Heute ist der zweite Tag der zweiten Woche des zweiten Monats, sprich: Safer Internet Day. Seit 2004 findet an diesem Tag des Jahres der Aktionstag statt. Ursprünglich als EU-Projekt gestartet, hat sich der Safer Internet Day mittlerweile zu einer weltweiten Initiative entwickelt, die in über 180 Ländern begangen wird.

Im Fokus stehen dabei nicht nur technische Schutzmaßnahmen, sondern auch die Vermittlung von Medienkompetenz – besonders für Kinder und Jugendliche. Denn laut BSI kommen die meisten Kinder bereits im Vorschulalter mit dem Internet in Kontakt. In Deutschland koordiniert die Plattform klicksafe.de die nationalen Aktivitäten.

Für den Safer Internet Day hat klicksafe.de die Broschüre „Mein Kind und KI: Aufwachsen mit künstlicher Nähe“ veröffentlicht. Sie richtet sich an Eltern und Lehrer und erklärt, was KI-Chatbots und -Begleiter sind und in welcher Form sie problematisch sein können. Im Netz lauern allerdings noch etliche weitere Gefahren für Kinder und Jugendliche. Unsere ausführliche FAQ erklärt, wie Eltern ihre Kinder begleiten können – von kindgerechten Suchmaschinen über Jugendschutzeinstellungen bis hin zu Kinderschutz-Apps.

Selbstcheck

Der Safer Internet Day ist aber auch für Erwachsene ein guter Anlass, die eigenen Gewohnheiten, die genutzten Dienste und Anwendungen zu überprüfen. Wer seine digitale Sicherheit auf den Prüfstand stellen möchte, findet in den c’t-Security-Checklisten 2026 einen umfassenden Leitfaden. Oft reichen wenige Handgriffe, um die eigene Sicherheit deutlich zu verbessern.

Die Checklisten decken 16 Themenbereiche ab, von der Konfiguration des WLAN-Routers über sichere Passwörter bis hin zum Schutz vor Onlinebetrug. Neu in diesem Jahr sind Tipps für den Umgang mit KI-Sprachmodellen und Smart-Home-Geräten. Das Beste: c’t stellt alle Checklisten als kostenloses PDF-Booklet zum Download bereit – perfekt zum Weiterreichen an Familie und Freunde.

Mehr Sicherheit mit Passkeys

Eines der größten Sicherheitsrisiken bleibt nach wie vor das Passwort. Die Lösung heißt Passkeys: In „Passkeys statt Passwörter“ erklärt c’t 3003, wie die Technik funktioniert. Passkeys sind nicht nur sicherer als Passwörter, sondern auch bequemer – der Login erfolgt per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Wer es genauer wissen will: Im c’t-Webinar „Passkeys verstehen und im digitalen Alltag nutzen“ erklärt Redakteur Niklas Dierking detailliert, warum genau Passkeys sicherer sind als Passwörter und wie sie sich im Alltag einsetzen lassen.

Immer mehr Dienste unterstützen Passkeys: PayPal, Amazon, Google, WhatsApp, GitHub und sogar die Agentur für Arbeit. Auch Passwortmanager wie KeePassXC können Passkeys verwalten, und Microsoft Edge synchronisiert sie seit Version 142 geräteübergreifend.

Phishing: Betrug immer raffinierter

Phishing-Angriffe zielen darauf ab, Personen dazu zu manipulieren, vertrauliche Informationen preiszugeben oder Geräte mit Malware zu infizieren. Angreifer nutzen E-Mails, Instant-Messaging-Nachrichten, Telefonanrufe, Textnachrichten (SMS) oder Websites, um ihre Opfer zu täuschen. Damit locken Sie sie zum Beispiel auf eine Website, die der einer Bank täuschend echt nachempfunden ist. Gibt das Opfer dort seine Zugangsdaten an, greifen sie sie ab.

Angreifer können mit KI immer ausgefeiltere Phishing-Attacken fahren. Rechtschreibfehler und holpriges Deutsch als Erkennungsmerkmal? Das war einmal. Im Artikel „Wie sich Nutzer und Firmen vor Phishing schützen können“ erklärt Forscherin Melanie Volkamer vom KIT, worauf man heute achten sollte.

