Die US-Regierung verlangt von allen Teilnehmenden ihres Visa-Waiver-Programms (VWP), eine „Enhanced Border Security Partnership“ (EBSP) abzuschließen. Das VWP ermöglicht Bürger*innen aus derzeit über 40 Ländern – darunter 24 von 27 EU-Mitgliedstaaten – eine visafreie Einreise in die USA für bis zu 90 Tage. Künftig soll dieses Privileg jedoch an neue Bedingungen geknüpft werden: Die USA fordern einen direkten Zugriff auf nationale Polizeidatenbanken mit Fingerabdrücken und Gesichtsbildern von Teilnehmerstaaten.

Von derartigen Abfragen betroffen wären nicht nur Reisende, sondern grundsätzlich alle Personen, deren Daten im Zuständigkeitsbereich von Grenz- und Polizeibehörden der USA verarbeitet werden. Weigern sich Staaten, diese „Grenzpartnerschaft“ einzugehen, sollen sie aus dem VWP ausgeschlossen werden.

Kommission erhält Verhandlungsmandat

Selbst innerhalb der Europäischen Union existiert kein System, das Polizeibehörden anderer Mitgliedstaaten einen unmittelbaren Zugriff auf nationale Datenbanken erlaubt. In Deutschland allein könnten davon fast sechs Millionen Menschen betroffen sein, die im polizeilichen Informationssystem INPOL mit Gesichtsbildern und Fingerabdrücken gespeichert sind. Rund die Hälfte der erfassten Personen sind Asylsuchende oder ausreisepflichtige Personen.

Kurz vor Weihnachten 2025 erteilten die EU-Staaten der Kommission in Brüssel trotzdem das Mandat, über ein Rahmenabkommen mit den USA zu verhandeln. Dieses soll die Grundlinien für die US-Datenabfragen festlegen. Die konkreten technischen, rechtlichen und organisatorischen Details müssen anschließend in bilateralen Umsetzungsabkommen geregelt werden.

Die Verhandlungsposition der EU bleibt jedoch geheim. Auf eine Anfrage nach dem Informationsfreiheitsgesetz verweigerte die Kommission den Zugang zu dem entsprechenden Dokument. Zur Begründung hieß es, eine Freigabe würde „die Position der Europäischen Kommission bei den Verhandlungen mit den USA schwächen“ und „den Schutz der internationalen Beziehungen beeinträchtigen“.

Erhebliche rechtliche Bedenken

Der Fachanwalt für Strafrecht und IT-Recht Jens Ferner bewertet das geplante Rahmenabkommen mit der EU äußerst kritisch. Die vom Europäischen Gerichtshof (EuGH) geforderten Standards – ein im Wesentlichen gleichwertiges Schutzniveau, die Verhältnismäßigkeit von Überwachungsmaßnahmen und effektiver Rechtsschutz – stünden in „deutlichem Spannungsverhältnis zu den in den USA bestehenden Überwachungsbefugnissen“, schreibt Ferner in einem Gastkommentar für das Magazin „Beck Online“.

Ferner verweist auf die „Schrems II“-Entscheidung des EuGH, in der das Gericht das EU-US-Privacy-Shield für ungültig erklärt hatte, weil US-Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien und Betroffene keinen ausreichenden Rechtsschutz genössen. Eine EBSP, die US-Behörden „einen quasi unmittelbaren Online-Zugriff auf biometrische Polizeidaten von Millionen Menschen“ einräume, sei mit dem „tradierten europäischen Daten- und Grundrechtsverständnis“ nicht vereinbar.

Ein unionskonformes Modell müsste mindestens strikte Zweckbindungen vorsehen und sensible Personengruppen wie Zeug*innen, Opfer und Berufsgeheimnisträger ausnehmen, so Ferner. Außerdem müsse eine EBSP am Treffer/Kein-Treffer-Prinzip anknüpfen: Zunächst wird abgefragt, ob ein Datensatz vorhanden ist, danach kann unter engen rechtlichen Voraussetzungen eine Übermittlung beantragt werden. Würden diese Vorgaben nicht eingehalten, sei „mit rechtlichen Auseinandersetzungen vor den Verfassungsgerichten und dem EuGH zu rechnen“.

