Chaos Computer Club: Updates

Debug-Modus bei Legal-Tech-Plattform advocado legt sensible Daten offen

kantorkel — 2026-03-24T06:08:00+01:00

Der Chaos Computer Club (CCC) setzt seine Serie von Datenlecks bei Legal-Tech-Anbietern fort. Bei der Plattform advocado.de war ein Debug-Werkzeug offen zugänglich, das niemals im Internet exponiert sein sollte. In der Folge konnte auf hochgeladene Dokumente und Gesprächsaufzeichnungen zugegriffen werden. Der CCC hat das Datenleck gemeldet.

Seit geraumer Zeit hat der CCC auch technisch langweilige, aber folgenschwere Datenlecks im Blick. Legal-Tech-Plattformen waren in der Vergangenheit bereits betroffen. Die Plattform advocado.de reiht sich in diese Tradition nun mit einem öffentlich erreichbaren Symfony-Profiler ein.

Dieses zur internen Fehlersuche vorgesehene Werkzeug machte interne Server-Parameter sichtbar. Darunter befand sich ein gültiger Zugang zu einem git-Repository, das neben Quellcode auch weitere Zugangsdaten enthielt ‒ unter anderem für einen Fax-Dienst, Zahlungsdienstleister und die Dateiablage bei AWS S3. Dort konnte auf zahlreiche hochgeladene Dokumente, darunter Ausweiskopien oder Inkasso-Schreiben, Rechnungen von Kanzleien und Gerichten sowie Bild- und Tonaufzeichnungen von Gesprächen zugegriffen werden.

Der CCC hat den Anbieter informiert, advocado.de reagierte zeitnah auf die Meldung. Der Club empfiehlt grundsätzlich, Debug-Schnittstellen konsequent abzusichern, Zugangsdaten nicht im Klartext zu versionieren und die Speicherung sensibler Daten wie Ausweiskopien grundsätzlich zu hinterfragen.

Auch das Framework Symfony könnte mehr dafür tun, das versehentliche Exponieren des Profilers zu erschweren, etwa durch eine verpflichtende Authentifizierung.

Datenleck im CampusNet

kantorkel — 2026-03-20T09:59:00+01:00

Adressdaten von 1,1 Millionen Studierenden waren aufgrund einer Sicherheitslücke im Hochschulinformationssystem "CampusNet" zugänglich. Betroffen waren insgesamt 22 Universitäten und Hochschulen. Der CCC hat die Sicherheitslücke gemeldet.

Zugriff über großzügige Suchfunktion

Über eine öffentlich erreichbare Suchfunktion waren Abfragen gegen ein Personenverzeichnis möglich. Das dazugehörige Formular erlaubte Wildcard-Abfragen und ermöglichte auch die Suche nach einzelnen Attributen wie Postleitzahl, Straße oder Hausnummer. Durch gezielte Kombination von Suchanfragen und Schnittmengenbildung konnten vollständige Adressdatensätze rekonstruiert werden.

Überwiegend schnelle Reaktionen der betroffenen Bildungseinrichtungen

Sicherheitsforscher hatten die Lücke entdeckt und dem CCC gemeldet, der regelmäßig ehrenamtlich bei der Meldung von kritischen Datenlecks unterstützt. Der CCC informierte die betroffenen Einrichtungen, die Herstellerin der Software, die Datenlotsen Informationssysteme GmbH, sowie das DFN-CERT und diverse Landesdatenschutzbehörden im Rahmen eines Coordinated-Disclosure-Verfahrens. Die Reaktionen fielen überwiegend zügig aus: Mindestens zehn Einrichtungen schlossen die Sicherheitslücke noch am selben Tag, einige am darauffolgenden. Vier Institutionen haben es bisher nicht geschafft sich zurückzumelden. Immerhin haben alle uns bekannten betroffenen Einrichtungen die Lücke inzwischen geschlossen.

Noch 10 Jahre nach Abschluss im System

Offen bleibt eine grundsätzliche Frage:

Warum halten einzelne Hochschulen Adressdaten von Studierenden auch mehr als zehn Jahre nach Studienende vor?

