Connect with us

Datenschutz & Sicherheit

Psychisch-Kranken-Gesetz in Niedersachsen: Gefährlich per Verwaltungsvorschrift


Jedes Jahr sind Millionen Menschen in Deutschland von einer psychischen Erkrankung betroffen. Allein 4,3 Millionen antragspflichtige Einzel-Psychotherapien meldete das Zentralinstitut für die kassenärztliche Versorgung im Jahr 2023. Im Jahr 2024 wurden mehr als 850.000 Menschen in psychiatrischen und psychosomatischen Kliniken behandelt. Der Großteil der Betroffenen tut das freiwillig.

Eine bundesweite Übersicht, wie viele Menschen hingegen gegen ihren Willen in eine Psychiatrie eingewiesen werden, gibt es nicht. Eine Zwangseinweisung ist nur unter engen Voraussetzungen möglich. Es muss beispielsweise die akute Gefahr bestehen, dass eine Person sonst sich selbst oder andere gefährden würde. Den Rahmen für sogenannte öffentlich-rechtliche Unterbringungen geben die Länder in ihren Psychisch-Kranken-Gesetzen (PsychKG) vor. Die regeln, wann eine unfreiwillige Unterbringung möglich ist, wie sie dokumentiert wird und ob Zahlen dazu öffentlich verfügbar sein sollen.

An einem neuen PsychKG arbeitet derzeit das Land Niedersachsen. Es soll dazu führen, dass unter anderem Polizei und Kliniken leichter Daten austauschen können. Der dortige Sozialminister Andreas Philippi (SPD) kündigte es als Reaktion auf einen Messerangriff am Hamburger Hauptbahnhof im Mai 2025 an. Damals verletzte eine Frau mehrere Menschen mit einem Messer, als sie anscheinend wahllos auf Umstehende einstach. Kurz vor der Tat war die Frau aus einer Psychiatrie entlassen worden. Dort habe es zum Zeitpunkt der Entlassung keinen medizinischen Befund gegeben, der eine weitere zwangsweise Unterbringung gerechtfertigt hätte.

Bundesweite Diskussion über psychisch erkrankte Personen

Diese und andere Taten mutmaßlich psychisch erkrankter Täter:innen führten zu einer bundesweiten Diskussion. Im Dezember wollen die Innenminister:innen erneut über den Umgang mit psychisch erkrankten Personen beraten. Dann soll die Bund-Länder-Arbeitsgruppe „Früherkennung und Bedrohungsmanagement“ erneut berichten. Es geht dabei darum, wie mögliche Gewalttaten durch psychisch erkrankte Personen verhindert werden können und wie Behörden dazu Daten austauschen können.

Im Rahmen dieser Diskussion erschienen Menschen mit bestimmten psychischen Erkrankungen politisch und medial immer wieder als Sicherheitsrisiko. Grundsätzlich geht jedoch von psychisch Erkrankten kein höheres Gewaltrisiko aus, vielmehr sind sie selbst überdurchnittlich häufig Opfer von Straftaten. Statistisch erhöhte Werte gibt es bei bestimmten Konstellationen, etwa bei gleichzeitigem Substanzmissbrauch oder bei nicht angemessener Behandlung psychotischer Erkrankungen. Gewichtige Einflüsse auf Gewaltpotenziale von Menschen liegen in soziodemografischen und sozioökonomischen Faktoren, unabhängig von einer möglichen Erkrankung. Doch gerade oftmals intensive mediale Berichterstattung mit Mutmaßungen zu psychischen Erkrankungen von Täter:innen trägt zu einer verzerrten Gefahrenwahrnehmung bei.

Und sie führt zu zahlreichen politischen Forderungen und Aktionen – von besserer psychiatrischer und sozialer Versorgung über Register für psychisch erkrankte Gewalttäter:innen bis zur Einzelüberprüfung bereits polizeilich aufgefallener Menschen.

Ein Fall für die Polizei

Auch Niedersachsen, das Nachbarbundesland Hamburgs, wollte offenbar nicht auf die nächste Runde der Innenminister:innen warten. Am 4. November einigte sich die Landesregierung auf ein neues niedersächsisches Psychisch-Kranken-Gesetz (NPsychKG), zu dem derzeit Verbände Stellung nehmen können und der bald im Landtag besprochen werden soll.


Bild von einem Plakat. Daneben Text: Kunstdrucke kaufen.

