verwendet, der für Menschenrechtsverletzungen bekannt ist und sich außerdem erlaubt hat, KI-Systeme mit personenbezogenen, nichtanonymisierten Daten zu trainieren. Und dass zahlreiche Bundesländer diesem Vorbild gefolgt sind oder dies planen.
Hessen hat zudem dieses Jahr als erstes Bundesland (nach dem Test am Berliner Südkreuz) eine Live-Gesichtserkennung installiert. Auf der Innenministerkonferenz wurde Anfang Dezember deutlich, dass sich auch dafür eine Menge Länder interessieren, Sachsen zum Beispiel, wo außerdem Drohnen künftig Jagd auf Menschen machen sollen, die am Steuer telefonieren.
Am drastischsten anschaulich wurde der Trend zum extrem invasiven Polizeigesetz in Berlin, dem ehemals legendär freiheitlichen Bundesland, wo die Polizei künftig Videodrohnen und Verhaltensscanner einsetzen soll und in Wohnungen einbrechen darf, um Staatstrojaner zu installieren.
Im kommenden Jahr werde ich mir wohl wieder einen Haufen Polizeigesetze anschauen. Baden-Württemberg will den Einsatz von Verhaltensscannern entgrenzen, zahlreiche Bundesländer werden Live-Gesichtserkennung weiter verfolgen. Ich will das kritisch begleiten.
Wenn ich auf dieses Jahr zurückschaue, kommt es mir vor, als wären es eher zwei gewesen. Es ist einfach sehr viel passiert. Anfang des Jahres steckten mein Kollege Martin und ich mitten in den Recherchen zur Spionage-App mSpy, mit der Menschen ihre Partner*innen überwachen. Diese Recherche barg viele böse Überraschungen und wir konnten stellenweise kaum fassen, wie die Mitarbeitenden im Kundendienst die Menschen bei ihren Taten auch noch unterstützten.
Begeistert hat mich in diesem Jahr vor allem, dass ich bei der historischen Pride-Demonstration in Budapest dabei sein konnte. Eine Demo, die die ungarische Regierung mit aller Kraft verhindern wollte. Ich hatte im Vorfeld darüber geschrieben, wie die Regierung mit dem Einsatz von Gesichtserkennung Teilnehmende einschüchtern wollte. Erreicht hat sie das Gegenteil. Es wurde zur größten Pride in der ungarischen Geschichte und zur Demonstration gegen Orbáns Politik der Ausgrenzung. Mit Hunderttausenden durch die Stadt und über die Donaubrücke zu ziehen – das hat mir sehr viel Energie gegeben für alles, was danach noch kam.
Denn die Rechte von queeren und trans* Menschen werden ja nicht nur in Ungarn angegriffen. Mein Dämpfer des Jahres: dass Deutschland zwar das Selbstbestimmungsgesetz verabschiedet, in dieses Gesetz aber zugleich so viel Misstrauen und Ignoranz eingearbeitet hat. Aufgefallen ist das volle Ausmaß des Desasters erst dieses Jahr, als das Bundesinnenministerium eine Verordnung für die Weitergabe früherer Vornamen vorlegte, die faktisch ein Zwangsouting für trans* Personen vor Behörden bedeutet. Die Angriffe hören nicht auf.
Ähnlich ernüchternd finde ich meine Langzeitrecherchen zu Ausländerbehörden und der Identitätsfeststellung von ausreisepflichtigen Menschen. Ausländerbehörden durchsuchen seit Jahren deren Smartphones, in der Hoffnung, Geflüchtete dadurch eher abschieben zu können. Statt diese sinnlose Schikane zu beenden, verschärfte eine Bundesregierung nach der anderen das Aufenthaltsrecht weiter. Ich habe mich sehr gefreut, dass ich darüber mit einer betroffenen Person sprechen konnte – eine Seltenheit.
Mein Programm fürs kommende Jahr wird entsprechend sein: weiter auf die Menschengruppen zu schauen, die die Rechtsextremen zu ihren Feindbildern machen. Asylsuchende, LGBTQI-Communities. Der Druck auf sie wird nicht abnehmen. Außerdem wird es mit Sicherheit sehr viel um Kinder und ihren Schutz gehen. Politiker*innen lieben es, über Kinderschutz zu sprechen, vor allem dann, wenn sie schlechte Regulierung für das Internet fordern. Mit meinem Kollegen Seb bleiben wir dran an Themen wie Alterskontrollen und Social-Media-Verboten.
Zu Beginn des Jahres war ich nicht sicher, ob ich am Ende ein positives Fazit ziehen kann. Zu düster waren die Aussichten angesichts einer zweiten Amtszeit von Donald Trump und einer schwarz-roten Bundesregierung, die mit markigen Ankündigungen ihre Arbeit aufnahm. Doch auch wenn sich die politische Lage und Stimmung insgesamt deutlich verschärft haben, bin ich alles andere als entmutigt. Denn die vergangenen Monate haben gezeigt, dass es sich lohnt, sich der Law-and-Order-Politik und den Anfeindungen entgegenzustellen.