Verbrauchertipps im Abo

Gefahren drohen auch beim Online-Shopping. Bei Fake Shops bezahlt man für vermeintliche Schnäppchen, die aber niemals ankommen. Und auch beim Versand und bei Reklamationen kann viel schiefgehen. Die c’t klärt mit einer ausführlichen Artikelserie über die Stolperfallen auf und zeigt, wie Sie sie umgehen.

Die c’t behandelt in ihrer Rubrik „Vorsicht, Kunde!“ reale Konflikte, die Kunden mit Händlern, Herstellern oder Serviceabteilungen ausfechten mussten. c’t-Redakteurin Ulrike Kuhlmann bereitet die Fälle mit ihrem Kollegen Urs Mansmann und Rechtsanwalt Niklas Mühleis im gleichnamigen Podcast auf. Wenn Sie regelmäßig über Verbraucherthemen informiert werden möchten: Der kostenlose Newsletter „c’t Vorsicht, Kunde!“ informiert Sie jeden zweiten Freitag mit Tipps, News und echten Fällen.

(jo)

Manipulatives Design – so genannte Dark Patterns – ist Teil digitaler Geschäftsmodelle, durch die suchterzeugende Designs und personalisierte Empfehlungssysteme das Verhalten von Nutzer*innen steuern sollen.

Erst vergangene Woche hat die EU-Kommission von TikTok daher drastische Veränderungen an ihrem Plattformdesign verlangt. Die Forderungen sind das vorläufige Ergebnis einer zweijährigen Untersuchung auf Basis des Digital Services Act (DSA).

Das EU-Digitalgesetz enthält bereits erste Ansätze dazu, derartige Design-Entscheidungen einzuschränken, geht aber nicht weit genug. Nun plant die EU-Kommission, im vierten Quartal des Jahres den ersten Gesetzesentwurf zum Digital Fairness Act (DFA) vorzulegen. Mit dem geplanten Gesetz soll es gelingen, etwaige Regelungslücken zu schließen.

Dabei ist mit Widerstand zu rechnen. In ihrem kürzlich veröffentlichten Bericht zeigt die NGO Corporate Europe Observatory (CEO), wie US-amerikanische Big-Tech-Unternehmen derweil versuchen, auf das Vorhaben einzuwirken.

Tech-Lobby im Zeitgeist von Deregulierung

Derzeit arbeiten die Big-Tech-Unternehmen, allen voran Meta, Google, TikTok und Snap Inc, daran, ihren Einfluss auf die europäische Gesetzgebung auszubauen. Im Kontakt zu EU-Kommissionsmitgliedern scheinen sie damit erfolgreich zu sein.

83 Prozent der Lobbygespräche zum DFA fanden der CEO-Auswertung zufolge mit Vertreter*innen der Digitalindustrie statt. Vertreter*innen aus Nichtregierungsorganisationen, die das Gesetzesvorhaben allesamt unterstützen, seien dagegen auf weniger als 14 Prozent der Gespräche gekommen.

Das schafft die Tech-Lobby durch einen massiven personellen Ausbau und hohe Budgets, wie CEO in einer eigenen Untersuchung offengelegt hat.

Zusätzlich versuchen die Konzerne über versteckte Wege gegen den DFA vorzugehen, zeigt der aktuelle Bericht. Zum Beispiel finanzieren Meta und Google die Lobbyorganisation Consumer Choice Center Europe (CCC Europe), eine vorgeblich verbraucherorientierte Organisation, die jedoch gegen Verbraucherschutz lobbyiert.

CCC Europe finanziert wiederum die Initiative EU Tech Loop. Diese kritisierte die DFA-Pläne in auf dem Online-Medium Euronews veröffentlichten Artikeln. Euronews ließ die öffentliche Meinungsbeeinflussung zu, ohne einfach und nachvollziehbar offenzulegen, wer wirklich hinter den Artikeln und der wohl einträglichen Kooperation steckt.