Betroffene Einrichtungen:
Akademie der Polizei Hamburg
Constructor University Bremen
EBS Universität für Wirtschaft und Recht
HCU Hamburg
HFK Bremen
Hochschule für nachhaltige Entwicklung Eberswalde
Hochschule Neubrandenburg
Hochschule Osnabrück
Hochschule Ruhr West
Kalaidos Fachhochschule
Merz Akademie
New Design University
THH Friedensau
TU Darmstadt
TU Dresden
Uni Bremen
Uni Hamburg
Uni Leipzig
Uni Mainz
Uni Paderborn
University of Europe for Applied Sciences
Zentrum für Fernstudien im Hochschulverbund

Automatisierte Verhaltensüberwachung: Gefährlichen Mumpitz einstellen

martin — 2026-03-06T01:18:00+01:00

Der Chaos Computer Club (CCC) warnt vor dem Ausbau der Verhaltensüberwachung im öffentlichen Raum. Denn er bedeutet einen großen Schritt in Richtung automatisierter Dauerbeobachtung. Dabei ist die Technik vor allem eines: teurer, aber gefährlicher Mumpitz.

Der öffentliche Raum soll zum Testfeld für Technologien werden, die alle vorbeikommenden Menschen unter Verdacht stellen. An vielen Orten wird bereits mit Verhaltensüberwachung experimentiert. Da will das notorisch klamme Berlin nicht nachstehen und plant nun ein Millionenprojekt zur Verhaltensüberwachung durch intransparente Software. Dabei war schon der letzte „KI“-Versuch am Berliner Bahnhof Südkreuz peinlich gescheitert.

Das Berliner Projekt reiht sich in eine zu lange Liste ein: Das Verhalten an öffentlichen Plätzen wird mittlerweile in Mannheim und Hamburg, in Bremer Trams und den Haltestellen der Hamburger Hochbahn mit „KI“ dauerüberwacht, um bestimmte Verhaltensweisen mit Software zu markieren. So soll unerwünschtes Verhalten erkannt und als Indikator genutzt werden, beispielsweise für eine vermeintlich bevorstehende Straftat.

Dabei ist völlig unklar, wie Polizei, Hersteller und schließlich auch die „KI“ überhaupt unerwünschtes Verhalten definieren. Es bleibt intransparent, ob längeres Verweilen an einem Ort, Menschenansammlungen, zwischenmenschliche Berührungen oder hektische, ruckartige oder auch nur unregelmäßige Bewegungen als verdächtig eingestuft werden. Es besteht die Gefahr, dass jede Form des Andersseins dazu führt, häufiger als „auffällig“ markiert zu werden.

Projekte zur Verhaltensüberwachung laufen teilweise schon seit Jahren, ohne einen beweisbaren Nutzen zu bringen oder sich nachvollziehbarer Überprüfung stellen zu müssen. Trotzdem werden die Anbieter von Verhaltenscannern mit Millionenbeträgen gepampert.

Man sollte erwarten, dass sich die Polizei beim Erproben dieser Technologien strikt an Recht und Gesetz hält, schließlich darf der öffentliche Raum kein rechtsfreier Raum sein. Aber vergangene Testprojekte zeigten wiederholt, beispielsweise am Hamburger Hansaplatz: Die Polizei setzt sich locker über Vorgaben hinweg, evaluiert ihre Experimente einfach selbst, schönt die Ergebnisse und zieht eine nachvollziehbare wissenschaftliche Begleitung nicht mal mehr in Betracht. Zuweilen erfahren die zuständigen Datenschutzbehörden erst aus der Presse von diesen digitalen Menschenversuchen.

Aktuell wurden und werden in mehreren Bundesländern Polizeigesetze verschärft, die einer Weiterverbreitung der zur Strafverfolgung vollkommen ungeeigneten Verhaltensüberwachung den Weg ebnen. Zusätzlich kamen wie in Hamburg neue Befugnisse hinzu, die erlauben, „KI“-Systeme mit Polizeidaten zu trainieren. Das ist eine Zweckentfremdung sensibler Daten und ein eigener schwerer Eingriff in das Grundrecht auf informationelle Selbstbestimmung.