Was auffällt: In der vorgelegten, vollständigen Neufassung des NPsychKG spielt die Polizei eine wesentlich größere Rolle als bisher. Denn Kliniken, in denen sich Menschen mit einer Zwangseinweisung befinden, sollen künftig den zuständigen sozialpsychiatrischen Dienst und örtliche Polizeibehörden informieren, „sofern der betroffene Mensch festgelegte Merkmale aufweist, die einen Verdacht für die Gefährdung Dritter vermuten lassen“. Damit dürfte spätestens bei einer Entlassung nicht mehr nur die Frage im Vordergrund stehen, wie die weitere Genesung einer Person unterstützt werden kann. Sondern immer auch, ob sie ein Fall für die Polizei werden könnte.

Doch auch andersherum sieht der Entwurf für ein neues NPsychKG eine mögliche Datenübermittlung vor, nämlich von der Polizei an den sozialpsychiatrischen Dienst und die entsprechende Klinik. Das soll insbesondere dann passieren, wenn eine Person aufgrund einer Fremdgefährdung und im Rahmen eines polizeilichen Vorganges zwangseingewiesen wird. Stellt eine der drei involvierten Stellen dann ein „erhebliches Fremdgefährdungspotenzial“ fest, müssten sich nach dem Entwurf diese drei und „die Wohnsitzgemeinde“ zu einer Fallkonferenz treffen und über die betroffene Person diskutieren.

Droht ein Melderegister für psychische Erkrankungen?

Niedersachsen ist mit dieser Verschiebung von medizinischer Hilfe hin zu polizeilicher Einbindung nicht allein. Eine ähnliche Gesetzesänderung diskutiert derzeit auch der hessische Landtag. Ein Unterschied: In Niedersachsen soll die Einschätzung des mutmaßlichen Gewaltrisikos anhand von Merkmalen ermittelt werden, die das zuständige Ministerium in einer öffentlichen Verwaltungsvorschrift festlegt. Hessen verweist hingegen auf eine medizinische Einschätzung bei der Entlassung.

Verbände wie die hessische Landesarbeitsgemeinschaft der Deutschen Gesellschaft für Soziale Psychiatrie kritisierten die geplante Datenweitergabe in Hessen als Stigmatisierung und einen „für die sozialpsychiatrische Arbeit erschwerenden Faktor“. Der hessische Städtetag lehnt die vorgesehene Änderung ebenfalls ab, da er die Entlassung „von einem Schritt in die Autonomie und Genesung zu einem potenziellen Sicherheitsrisiko“ mache, „das staatlicher Überwachung bedarf“.

Zum vorliegenden Entwurf in Niedersachsen äußert sich gegenüber netzpolitik.org die Deutsche Gesellschaft für Psychiatrie und Psychotherapie, Psychosomatik und Nervenheilkunde (DGPPN). Euphrosyne Gouzoulis-Mayfrank, Präsidentin der DGPPN, schreibt auf Anfrage zur Datenübermittlung an die Polizei: „Wir sehen hier die Gefahr, dass Niedersachsen durch die Hintertür ein Melderegister für psychische Erkrankungen einführt.“ Ein solches hatte unter anderem CDU-Generalsekretär Carsten Linnemann für psychisch erkrankte Gewalttäter:innen gefordert.

Die Regelung verletze „sowohl die Persönlichkeitsrechte als auch das Recht auf informationelle Selbstbestimmung“, so Gouzoulis-Mayfrank. „Es ist unklar, was diese bestimmten, festgelegten Merkmale sind. Zudem bleibt im aktuellen Entwurf offen, zu welchem Zweck die Daten weitergegeben werden sollen oder wer sie erfragen darf. Demnach ist die Verhältnismäßigkeit dieser Maßnahmen zumindest fraglich.“

„Der öffentlichen Kontrolle entzogen“

Dass die entsprechenden Merkmale für eine vermeintliche Gefährlichkeit in einer Verwaltungsvorschrift festgelegt sein sollen, kritisiert die DGPPN auch. „So ist der Vorgang der parlamentarischen und damit der öffentlichen Kontrolle entzogen. Wir halten das für verfassungsrechtlich bedenklich“, so die Präsidentin des Verbands.

Bedenklich ist auch der Eindruck, der durch eine solche Gesetzgebung entsteht. Dem Titel des Gesetzes nach geht es um die „Regelung von Hilfen für Personen mit psychischen Erkrankungen in Niedersachsen“. Durch die Änderungen drängt sich jedoch der Eindruck auf, psychisch erkrankte Menschen würden zunehmend vor allem als Sicherheitsrisiko und nicht vorrangig als unterstützungsbedürftige Personen gesehen.

Das zeigt auch eine Veränderung in NPsychKG, die Voraussetzungen für eine unfreiwillige Unterbringung in einer psychiatrischen Klinik formuliert. Bislang – so ist es im Großteil der Landesgesetze zu Zwangseinweisungen und -maßnahmen geregelt – können Menschen gegen ihren erklärten Willen in einer Klinik eingewiesen werden, wenn von ihnen eine akute Gefahr für sich selbst oder andere ausgeht.