Berüchtigte US-Behörde ICE könnte Daten nutzen

Der Austausch im EBSP soll auch Personen betreffen, die in „Grenz- und Migrationskontexten“ angetroffen werden. Damit könnten die Daten auch der Einwanderungs- und Zollbehörde ICE zur Verfügung stehen. Unter Präsident Donald Trump wurde diese Behörde massiv ausgebaut. Mit einem zweistelligen Milliarden-Dollar-Budget sind pauschal eine Million Abschiebungen pro Jahr avisiert.

Zum Einsatz kommen dabei unter anderem umstrittene Überwachungssoftware von Palantir sowie weitere fragwürdige IT-Werkzeuge. Ein direkter Zugriff auf europäische Polizeidaten würde diesen Überwachungs- und Abschiebeapparat erheblich stärken. Das hätte Folgen auch für linke politische Aktivist*innen, deren biometrische Daten nach erkennungsdienstlichen Behandlungen ebenfalls in nationalen oder europäischen Systemen gespeichert sind.

Im Herbst hatte die Trump-Administration eine vermeintliche deutsche „Antifa Ost“ auf eine Terrorliste gesetzt. Möglicherweise unter Befolgung damit verbundener Sanktionen kündigte die GLS Bank daraufhin der Solidaritätsorganisation Rote Hilfe ihre Konten. Ein EBSP-Abkommen könnte in diesem Gefüge auch Einzelpersonen bei der US-Reise Repressalien bescheren.

Frist läuft Ende 2026 ab

Bislang hat nach öffentlich bestätigten Informationen lediglich Bahrain ein EBSP-Abkommen mit den USA abgeschlossen. Laut dem Heimatschutzministerium in Washington umfasst es den „automatisierten“ Austausch biometrischer Daten zur Bekämpfung von Terrorismus, organisierter Kriminalität sowie Drogen- und Migrantenschmuggel.

Die EU-Mitgliedstaaten müssen nun entscheiden, ob und unter welchen Bedingungen sie einen solch weitgehenden Datendeal unterzeichnen wollen, um den visafreien Reiseverkehr im Rahmen des Visa-Waiver-Programms fortzuführen – oder daraus auszusteigen. Die von den USA gesetzte Frist endet am 31. Dezember 2026.

Angreifer können Windows- und macOS-PCs über mehrere Sicherheitslücken in Anwendungen von Adobe attackieren. Im schlimmsten Fall kann Schadcode Systeme vollständig kompromittieren. Bislang gibt es keine Berichte zu Attacken.

Mehrere Schwachstellen kennzeichnet der Softwarehersteller als „kritisch“, auch wenn der offizielle CVSS Score die Lücken mit dem Bedrohungsgrad „hoch“ einstuft.

Sicherheitspatches verfügbar

Etwa Adobe Bridge ist über eine Schadcode-Lücke (CVE-2026-21283 „hoch“) attackierbar. Die Basis dafür ist ein von Angreifern über einen nicht näher ausgeführten Weg ausgelöster Speicherfehler (Heap-based Buffer Overflow). Derartige Speicherfehler sind auch in den anderen Anwendungen die Basis, damit Schadcode auf Computer gelangen kann.

In der folgenden Liste finden Admins die gegen mögliche Attacken abgesicherten Ausgaben:

• Bridge 15.1.3 (LTS), 16.0.1 (macOS, Windows)
• ColdFusion 2025 Update 6, ColdFusion 2023 Update 18 (alle Plattformen)
• Dreamweaver 21.7 (macOS, Windows)
• Illustrator 2025 29.8.4, Illustrator 2026 30.1 (macOS, Windows)
• InCopy 21.1, 20.5.1 (macOS, Windows)
• InDesign ID21.1, ID20.5.1 (macOS, Windows)
• Substance 3D Designer 15.0.3 (alle Plattformen)
• Substance 3D Modeler 1.22.5 (alle Plattformen)
• Substance 3D Painter 11.1.2 (alle Plattformen)
• Substance 3D Sampler 5.1.3 (alle Plattformen)
• Substance 3D Stager 3.1.6 (macOS, Windows)

(des)

Seit vergangenem Freitag ist das Bildgenerierungs-Feature von Grok auf der Plattform X zahlenden User*innen vorenthalten. Von Seiten der Plattformbetreiber ist das bisher die einzige Reaktion, gegen die auf X kursierenden sexualisierten Deepfakes vorzugehen. Einzelne Staaten haben X bereits gesperrt. Währenddessen prüfen die EU und nationale Regierungen, auf welchen Rechtswegen sie die Verbreitung der Deepfakes stoppen und gegen die Plattform vorgehen können.