Die Tech-Lobby begründet ihre Agenda vor allem mit der bestehenden Gesetzeslage. Statt neuer Gesetze solle die EU bereits existierende wie den Digital Services Act (DSA) durchsetzen und auf freiwillige Initiativen setzen. Damit würde sie die langfristige Wettbewerbsfähigkeit der EU durch Vereinfachung stärken. Dazu hatte die EU-Kommission im vergangenen Jahr eine Reihe sogenannter Omnibus-Pakete vorgestellt.

DFA soll eindeutiges Fundament schaffen

Richtig ist, dass bereits bestehende Rechtsgrundlagen – wie der DSA und der AI Act – einzelne Regelungen zu Dark Patterns enthalten. Der so genannte „Fitness-Check“, eine vorangegangene Umfrage der Kommission zum Status Quo des digitalen Verbraucherschutzes, hatte jedoch auf Lücken im Bereich der Dark Patterns hingewiesen.

Zivilgesellschaftlichen Organisationen würde es zwar verhältnismäßig an finanziellen Mitteln fehlen, jedoch hätten sie die öffentliche Meinung auf ihrer Seite, betont CEO. Nach einer Umfrage des Meinungsforschungsinstituts YouGov sprachen sich 63 Prozent der Befragten in Frankreich, 59 Prozent in Deutschland und 49 Prozent in Spanien für eine strengere Durchsetzung der EU gegenüber Big-Tech-Unternehmen aus.

Rückenwind für eine starke gesetzliche Regelung liefern zudem die Ergebnisse einer öffentlichen Konsultation, welche die EU-Kommission im Vorfeld durchgeführt hat. Demnach gibt es eine breite Zustimmung von Verbraucher*innen zum geplanten Gesetzesvorhaben.

Um diesem Wunsch nachzukommen, muss der DFA nach Einschätzung von CEO einige Hürden überstehen: Die Deregulierungs-Prämisse der EU, den steigenden Druck vonseiten der US-Regierung als weiteres Sprachrohr von Big Tech sowie den wachsenden Einfluss rechtsgerichteter EU-Politik. Zudem dürfe die Debatte um Abhängigkeiten und negative Effekte von Social-Media-Konsum nicht auf Kinder und Jugendliche beschränkt werden.

Betroffene klagt in den USA gegen manipulatives Design

Auch in den USA könnten Meta und Google für ihre manipulativen Techniken belangt werden. Am Superiour Court in Los Angeles wurde vergangene Woche ein Verfahren eröffnet, das fortan prüft, ob Instagram und Youtube absichtlich abhängig machende Elemente in ihr Plattformdesign eingebaut haben. Der Fall könnte als Maßstab für die über 2.300 anhängigen Klagen von Eltern, Schulbezirken und Staatsanwälten gelten.

Die 20-jährige Hauptklägerin gehört zur im Virtuellen aufgewachsenen Gen-Z: Mit sechs Jahren habe sie YouTube geschaut. Seit mehr als zehn Jahren sei sie süchtig nach Social Media, weshalb sie unter Depressionen, Angststörungen und einem verzerrten Körperbild leide, heißt es in der Klageschrift.

Zwar sind Tech-Unternehmen in den USA nach dem Telekommunikationsgesetz nicht unmittelbar für die Inhalte auf ihren Plattformen verantwortlich. Das Verfahren behandelt dagegen die Frage, wie die Inhalte an Nutzer*innen ausgespielt werden. Sollten die Gerichte die Plattformen als verantwortlich beurteilen, könnten Unternehmen wie Meta für ihre Empfehlungssysteme haftbar gemacht werden.

Nachdem das Bundesjustizministerium Ende Dezember seine Pläne zu einer verpflichtenden Vorratsdatenspeicherung von Telekommunikationsdaten wie IP-Adressen, Portnummern und weiteren Informationen zur Internetnutzung öffentlich gemacht hatte, beteiligte sich eine ganze Reihe von Verbänden und Organisationen mit Stellungnahmen zum Referentenentwurf. Das Ministerium stellte vergangene Woche insgesamt 26 Stellungnahmen zu dem Entwurf online.