Niedersachsen will Menschen jedoch auch bei einer sogenannten Dauergefahr für Dritte unterbringen können, „bei der der Eintritt des schädigenden Ereignisses zwar unvorhersehbar, aber wegen besonderer Umstände des Einzelfalls jederzeit zu erwarten ist“.

Kein generell erhöhtes Gewaltpotenzial

Gegen diese Aufweichung des Gefahrbegriffs hat sich die Psychotherapeutenkammer Niedersachsen in einer Resolution klar positioniert. Sie setzt sich „für eine evidenzbasierte und wissenschaftlich fundierte Diskussion rund um das Thema Gewalt im Kontext psychischer Erkrankungen ein“. Und die ergibt bei psychisch erkrankten Personen eben kein generell erhöhtes Gewaltpotenzial.

Doch auch in den sehr seltenen Fällen, in denen eine psychische Erkrankung und ein erhöhtes Gewaltpotenzial kausal zusammenhängen, wäre eine polizeiliche Erfassung betroffener Personen nicht die Lösung. Stattdessen könnte ein möglicher Datenaustausch zwischen Behandelnden und Behörden das Vertrauen von Hilfesuchenden beschädigen und sie dadurch abschrecken, sich Hilfe zu suchen. Die Folge wäre ein erhöhtes Risiko für die gesamte Gesellschaft, wenn schwere Erkrankungen unbehandelt bleiben.

„Das beste Mittel der Gewaltprävention ist die konsequente Therapie psychischer Erkrankungen.“ Zu diesem Ergebnis kommt ein Positionspapier der DGPPN aus dem Juni 2025. Der Verband fordert daher unter anderem, vor allem niedrigschwellige Behandlungsangebote für erkrankte Personen zu erweitern, soziale Integration und Teilhabe zu fördern sowie sozialpsychiatrische Dienste auszubauen.

Dazu finden sich Passagen im geplanten Gesetz, das besagt, dass Zwangseinweisungen nur dann erfolgen sollen, „wenn Hilfen keinen Erfolg versprechen“. In Niedersachsen sollen die sozialpsychiatrischen Dienste künftig etwa rund um die Uhr erreichbar sein, auch außerhalb regulärer Öffnungszeiten. Nach einem stationären Aufenthalt sollen sie ambulante Hilfen anbieten, um Betroffenen bei Bedarf weitere Unterstützung zukommen lassen zu können.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Was plant die EU-Kommission bei KI und Datenschutz?


Drei Personen in formellen Setting sprechen und scherzen miteinander
Offenbar auf einer Linie: Ursula von der Leyen, Emmanuel Macron und Friedrich Merz Ende Oktober in Brüssel. – Alle Rechte vorbehalten IMAGO / Anadolu Agency

Offiziell will die EU-Kommission mit ihrem gestern vorgestellten Omnibus-Paket eine Reihe europäischer Digitalgesetze in Einklang bringen. Das soll nach eigener Aussage vor allem kleinen und mittelständischen Unternehmen sowie europäischen Start-ups helfen.

Durch Bürokratieabbau, Vereinfachung der EU-Rechtsvorschriften und einen besseren Datenzugang „schaffen wir Raum für Innovationen und deren Vermarktung in Europa“, sagt die zuständige Kommissionsvizepräsidentin Henna Virkkunen. „Dies tun wir auf europäische Art und Weise: indem wir sicherstellen, dass die Grundrechte der Nutzer:innen in vollem Umfang geschützt bleiben.“

Vor allem die deutsche und die französische Regierung haben sich jüngst für weitgehende Änderungen und Deregulierung eingesetzt. Aber auch die US-Regierung hat in den vergangenen Monaten den Druck auf die EU und ihre Mitgliedsländer erhöht, die europäischen Standards bei den Datenschutz- und Verbraucherschutzrechten zu senken.

Wir beantworten die zentralen Fragen zum „Digitalen Omnibus“: Welche kritischen Veränderungen strebt die Kommission bei der Regulierung von sogenannter Künstlicher Intelligenz an? Inwiefern will sie den Datenschutz aufweichen? Und verschaffen weniger Cookie-Banner den Nutzer:innen mehr Rechte?

Was plant die EU-Kommission mit Blick auf die KI-Verordnung?