Ein Überblick

Den radikalsten Schritt sind bisher Indonesien und Malaysia gegangen. Seit Samstag ist die Chatbot-Funktion in Indonesien gesperrt. Digitalministerin Meutya Hafid hat sich dabei auf die Verletzung von Menschenrechten, der menschlichen Würde und den Schutz von Menschen im digitalen Raum berufen und auf die strengen Anti-Pornografie-Gesetze verwiesen. Am Sonntag hat auch Malaysia den Chatbot gesperrt. Die Kommunikations- und Multimedia-Kommission begründete die Entscheidung mit dem Missbrauch, den die Nutzung von Grok für explizit sexuelle Inhalte darstellt. Heute hat Malaysia zudem eine Klage gegen X angekündigt.

In Brasilien hat die Behörde für Verbraucherschutz die Regierung aufgefordert, die Nutzung von Grok zu blockieren.

Kanada schließt diesen Schritt aus. Stattdessen prüft die Regierung, ob die Veröffentlichung von Deepfakes auf Grundlage der geplanten Änderungen eines Antidiskriminierungsgesetzes rechtswidrig wäre.

In Australien kündigte die Online-Sicherheitsbehörde eSafety an, die von Grok generierten Deepfakes zu prüfen. Nach dem Online Safety Act sei es eventuell möglich, von X zu verlangen, dass es die Inhalte löscht.

Das IT-Ministerium in Indien hat sich laut Medienberichten schon am 2. Januar mit einer Anordnung an X gewandt. Es forderte die Löschung der Inhalte sowie einen Bericht zu den Maßnahmen innerhalb von 72 Stunden und verwies auf den indischen IT Act und die IT Rules. Der Techkonzern hat auf diese Forderung nicht reagiert.

Großbritannien hat X am 5. Januar zu einer Stellungnahme aufgefordert. Inzwischen hat die zuständige Medienaufsichtsbehörde Ofcom eine Untersuchung eingeleitet und prüft, ob Grok gegen den britischen Online Safety Act verstößt. Die Regierung hat derweil ein Gesetz angekündigt, das die nicht-konsensuelle Erstellung von sexualisierten Bildern und Videos verbieten wird. Zuvor hatte Premierminister Keir Starmer Ofcom die Befugnis zugesprochen, die Plattform zu sperren.

So reagieren US-Politiker

Inzwischen hat in den USA der republikanische Senator Ted Cruz die sexualisierten Deepfakes als Verstoß gegen den von ihm initiierten „Take it Down Act“ bewertet, der Plattformen verpflichtet, nicht-einvernehmlich veröffentlichte sexualisierte Bilder innerhalb von 48 Stunden zu löschen.

Weiterhin haben US-Demokraten mit einem Brief die CEOs von Google und Apple aufgefordert, die Grok-App aus ihren App Stores zu entfernen. Die Abgeordneten begründen ihre Forderungen mit den Servicerichtlinien der Unternehmen.

Google verfolgt strenge Richtlinien, nach denen Grok aus dem App Store ausgeschlossen werden müsste. Bislang ist die App jedoch noch erhältlich. Die Richtlinien von Apple sind hingegen nicht so detailliert. Aber der Konzern ist dafür bekannt, sie streng auszulegen. Auch hier ist die Grok-App noch verfügbar. Bisher hat sich keines der beiden Unternehmen zu den Forderungen geäußert.

In anderen Fällen, so schreiben die US-Abgeordneten, sei das Löschen von Apps ganz einfach gewesen. Beide Unternehmen hatten die Apps ICEBlock und Red Dot aus ihren App Stores entfernt, obwohl diese keine schädigenden oder illegalen Inhalte veröffentlichten. User*innen der Apps haben dort anonym Standorte von Mitarbeiter*innen der US-Abschiebebehörde ICE gepostet.

Es ist wenig überraschend, dass weder X selbst noch die eng mit X verbundene US-Regierung unter Donald Trump die Verletzung von Grund- und Persönlichkeitsrechten beendet. Stattdessen will das US-Verteidigungsministerium den umstrittenen Chatbot nun auch für das US-Militär nutzen, eben weil Grok keine ethischen Grenzen hat.