Der Entwurf soll Internetdiensteanbieter zu einer umfänglichen anlasslosen IP-Adressen-Vorratsdatenspeicherung sowie zu verschiedenen weiteren Speichervorgaben verpflichten. Mit einer „Sicherungsanordnung“ sollen Ermittler künftig verdachtsabhängig, aber ohne eine richterliche Einbindung Internetdiensteanbieter zwingen dürfen, Verkehrs- sowie Standortdaten aufzuheben.

Vorgesehen für die anlasslose IP-Adressen-Bevorratung ist eine dreimonatige Speicherfrist. Ob diese monatelange Frist dem Urteil des Europäischen Gerichtshofs aus dem Jahr 2024 genügt, ist strittig. Denn darin schrieb das hohe Gericht das Kriterium fest, den Zeitraum „auf das absolut Notwendige“ zu begrenzen. Allerdings führen die heutigen technischen Gegebenheiten dazu, dass es praktisch auf eine deutlich längere Speicherdauer von vielen Monaten oder gar Jahren hinausläuft. Das begründen die großen Netzbetreiber und Internetdiensteanbieter in ihren Stellungnahmen an das Ministerium.

Das Justizministerium führt eine Reihe ganz unterschiedlicher Straftaten auf, mit der sie das Vorhaben begründet. Etwa bei „der Kommunikation von Tatverdächtigen über Messengerdienste, der Verbreitung von Kinderpornographie, bei kriminellen Handelsplattformen, die Betäubungsmittel oder Cybercrime-as-a-Service anbieten, sowie bei echt wirkenden Onlineshops, die Waren verkaufen, die gar nicht existieren“, könnte eine Speicherung aller IP-Adressen nützlich sein.

Doch um einen solch weitreichenden Vorschlag wie die massenhafte Speicherung der IP-Adressen zu rechtfertigen, braucht es etwas mehr als nur einige Beispiele. Deswegen zweifeln Stellungnahmen von Juristenverbänden und Digital-NGOs bereits die Erforderlichkeit der riesigen verdachtslosen Datensammlung an.

Lange Speicherzeiten nicht mit EuGH-Urteil zu vereinbaren

Die gemeinsame Stellungnahme der großen Mobilfunknetzbetreiber Telefónica, Telekom, Vodafone und 1&1 weist auf technische Umstände hin, die sie als „datenschutzrechtlich kritisch“ erachten. Sie betreffen die vorgesehene Speicherdauer der zwangweise festzuhaltenden Datensätze für drei Monate. Die Netzbetreiber weisen darauf hin, dass der Referentenentwurf diese Speicherung „mit Beginn der Zuweisung und Löschung nach drei Monaten ab dem Zeitpunkt des Endes der Zuweisung“ vorsieht.

Diese „Zuweisung“ bezieht sich auf die vergebene IP-Adresse mit weiteren Begleitdaten, die einem Nutzeranschluss zugeordnet ist und künftig für alle Anschlüsse gespeichert werden soll. Die Netzbetreiber merken an, dass diese Regelung „zu einer Datenspeicherung deutlich über drei Monate hinaus“ führe. Das „verletzt somit die Vorgaben des EuGH“.

Denn der Europäische Gerichtshof hatte 2024 über eine IP-Adressenspeicherung entschieden, die zur Verfolgung von Urheberverwertungsrechtsverletzungen in Frankreich verwendet wird. Der Gerichtshof schrieb in dem Urteil vor, dass „die Dauer der Speicherung auf das absolut notwendige Maß beschränkt sein“ muss und keine detaillierten Profile der Nutzer erstellt werden dürfen.

Die Netzbetreiber machen ganz praktisch klar, warum die geplante Regelung die eigentlich vorgesehene dreimonatige Speicherdauer ganz erheblich verlängert: „In vielen Netzen, insbesondere bei modernen Glasfaseranschlüssen, gibt es keine Zwangstrennung mehr.“ Zwar gäbe es „selten“ Verbindungstrennungen, etwa wegen Wartungsarbeiten, aber „Verbindungszeiten von mehreren Wochen und Monaten sind die Regel“. Bestünde die Verbindung „beispielsweise über zehn Monate, führt dies zu einer Speicherdauer von insgesamt 13 Monaten bei der bislang im Gesetzestext formulierten Speicherzeit“.