  • Die Kommission will die Umsetzung eines Teils der KI-Verordnung um fast eineinhalb Jahre nach hinten schieben. Das betrifft vor allem die sogenannten Hochrisiko-Systeme. Konkret geht es um zwei Fristen.
  • Erstens beim Einsatz bestimmter KI-Anwendungen, wie sie im Anhang III der KI-Verordnung definiert sind. Das betrifft Systeme, die etwa in Beschäftigungsverhältnissen, bei der Migrationskontrolle oder bei biometrischer Videoüberwachung zum Einsatz kommen.
    • Die ursprüngliche Frist für die Umsetzung dieser Regeln war der 2. August 2026. Nun sollen Unternehmen sechs Monate mehr Zeit erhalten, die hier genannten Anforderungen umzusetzen.
    • Zunächst aber muss die Kommission die hierfür erforderlichen Standards finalisieren. Das muss sie nun bis Juni 2027 tun, damit die Regeln, wie von der Kommission angekündigt, ab Dezember 2027 gelten können.
  • Zweitens verschieben sich die Umsetzungsfristen für hochriskante KI-Systeme etwa im Medizin-, Justiz- oder Maschinenbereich. Deren Vorgaben finden sich in Anhang I der KI-Verordnung. Solche Anbieter sollen die Vorgaben sogar erst ab Dezember 2028 einhalten.
  • In beiden Fällen will die Kommission die Regulierung offenkundig verzögern, damit europäische Anbieter im KI-Wettlauf aufholen können. Ebendies hatten Vertreter:innen der deutschen und der französischen Regierung auch auf dem „Gipfel zur Europäischen Digitalen Souveränität“ betont. Dabei geht die Kommission mit ihrem Vorschlag noch über die Forderungen der deutschen und französischen Regierung hinaus. Sie hatten eine Verzögerung von 12 Monaten gefordert. Als Begründung dafür gab Henna Virkkunen an, dass die Kommission die notwendigen Standards noch nicht ausgearbeitet habe.

Warum sollen KI-Systeme mit personenbezogenen Daten ohne Einwilligung trainiert werden dürfen?

  • In den vergangenen Jahren gab es wiederholt einen Aufschrei, wenn Unternehmen wie Meta oder LinkedIn entschieden, die Daten ihrer Nutzer:innen für das Training von KI-Modellen zu nutzen, ohne die Einwilligung ihrer Nutzer:innen einzuholen. Die Kommission will klarstellen, dass dies rechtmäßig ist.
  • Die Datenschutzgrundverordnung (DSGVO) sieht unterschiedliche Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten vor. Neben der Einwilligung, die Nutzer:innen den stärksten Schutz bieten soll, gibt es zum Beispiel auch das sogenannte berechtigte Interesse. Datenverarbeiter:innen müssen hierbei in einer Abwägung zu dem Schluss kommen, dass ihre Interessen die der Nutzer:innen überwiegen, müssen diesen aber eine Widerspruchsmöglichkeit anbieten.
  • Genau das haben Meta, LinkedIn und Co. getan – und die Widerspruchsmöglichkeit dabei so umständlich gestaltet, dass sie möglichst wenige Leute nutzen können.
  • Dagegen hatte die Verbraucherzentrale NRW mit einem Eilantrag beim Oberlandesgericht Köln geklagt und verloren. Zuvor hatte bereits der Europäische Datenschutzausschuss den Weg für KI-Training auf Basis des berechtigten Interesses geebnet.
  • Die EU-Kommission will diese Lesart nun gesetzlich festschreiben. Zum Schutz der Nutzer:innen soll es Informations- und Widerspruchsmöglichkeiten geben.
  • Das Problem: Einige Datenschutzexpert:innen kritisieren das „legitime Interesse“ als Rechtsgrundlage schon seit langem, unter anderem, weil die Risiken nicht absehbar seien. KI-Firmen könnten in der Regel nicht sagen, wessen Daten verarbeitet werden und ob dabei besonders geschützte sensible Daten eingeflossen seien, schrieb etwa Jura-Professorin Paulina Jo Pesch in einem Gastbeitrag auf netzpolitik.org.
  • Die EU-Kommission begründet den Freifahrtschein für das Training und den Betrieb von KI-Modellen damit, dass Europa im KI-Wettrennen aufholen soll und europäischen Firmen mehr Innovationen ermöglicht werden müsse. Der KI-Markt wird jedoch von großen Tech-Firmen aus den USA dominiert, sodass vor allem diese von dem Schritt profitieren dürften. Auf Nachfrage bei einer Pressekonferenz am Mittwoch konnte die Kommission nicht erklären, wie die Maßnahme europäischen Unternehmen beim Aufholen helfen soll.

Auf Crash-Kurs mit digitalen Grundrechten

Inwiefern will die Kommission die Datenschutzgrundverordnung einschränken?