Was mir allerdings zunehmend Sorge bereitet, ist die Taktung, mit der die Verschärfungen durch die Tür kommen. Gefühlt vergeht kaum ein Tag, an dem nicht in irgendeinem Gesetz ein Passus steckt, der Grund- und Freiheitsrechte einschränkt, den Tech-Konzernen mehr Beinfreiheit schenkt oder die Befugnisse von Geheimdiensten erweitert. Als Frühwarnsystem müssen wir hier auch im kommenden Jahr auf der Hut sein.
Mich persönlich hat 2025 vor allem die Gesundheitsdigitalisierung beschäftigt, insbesondere die elektronische Patientenakte. Sie ist nun überall im Einsatz, trotz weiterhin bestehender Sicherheitslücken, einer unzureichenden Informationspolitik und unnötiger Diskriminierungsrisiken. Für die Bundesregierung ist sie das „größte Digitalisierungsprojekt“ der deutschen Geschichte, für mich ist sie ein Paradebeispiel politischer Verantwortungslosigkeit. Niemand will für die zahlreichen Pannen geradestehen, jeder zeigt mit dem Finger auf den anderen. Ein Armutszeugnis.
Das Thema Gesundheitsdigitalisierung wird mich sicher auch im kommenden Jahr beschäftigen. Denn nach der elektronischen Patientenakte kommt der Europäische Gesundheitsdatenraum. Außerdem sollen die sensiblen Gesundheitsdaten möglichst ungehindert in die (kommerzielle) Forschung fließen. Was kann da schon schiefgehen. Außerdem wird 2026 die ID-Wallet fertig – die digitale Brieftasche für ganz Europa. Digitalminister Karsten Wildberger hat deren Deutschland-Start soeben für den 2. Januar 2027 angekündigt. Auch dieses Vorhaben birgt noch etliche offene Fragen – und Risiken.
Fehlzeiten beim Integrationskurs, Tuberkulose-Untersuchungen, Asylentscheidungen – all das sind Informationen, die im Ausländerzentralregister (AZR) gespeichert werden können. 26 Millionen personenbezogene Datensätze enthalte das AZR derzeit, zu allen Menschen ohne deutsche Staatsangehörigkeit, die mindestens drei Monate in Deutschland leben oder gelebt haben.
Wie viele Daten dort abgelegt werden, hängt davon ab, welchen Status eine Person hat: Geht es um eine Person aus der EU? Dann sind es weniger Informationen. Geht es um Asylantragstellende, sind es besonders viele.
Nach dem Willen der schwarz-roten Bundesregierung sollen es künftig noch wesentlich mehr werden, so steht es in einem Gesetzentwurf zur „Weiterentwicklung der Digitalisierung in der Migrationsverwaltung“ oder auch: Migrationsverwaltungsdigitalisierungsweiterentwicklungsgesetz, MDWG. Auf diesen Entwurf hatte sich das Bundeskabinett am 17. Dezember geeinigt. Damit reiht sich eine weitere Ausdehnung des Riesendatenspeichers in eine Liste fast jährlicher gesetzlicher Aufwüchse ein.
Das AZR soll dem aktuellen Entwurf zufolge unter anderem bald amtliche und nichtamtliche Dokumente zur Identitätsklärung im Volltext enthalten können, wenn eine Person keine amtlichen Ausweisdokumente vorlegen konnte. Damit soll laut Gesetzesbegründung vermieden werden, dass Unterlagen etwa bei einem Zuständigkeitswechsel mehrfach vorgelegt werden müssen. Derartige Dokumente – seien es Heiratsurkunden oder alte Arbeitsverträge – können eine Menge zusätzlicher Informationen enthalten. „Vor einer Speicherung ist sicherzustellen, dass nur diejenigen Angaben enthalten sind, die für die Identitätsklärung erforderlich sind“, heißt es daher in der Gesetzesbegründung.
Der Bundeszuwanderungs- und Integrationsrat (BZI) mahnt in seiner Stellungnahme an, dass unter anderem diese Speicherung „das Risiko einer Übererfassung sensibler Informationen“ berge und fordert eine „klare Zweckbindung, die Begrenzung der Speicherung auf das Notwendige sowie transparente Auskunfts- und Korrekturmöglichkeiten für Betroffene“.
Die Bundesvereinigung der kommunalen Spitzenverbände begrüßt die Regelung zwar, aber bemängelt, dass ungeklärt sei, „welche nichtamtlichen Dokumente als ein Nachweis für die Identität einer Person dienen können sollten“. Es bedürfe hier einer Klarstellung durch das Innenministerium, schreibt die Bundesvereinigung, die die Interessen von Landkreisen, Städten und Kommunen vertritt.