Unternehmen bieten dazu passende Produkte, die für autoritäre Regime maßgeschneidert wurden: Gesichtserkennung und Bewegungsprofile werden mit automatisierter Analyse von Verhalten kombiniert. Da wird gern übersehen, wenn dasselbe Unternehmen für Menschenrechtsverletzungen in China verantwortlich ist und seine Systeme dort optimiert.

„Automatisierte Verhaltensüberwachung ist teures, aber gefährliches Sicherheitstheater“, sagt Matthias Marx, Sprecher des Chaos Computer Clubs, „denn es gewöhnt uns an ständige Überwachung und Analyse unseres Alltags. Wir dürfen autoritäre Staaten und ihren Technologieeinsatz nicht als Blaupause nutzen.“

Der CCC fordert, alle Projekte zur automatisierten Verhaltensüberwachung zu beenden, und eine generelle Abkehr von Überwachungsinfrastruktur, die auch von autoritären Staaten genutzt wird.

Links:

Ausschreibung Berlin, 3.868.497,10 EUR https://ted.europa.eu/de/notice/-/detail/104053-2026

Gesundheitsdatengau verhindern

henning — 2026-02-24T22:01:00+01:00

Das wegen eines fehlendes IT-Sicherheitskonzeptes jahrelang ruhende Klageverfahren gegen die zentrale Gesundheitsdatensammlung im Forschungsdatenzentrum wird nun weitergehen. Die Gesundheitsdaten von 73 Millionen gesetzlich Versicherten werden dort zentral gespeichert und für Forschungszwecke zugänglich gemacht. Wir fordern ein Widerspruchsrecht.

Das Gerichtsverfahren am Berliner Sozialgericht gegen die zentrale Speicherung der Gesundheitsdaten aller gesetzlich Versicherten wird nun fortgesetzt: Die Gesellschaft für Freiheitsrechte (GFF) und Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC), wehren sich seit 2022 gegen die zentrale Sammlung der hochsensiblen Gesundheitsinformationen beim Forschungsdatenzentrum und reichten jetzt weitere Schriftsätze ein. Sie kritisieren, dass gegen die Sammlung keine Möglichkeit des Widerspruchs vorgesehen ist.

Zudem sehen sie unnötige Sicherheitsrisiken in der zentralen Datenbank mit Gesundheitsinformationen aller 73 Millionen gesetzlich Versicherten. GFF und CCC sehen in der zentralen Datenbank Verstöße gegen das Grundrecht, selbst über die eigenen Daten zu bestimmen, und gegen das Datenschutzrecht der Europäischen Union.

Das Verfahren ruhte zwischenzeitlich, weil das Forschungsdatenzentrum jahrelang gar nicht arbeitsfähig war und kein IT-Sicherheitskonzept vorlegen konnte.

„Gesundheitsdaten brauchen zwingend angemessene Sicherheitsmaßnahmen, um sie zu schützen. Und alle Versicherten sollten endlich das Recht bekommen, dieser zentralen Datensammlung zu widersprechen. Es wird höchste Zeit, dass das Verfahren fortgeführt wird, denn es braucht Klarheit zur Sicherheit und zum Widerspruchsrecht, schon weil inzwischen der Kreis der nutzungsberechtigten Stellen ganz erheblich erweitert wurde“, sagt Constanze Kurz, Klägerin und Sprecherin des CCC.

Das 2019 in Kraft getretene „Digitale-Versorgung-Gesetz“ (DVG) sieht vor, dass die Krankenkassen unter anderem ärztliche Diagnosen, Daten zu Krankenhausaufenthalten und zu Medikamenten ihrer Versicherten übermitteln. Diese Daten wurden 2022 in einer Datenbank zusammengeführt, werden regelmäßig ergänzt und jahrzehntelang gespeichert. Zwischenzeitlich wurden die Speicherdauer auf 100 Jahre verlängert.

Privatversicherte erfasst die Datenbank nicht.

Das Forschungsdatenzentrum soll Zugang zu den gesammelten Abrechnungsdaten aller gesetzlich Versicherten an interessierte Dritte nach Antragstellung ermöglichen. Seit Oktober 2025 ist es teilweise arbeitsfähig und gibt diese Daten heraus. Daher kann das Verfahren nun fortgesetzt werden.