  • Die Kommission will pseudonymisierte Daten überwiegend nicht mehr als personenbezogene Daten definieren und vom Schutz durch die DSGVO ausnehmen. Solche Ausnahmen soll es künftig etwa dann geben, wenn es unwahrscheinlich ist, dass der Datenverarbeiter eine betroffene Person über ihre Daten identifizieren kann.
  • Pseudonymisierung meint in der Regel, dass Daten keine direkten Identifikationsmerkmale wie den Namen oder die Telefonnummer einer Person enthalten. Stattdessen werden Pseudonyme vergeben, etwa individuelle IDs.
  • Das Problem: Anders als bei einer Anonymisierung ist es bei der Pseudonymisierung oft leicht möglich, die betroffene Person zu re-identifizieren. Wir haben das erst jüngst in der Databroker-Files-Recherche vorgeführt, bei der wir von Datenhändlern kostenlos Millionen Standortdaten aus Belgien erhielten. Die Daten enthielten keine Namen, sondern waren lediglich pseudonymen Werbe-IDs zugeordnet. So konnten wir die einzelnen Standorte zu Bewegungsprofilen zusammensetzen und mit einfachen Mitteln hochrangiges Personal der Europäischen Union identifizieren und ausspionieren.
  • Die EU-Kommission beruft sich bei ihrem Vorschlag auf ein Urteil des Europäischen Gerichtshofs. Dieser hatte die Definition personenbezogener Daten in der Vergangenheit mehrfach weit ausgelegt. Im September 2025 entschied er erstmalig, dass Pseudonymisierung dazu führen kann, dass diese Definition, was personenbezogene Daten sind, enger gefasst wird.
  • Kritiker:innen wenden ein, dass die Kommission mit ihrem Vorschlag weit über das Urteil des EuGH hinausgeht und zudem vorherige Rechtsprechung zur weiten Auslegung des Personenbezuges ignoriert.
  • Die Datenschutzorganisation noyb kritisiert zudem, dass der vorgeschlagene „subjektive Ansatz“, bei dem von Fall zu Fall entschieden wird, ob pseudonymisierte Daten personenbezogen sind, zu Chaos führen und Datenschutz verhindern werde. Das sei wie ein Waffengesetz, das nur dann gelte, wenn der Besitzer einer Waffe freiwillig sage, dass er damit jemanden erschießen wolle. Es drohten deshalb endlose Debatten darüber, was die tatsächlichen Möglichkeiten und Absichten eines Unternehmens zur Re-Identifikation sein könnten. Die DSGVO wäre dann kaum noch durchsetzbar.
  • Auch die Fraktionen der Sozialdemokraten, Liberalen und Grünen im Europaparlament warnten vor der Änderung. „Diese Definition schafft erhebliche Rechtsunsicherheit und große Lücken für Unternehmen und würde den Anwendungsbereich der Verordnung drastisch einschränken. Es stellt sich die Frage, ob die Verordnung dann überhaupt noch Adressaten hätte“, schrieben etwa führende sozialdemokratische Abgeordnete.

Was schlägt die Kommission zu Cookies vor?

  • Cookie-Banner gelten als Symbol für den gescheiterten Datenschutz im Netz. Unternehmen dürfen das Online-Verhalten von Menschen eigentlich nur tracken, wenn diese freiwillig und informiert zugestimmt haben. Cookie-Banner lassen Nutzer:innen aber oft weder eine freie Wahl, noch informieren sie sie ausreichend über das Tracking. Dabei kann eine Einwilligung hier weitgehende Folgen haben, denn Tracking-Firmen sehen sie als Freifahrtschein, um uns komplett zu durchleuchten, in Kategorien zu stecken und unsere Daten an Databroker zu verschleudern.
  • Die Kommission will der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden begegnen und „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.
  • Konkret bedeutet das: Browser, Apps, Betriebssysteme oder Einwilligungsmanager sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen.
  • Website-Anbieter sollen rechtlich verpflichtet werden, diese Signale zu akzeptieren und maximal alle sechs Monate erneut nachzufragen, ob man nicht doch Tracking-Cookies akzeptieren möchte.
  • Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.
  • Die Kommission schlägt zudem vor, dass die Mitgliedsstaaten diese Regeln durch nationale Gesetze aushebeln können.

Warum sollen Unternehmen aus Sicherheitsgründen auf unsere Geräte zugreifen dürfen?