Die EU ist am Zug

Wenn die EU Groks Deepfakes verbannen möchte, muss sie also selbst gegen X vorgehen. Die EU-Kommissionspräsidentin Ursula von der Leyen sagte, dass die EU den Schutz von Kindern nicht dem Silicon Valley überlassen werde und drohte im Fall von Tatenlosigkeit seitens X weitere Schritte an. Zuvor hatte die EU-Kommission X dazu angehalten, alle Dokumente, die Grok betreffen, bis Ende 2026 aufzubewahren.

EU-Kommissarin Henna Virkkunen sagte, dass X die Situation schnell auflösen müsse. In einer Pressekonferenz der EU-Kommission wurde bekannt gegeben, dass man bereits interne Unterlagen von X zum Komplex erhalten habe, die die Kommission nun auswerte. Bis wann mit einer Reaktion der EU zu rechnen sei, blieb dabei vage. Anstatt ein neues Verfahren zu den Deepfakes zu eröffnen, sei es möglich, die Vorwürfe in ein bereits laufendes Verfahren gegen X einzubeziehen, das sich unter anderem mit möglicher Wahlmanipulation beschäftigt.

Die nationalen Behörden der EU-Mitgliedsstaaten sind im Fall von X nicht zuständig, sondern die EU-Kommission, da X als sehr große Online-Plattform in ihre Verantwortung fällt.

So lassen sich Deepfakes mit dem Digital Services Act bekämpfen

Sollte die EU-Kommission weitere Schritte einleiten, passiert das voraussichtlich auf Grundlage des Digital Services Act (DSA). Nach Einschätzung des Zentrums für Digitalrechte bietet der DSA zwei Möglichkeiten für die EU-Kommission, die Veröffentlichung der Deepfakes von Grok zu stoppen.

Option 1: „Normaler“ DSA-Verstoß. Netzsperren bzw. „vorübergehende Aussetzungen“ sind nur unter strengen Voraussetzungen und nach Verlauf eines mehrstufigen Verfahrens möglich. Erst danach – wenn X währenddessen nicht kooperiert hat – wäre eine vierwöchige Sperre der Plattform möglich. Die Entscheidung würde ein Gericht in Dublin treffen, da X dort seinen europäischen Hauptsitz hat. Lehnt das Gericht eine Netzsperre ab, wäre voraussichtlich der Rechtsweg bis zum europäischen Gerichtshof frei.

Option 2: Eilverfahren der EU-Kommission. Da sich das Standardverfahren nach einem DSA-Verstoß über Wochen, Monate bis Jahre strecken kann, bewertet das Zentrum für Digitalrechte und Demokratie ein Eilverfahren als aussichtsreicher. Nach Art. 70 DSA kann die EU-Kommission einstweilige Maßnahmen gegen Online-Plattform anordnen, wenn die „Gefahr einer schwerwiegenden Schädigung vorliegt“. Eine Netzsperre wäre über diesen Weg nicht möglich. Als einstweilige Maßnahme wäre aber vorstellbar, dass X dafür sorgen muss, dass Grok keine Bilder in sexualisierten Kontexten mehr generiert und verbreitet.

Einstweilige Maßnahmen können auch Bußgelder umfassen. Die EU-Kommission könnte Geldstrafen bis zu einer Höhe von einem Prozent des weltweiten Jahresumsatzes verhängen, sollte X nicht kooperieren.

Zusätzliche Handhabe ist in Aussicht

Der Artikel 113 des europäischen AI Act sieht eine Kennzeichnungspflicht für Deepfakes vor. Sollte dieser wie vorgesehen im August 2026 Inkrafttreten, könnte auf dieser Rechtsgrundlage gegen bereits kursierende Deepfakes vorgegangen werden.

Auch die europäische Richtlinie zu Gewalt gegen Frauen könnte in solchen Fällen greifen. Die Richtlinie umfasst explizite Regelungen zum Umgang mit sexualisierten Deepfakes. Allerdings müssen sowohl EU-Rat als auch Parlament noch abstimmen, bevor die Mitgliedstaaten die Richtlinien innerhalb von drei Jahren auf nationaler Ebene umsetzen müssen. Die neuen Regelungen dürften wohl erst ab 2027 greifen.