Deutlich ausgeweitet werden soll die Speicherung und Nutzung biometrischer Daten im AZR. Schon heute enthält das AZR Lichtbilder und zu bestimmten Personengruppen auch Fingerabdrücke. Letztere sollen nun standardmäßig gemeinsam mit der Unterschrift einer Person gespeichert werden, wenn damit ein Aufenthaltstitel beantragt wurde.
Damit sollen Behörden diese biometrischen Merkmale wiederholt nutzen dürfen, wenn eine Person einen erneuten elektronischen Aufenthaltstitel beantragt. Das soll verhindern, dass Antragsstellende erneut persönlich vorsprechen müssen. Bei Minderjährigen sollen die Daten bis zu fünf, bei Erwachsenen bis zu sieben Jahre gespeichert werden.
Der BZI äußert Bedenken, „dass mit der geplanten Langzeitspeicherung tiefe Eingriffe in die Persönlichkeitsrechte von Erwachsenen und Minderjährigen einhergehen“. Databund, eine Interessensvertretung mittelständischer IT-Dienstleister für die öffentliche Verwaltung, argumentiert noch deutlicher. Die Speicherung werde „zu einer Ungleichbehandlung von Deutschen und ausländischen Staatsbürgern führen“. Databund schreibt: „Generell sehen wir die Speicherung von hochsensiblen Daten in großen zentralen Registern sehr kritisch.“
Die vorgeworfene Ungleichbehandlung versucht die Bundesregierung in der Gesetzesbegründung zu rechtfertigen. Bei Menschen mit deutscher Staatsangehörigkeit regele das Passgesetz die Ausstellung eines Ausweisdokuments, „dessen Zweck mit der einmaligen Identitätsprüfung und Aushändigung erfüllt ist“. Bei Angehörigen von Drittstaaten müssten hingegen „Identität und Aufenthaltsstatus fortlaufend geprüft“ werden. „Der Vollzug des Aufenthaltsrechts ist strukturell von wiederkehrenden Verwaltungsverfahren geprägt“, so die Bundesregierung weiter.
Zur Identitäts- und Aufenthaltsstatusprüfung sollen die Daten jedoch nicht explizit genutzt werden. Die Speicherung erfolge „ausschließlich zur erneuten Ausstellung eines befristeten elektronischen Aufenthaltstitels“, eine weitere Nutzung sei „ausgeschlossen“.
Diesen Ausschluss hält Databund offenbar für nicht überzeugend. Zum einen führten die wertvollen Daten in einem zentralen Register „zu einem großen Interesse ganz neuer (staatlicher) Angreifer, die aufgrund ihres professionellen Vorgehens auf Dauer kaum fernzuhalten sind“. Zum anderen sei „der Zugriff auf die AZR-Daten für Millionen Nutzer geplant, bei denen kaum zu kontrollieren sein wird, ob diese Personen missbräuchlich Daten abrufen“.
Laut einer Evaluation aus dem Jahr 2024 zu einer früheren AZR-Erweiterung waren damals bereits „16.000 öffentliche Stellen und Organisationen mit mehr als 150.000 Einzelnutzern“ zugriffsberechtigt. 3.056 Stellen waren Mitte 2023 zu einem automatisierten Abruf berechtigt. Das bedeutet: Wer automatisiert Daten aus dem AZR abrufen darf, muss nicht für jede Auskunft einen gesonderten Antrag stellen. Es reicht dann, über eine Schnittstelle die Daten abzurufen. Bei Daten, die über Grunddaten wie Name oder aktuelle Anschrift hinausgehen, muss der Grund der Abfrage vermerkt werden. Missbrauch soll durch eine Protokollierung der Zugriffe in Verbindung mit Stichprobenkontrollen verhindert werden.
Die Zahl der Behörden mit automatisiertem Zugriff dürfte sich gegenüber 2024 mittlerweile weiter erhöht haben und wird sich weiter erhöhen, denn die Voraussetzungen für eine Zulassung zum automatisierten Abruf wurden im vergangenen Jahr weiter gesenkt. Die Teilnahme am automatisierten Verfahren ist für alle dazu berechtigten Behörden wie beispielsweise Polizeien, Arbeits- oder Jugendämter ab dem 1. August 2026 verpflichtend.
Das vorgelegte Gesetz ist nicht das einzige, das Änderungen am AZR-Gesetz vornehmen soll. Bereits im Herbst legte die Bundesregierung einen Entwurf für das GEAS-Anpassungsfolgegesetz vor. Dabei soll das AZR so geändert werden, dass es den Vorgaben aus dem sogenannten Gemeinsamen Europäischen Asylsystem entspricht. Dazu soll ein Personendatensatz künftig auch Informationen zum Status des GEAS-Screenings enthalten. Bei diesem Screening sollen bereits an den EU-Außengrenzen Personen registriert und überprüft werden, damit sie entweder direkt abgewiesen, in ein Asylgrenzverfahren oder ein reguläres Asylverfahren überführt werden können. Gab es kein Screening an einer Außengrenze, muss es im Inland nachgeholt werden.
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