  • Technisch gesehen geht es bei Cookies darum, dass andere (kleine) Dateien auf unseren Rechnern und Telefonen speichern und auslesen dürfen. Dieser Zugriff auf den Speicher kann auch anderen Zwecken als Werbe-Tracking dienen. Für einige davon will die EU-Kommission eine Art Freifahrtschein ausstellen, etwa für das Erstellen von Besucherstatistiken, für das Bereitstellen von angefragten Diensten oder für Sicherheitszwecke.
  • Es wäre dann klargestellt, dass es beim Setzen von Cookies oder anderweitigem Zugriff auf den Gerätespeicher für diese Zwecke keine vorherige Einwilligung braucht.
  • Die Datenschutzorganisation noyb sieht vor allem die weitgehenden Befugnisse für Sicherheitszwecke kritisch, weil nicht klar genug definiert ist, was damit gemeint ist und weil Unternehmen Sicherheitsgründe vorschieben könnten: „Während die allgemeine Richtung der Änderungen verständlich ist, ist die Formulierung extrem freizügig und würde auch exzessive „Durchsuchungen“ von Nutzergeräten zu (winzigen) Sicherheitszwecken erlauben.“

Wie sollen Betroffenenrechte eingeschränkt werden?

  • Auch eine zentrale Errungenschaft der DSGVO kommt unter Druck: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

Kehrtwende für die „Innovationsführerschaft“

Wie fallen die Reaktionen aus?

  • European Digital Rights (EDRi), die Dachorganisation europäischer Digital-NGOs, lässt kein gutes Haar am Vorschlag der EU-Kommission. Dieser berge die Gefahr, ein „über Jahrzehnte hinweg mühsam aufgebautes regelbasiertes System zu zerstören“. Dadurch würden „die Grundlagen von Menschenrechten und der Digitalpolitik in der EU gefährdet“.
  • Auch der Datenschutzexperte Max Schrems und seine Organisation noyb bekräftigen ihre Kritik an den Plänen. Sie warnen: Die EU-Kommission wolle „Kernprinzipien der DSGVO zerstören“.
  • Vom deutschen Verbraucherzentrale Bundesverband kommt ebenfalls Kritik. „Statt unter dem Deckmantel von Entbürokratisierung Verbraucherschutz und Grundrechte abzubauen, muss die EU für klare Regeln sorgen und gleichzeitig das bestehende Schutzniveau erhalten“, sagt Verbandsvorständin Ramona Pop. „Mit ihren Plänen setzt die EU jedoch das Vertrauen der Verbraucherinnen und Verbraucher aufs Spiel.“
  • Industrieverbände zeigen sich hingegen eher erfreut – sowohl über den deutsch-französischen Vorstoß in dieser Woche als auch über die Gesetzesvorschläge der Kommission. Der Bundesverband Digitale Wirtschaft etwa befürchtet allerdings auch neue Komplexität statt Vereinfachung.
  • Und der Branchenverband Bitkom e. V. verlangt, „mehr Mut, Bürokratie und Überregulierung drastisch zu reduzieren“. Zugleich fordern Bitkom und der Verband der Automobilwirtschaft, die DSGVO grundsätzlich zu überarbeiten.

Was hat die Kommission auf den letzten Metern gestrichen?

  • Nicht mehr enthalten ist ein Vorschlag, Online-Tracking auf Basis anderer Rechtsgrundlagen als der Einwilligung zu ermöglichen. Dies hätte bedeutet, dass Tracking-Firmen das Online-Verhalten von Menschen auch ohne Einwilligung auf Basis ihres „berechtigten Interesses“ hätten rechtfertigen können.
  • Der geleakte Zwischenentwurf sah vor, dass die Vorgaben des Artikel 9 der Datenschutzgrundverordnung aufgeweicht werden. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Diese sensiblen Daten hätten enger definiert werden sollen. Besonders geschützt wären dann nur noch jene Daten gewesen, die die genannten Informationen explizit offenbaren. Das ist nun offenbar erst einmal vom Tisch.

Wie geht’s jetzt weiter?

  • Der Omnibus nimmt nun den normalen Weg der EU-Gesetzgebung. Die Vorschläge der Kommission werden also unter den 27 EU-Staaten im Rat sowie im Europäischen Parlament diskutiert. Die einzelnen Institutionen kommen zu eigenen Positionen und müssen sich im Anschluss im sogenannten Trilog-Verfahren einigen.
  • Die EU-Kommission macht bei ihren Vereinfachungsvorhaben allerdings ordentlich Druck. Statt wie üblich Jahre soll die Beratung am besten nur wenige Monate in Anspruch nehmen.
  • Im Parlament wird bereits Kritik am digitalen Omnibus laut. So haben Sozialdemokraten und Grüne bereits angekündigt, gegen die Aushöhlung des Datenschutzes zu stimmen. Nach der gestrigen Vorstellung der Vorschläge positionierte sich auch die Linke dagegen.
  • Allerdings könnte die konservative EVP-Fraktion erneut mit Stimmen der extremen Rechten wie bereits beim ersten Omnibus-Paket am 13. November eine Mehrheit bilden und auch dieses Gesetzespaket durchwinken.