Unzweifelhaft wären solch lange Speicherzeiten mit dem EuGH-Urteil nicht zu vereinbaren. Das sieht auch der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM) in seiner Stellungnahme kritisch. Es bestünde die Gefahr, „dass Daten faktisch deutlich länger als die avisierte Speicherfrist von drei Monaten“ vorgehalten werden müssen. Das würde „die Vorgaben des EuGH überschreiten und damit unionsrechtswidrig“ sein.

In Bezug auf die fehlende Zwangstrennung rechnet auch der VATM vor, dass die „Verbindungszeiten mehrere Monate betragen“. Das stelle inzwischen „die Regel dar“. Eine Zuordnung einer IP-Adresse zu einem Endkunden sei durch die vorgesehene Regelung „nicht nur für drei Monate möglich, sondern faktisch für die gesetzliche Speicherfrist zuzüglich der Dauer der Session“. Die hier gemeinte „Session“ beginnt mit der Zuweisung der IP-Adresse zum Nutzer.

Keine „empirischen Grundlagen“ für dreimonatige Speicherfrist

Doch schon die eigentlich geplanten drei Monate Speicherpflicht sind weiterhin mit nichts begründet. Darauf weist die Bundesrechtsanwaltskammer (BRAK), die Interessenvertretung von rund 166.000 Rechtsanwältinnen und Rechtsanwälten in Deutschland. Es fehle an „empirischen Grundlagen“ für diese Frist.

Der Hinweis in der Begründung des Entwurfes auf „Praxiserfahrung“ verdeutliche, dass es sich nur um eine „unspezifizierte Erwartungshaltung“ handele. Warum eine Frist von vier Wochen nicht ebenso ausreichen könne, sei „nicht ersichtlich“, so die BRAK in ihrer Stellungnahme. Sie verweist auf die Aussage der BKA-Vizepräsidentin Martina Link in einer Bundestagsanhörung im Rechtsausschuss im Oktober 2023. Sie hatte aus Sicht der Ermittler aus der Praxis berichtet.

Link warf in der Anhörung selbst die Frage auf, wie lange Speicherfristen bemessen sein müssten, damit das BKA ihm vorliegende IP-Adressen noch einem Nutzer zuordnen könnte. Sie bezog sich auf Fälle des NCMEC (Nationales Zentrum für vermisste und ausgebeutete Kinder), einer US-Organisation, die das BKA in großer Zahl auf kinder- und jugendpornographische Inhalte hinweist. Link erklärte, eine „Speicherverpflichtung von 2 bis 3 Wochen“ wäre „schon ein signifikanter Gewinn“.

Referentenentwurf ohne Begründung der Erforderlichkeit

Neben der Kritik an der Länge der Speicherung verweist die BRAK auch in aller Deutlichkeit auf die Frage, womit der Gesetzgeber eine Vorratsdatenspeicherung eigentlich begründet:

Die Einführung neuer Ermittlungsmethoden, die einen Grundrechtseingriff darstellen, bedarf zunächst der Erforderlichkeit der Maßnahme. Im vorliegenden Entwurf fehlen jedwede Ausführungen hierzu, die jedoch im Hinblick darauf, dass nun seit de facto über 18 Jahren in Deutschland keine Vorratsdatenspeicherung durchgeführt wurde, sich förmlich aufdrängen.

Im Referentenentwurf der Vorgängerregierung hatte das Bundesjustizministerium sich eine solche Blöße nicht gegeben, sondern aus „empirischer Sicht“ erklärt, dass „trotz fehlender Vorratsdatenspeicherung in einer Vielzahl von Verfahren Verkehrsdaten erhoben werden können“. Für das Vorjahr war es damals gelungen, „auch ohne Anwendung der Vorschriften der Vorratsdatenspeicherung […] 90,8 Prozent der bekannt gewordenen Fälle der Verbreitung kinderpornographischer Inhalte“ aufzuklären, zitiert die BRAK das Ministerium.

Bei den Juristen bleiben „erhebliche Zweifel an der Erforderlichkeit“ der Vorratsdatenspeicherung. Insgesamt sieht die BRAK den Entwurf „mit erheblicher Skepsis“.