Source link

Weiterlesen

Datenschutz & Sicherheit

Wie Medien aus Angst vor Komplexität eine Debatte verzerren


Das Digitalpaket der EU, auch digitaler Omnibus genannt, verschlechtert die Rechte von Bürger:innen auf verschiedenen Ebenen. Es beschneidet Auskunftsansprüche, schiebt dringend erforderliche KI-Regulierung auf, schränkt den Anwendungsbereich der Datenschutzgrundverordnung ein und baut gleichzeitig aus, was Unternehmen als „berechtigtes Interesse“ bei der Datennutzung erklären können. Zum Beispiel die Nutzung unserer persönlichen Daten für KI-Systeme ohne Einwilligung.

Und ja, die Kommission will auch die nervigen Cookie-Banner weniger nervig machen. Wer sich gestern in deutschen Medien zu dem Thema informieren wollte, konnte oftmals den Eindruck bekommen, dass es bei diesem großen Paket nur um diese eine Sache geht. Die Tagesschau etwa titelte: „EU will Cookie-Klicks im Internet reduzieren“.

Das ist ja toll, die EU hilft uns, wie beim Mobilfunk-Roaming. Super! Toller, schöner Omnibus!

Grob verzerrt dank dpa

Ursprung dieses positiven Framings des Gesetzespaketes scheint eine Agenturmeldung der dpa zu sein, denn Aufmachung, Aufbau und Einordnung ähneln sich in vielen Artikeln zum Thema, unter anderem beim Spiegel, MDR, der Zeit, Bild.de, Web.de oder 20min.ch.

In einem dpa-Video zum Thema wird gar suggeriert, dass sich die Kritik der Datenschützer gegen die neuen Cookie-Regeln richte. Diese seien ein Einknicken vor der Tech-Lobby, heißt es dort. Hier wird die Gesamtkritik an zahlreichen Maßnahmen des Digitalpaketes als ausgerechnet gegen den von Bürgern positiv wahrgenommenen Teil des Pakets gerichtet dargestellt. Eine grobe Verzerrung der Kritik, ausgelöst durch Verkürzung und Komplexitätsreduktion.

Die dpa und mit ihr alle Medien, die die Meldung wenig bearbeitet übernommen haben, sind damit auch einem Spin der EU-Kommission auf den Leim gegangen: Die hatte in den vergangenen Tagen stets behauptet, ihre Pläne würden die eigene KI- und Datenschutzregulierung gar nicht schwächen. Gleichzeitig stellt sie in ihrer Kommunikation ziemlich klug die Vorschläge zu Cookie-Bannern nach vorne.

Traut den Menschen doch mal etwas zu!

Nun sind die Cookie-Banner tatsächlich Teil des Gesetzespaketes, und sicherlich könnte man die neuen Cookie-Regeln als nicht weit genug gehend kritisieren. Oder nachfragen, warum ausgerechnet Medien als große Treiber der Cookie-Flut von der neuen Regel ausgenommen werden sollen.

Der Fokus der Kritik von Daten- und Verbraucherschützern am Digitalen Omnibus war aber ein komplett anderer. Sie sehen Grundprinzipien des Datenschutzes in Gefahr. Cookies fanden dort nur am Rande statt. Doch das ist bei dieser Art der Berichterstattung egal, denn die Cookie-Banner sind eben der Inhalt des Omnibusses, der den Leser:innen am bekanntesten ist. Und dann bekommt der Bauer eben genau das, was er immer schon frisst.

So eine Herangehensweise täuscht über das gesamte Paket und dessen Gefahren hinweg. An diesem Beispiel zeigt sich auch, dass viele Medien den Leser:innen einfach zu wenig Komplexität, Details und Erklärungen zutrauen. Alles muss easy peasy widerstandslos reinballern statt konkret und komplex im Kopf anzukommen. Der Leser darf nicht ins Nachdenken kommen oder herausgefordert werden, sondern wird seicht bespielt. Schade!

Den Leser:innen hilft das natürlich nicht, dass ihnen kaum mehr als der Cookie-Banner zugetraut wird – mal ganz abgesehen davon, dass bei dieser Darstellung fälschlicherweise in den Köpfen hängen bleibt, dass das EU-Paket eigentlich doch ganz gut sei und die nervigen Datenschützer das irgendwie bremsen wollen. Und das ist dann eben grob daneben.



Source link

Weiterlesen

Datenschutz & Sicherheit

Bulletproof Hosting Provider im Visier der Strafverfolger


In der vergangenen Woche gelang der niederländischen Polizei ein Schlag gegen einen Bulletproof Hosting Provider (BPH), zahlreiche Server konnte sie beschlagnahmen. Die US-amerikanische IT-Sicherheitsbehörde CISA liefert zudem mit internationalen Partnern Hinweise, wie sich die Risiken durch BPH abwehren lassen.

Weiterlesen nach der Anzeige

Bereits in der vergangenen Woche konnte die niederländische Polizei im Rahmen von Ermittlungen gegen ein betrügerisches Hosting-Unternehmen tausende Server beschlagnahmen, wie sie auf ihrer Webseite mitteilt. Der Hoster wurde Polizeiinformationen zufolge ausschließlich für kriminelle Tätigkeiten genutzt – seit 2022 war er in mehr als 80 Ermittlungen zu Cybercrime, auch auf internationaler Ebene, verwickelt.

Der betroffene Bulletproof Hoster warb damit, absolut sicher zu sein und vollständige Anonymität für Nutzerinnen und Nutzer zu bieten – und zudem nicht mit Strafverfolgungsbehörden zusammenzuarbeiten. Das ist typisch für Bulletproof Hoster, sie ermöglichen Kriminellen, unerkannt und folgenlos im Internet bösartige Aktionen auszuführen – anders als „reguläre“ Hoster, die etwa Webseiten von Unternehmen und deren Internetdienste hosten.

Hoster für Kriminelle

Beim BPH, der Kriminellen „sichere“ Internetzugriffe anbot, hat die niederländische Polizei am 12. November rund 250 physische Server in Rechenzentren in Den Haag und Zoetermeer beschlagnahmt. Die hosteten tausende virtuelle Server. Diese untersuchen die Strafverfolger nun im Zuge der weiteren Ermittlungen. Weitere kriminelle Aktionen sind über die Infrastruktur damit jetzt nicht mehr möglich. Zuvor nutzten die bösartigen Akteure den Hoster für Speicherplatz, aber auch zum Ausführen von Ransomware-Angriffen, zur Kontrolle von Botnetzen, für Phishing-Betrug und Verbreitung von Kinderpornografie.

Das US-Finanzministerium hat zudem am Mittwoch dieser Woche gemeinsame Sanktionen von Australien, den USA und dem Vereinigten Königreich gegen russische Cybercrime-Infrastrukturen, die Ransomware unterstützen, angekündigt. Die richten sich gegen den in Russland sitzenden Bulletproof Hoster „Media Land“, zudem gegen „Hypercore Ltd.“ und „Aeza Group LLC“. Diese stellten essenzielle Dienstleistungen für Cyberkriminelle bereit. Die Sanktionen umfassen etwa, dass aller Besitz der beschuldigten Personen und Hoster in den USA eingefroren und an die Abteilung Office of Foreign Assets Control (OFAC) des US-Finanzministeriums gemeldet werden muss. Finanzinstitutionen, die mit den Kriminellen zusammenarbeiten, können dadurch ebenfalls Ziel von Sanktionen werden.

Die US-amerikanische IT-Behörde CISA hat ebenfalls am Mittwoch zusammen mit weiteren Strafverfolgungseinrichtungen der USA und internationalen Partnern eine Handreichung zur Abwehr von Risiken von Bulletproof Hosting (PDF) herausgegeben. Sie stellen klar, dass BPH ein signifikantes Risiko für die Resilienz und Sicherheit von kritischen Systemen und Diensten darstellen. Dabei geben die Behörden Tipps, die sich an Internet Service Provider (ISPs) und Netzwerker richten, die ihre Einrichtungen schützen wollen. Dazu kommen noch gesonderte Hinweise ausschließlich für ISPs.

Weiterlesen nach der Anzeige

Darunter fallen so triviale Handreichungen wie die, eine Liste bösartiger Ressourcen zu führen und Filter einzurichten, die bösartigen Traffic blockieren – ohne jedoch regulären Verkehr zu stören. Die Analyse von Traffic und dessen Abklopfen auf Anomalien hilft, die Liste der bösartigen Ressourcen zu befüllen. Die Strafverfolger empfehlen zudem, Logging-Systeme einzusetzen. ISPs und Netzwerker sollen etwa ASNs (Autonomous System Numbers) und IP-Adressen aufzeichnen, gegebenenfalls bei bösartigen Aktivitäten Alarm schlagen und die Protokolle aktuell halten. Zudem helfe der Austausch der gewonnenen Informationen mit öffentlichen und privaten Einrichtungen, die Cyber-Verteidigung zu stärken. Interessierte finden im PDF weitere Details.


(dmk)



Source link

Weiterlesen

Beliebt