Für die Übermittlung der Daten werden nur Namen, Geburtstag und -monat der Versicherten entfernt. Ein Gutachten des Kryptographie-Professors Dominique Schröder zeigt anschaulich, dass diese sogenannte Pseudonymisierung die Versicherten nicht ausreichend schützt: Durch den Abgleich mit anderen Datensätzen lassen sie sich ohne großen Aufwand doch wieder identifizieren.

„Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und sind ein lukratives Ziel für Kriminelle. Forschung darf daher nur unter ausreichenden Schutzmaßnahmen stattfinden“, sagt Jürgen Bering von der GFF.

Professor Matthias Bäcker vertritt Constanze Kurz und einen zweiten anonymen Kläger vor dem Sozialgericht Berlin und dem Sozialgericht Frankfurt. Unterstützt werden die Verfahren vom Digital Freedom Fund. Sie sollen die grundsätzlichen Fragen des Umgangs mit besonders geschützten Gesundheitsdaten zu den höchsten Gerichten tragen.

Die Kläger wehren sich gegen die unzureichenden gesetzlich vorgesehenen Schutzstandards der sensiblen Daten und fordern ein Widerspruchsrecht für alle Betroffenen in den gesetzlichen Krankenversicherungen.

Links:

Die Daten von 73 Millionen gesetzlich Versicherten sind in Gefahr: Wir klagen zum Schutz vor Missbrauch

Sicherheit von zentral gespeicherten Patientendaten unzureichend: https://www.ccc.de/de/updates/2022/zentral-gespeicherte-patientendaten

Bei Rückfragen wenden Sie sich bitte per E-Mail an: presse(at)ccc.de

CCC fordert, die VDS endgültig zu begraben

presse — 2026-01-26T11:46:00+01:00

Die Bundesregierung plant eine riesige anlasslose Datenhalde, die zur Nutzerprofilierung gradezu einlädt: die Vorratsdatenspeicherung von IP-Adressen nebst Begleitdaten. Eine derart weitgreifende Überwachungsmaßnahme ist und bleibt unverhältnismäßig und gefährlich. Und die Ideen aus Brüssel sind noch schlimmer.

Justizministerin Stefanie Hubig (SPD) hat zugestimmt: Alle, die das Internet nutzen, sollen künftig in einer verpflichtenden Datensammlung landen. Hubig nickte die jahrzehntelangen Forderungen aus dem Bundesinnenministerium ab, eine völlig unverhältnismäßige und anlasslose Zwangsspeicherung von allen IP-Adressen und weiteren Begleitdaten bei allen Providern gesetzlich vorzuschreiben. Gespeichert werden soll dauerhaft, wem welche IP-Adresse zu welchem Zeitpunkt zugeordnet war.

Diese generelle und undifferenzierte Vorratsdatenspeicherung nimmt die Kommunikationsdaten jedes einzelnen Menschen in Beschlag, ohne dass ein Verdacht oder sonst ein Anlass gegeben wär. Deswegen wurde und wird diese gesetzgeberische Idee auch so bekämpft: Sie ist ein Einfallstor, weil sie eine Massenüberwachung bei den Providern anordnet, die unser digitales Leben nachhaltig verschlechtert. Denn ist die Tür für eine anlasslose Massenspeicherung erstmal einen Spalt offen, wird sie nicht nur Stück für Stück weiter geöffnet werden, sondern auch jenseits der Kommunikationsdaten Nachahmer auf den Plan rufen.

Umfassende Datensammlung

Über die geplante umfassende IP-Adressen-Vorratsdatenspeicherung lässt sich genau und über Monate nachvollziehen, wer, wann, zu welcher Zeit und mit wem kommuniziert und Daten getauscht hat. Da neben den IP-Adressen jeweils auch weitere Daten wie Nutzer- und Anschlusskennungen sowie Port-Nummern für ein eindeutig rückverfolgbares personenbezogenes Kennzeichen gesammelt werden sollen, lassen sich darüber direkt persönliche Informationen ableiten. Darunter fallen in einer Zeit, in der das Internet festes Medium der Persönlichkeitsentwicklung ist, neben privaten und intimen Neigungen natürlich auch Themen der politischen Gesinnung, Krankheitsdaten, Religionszugehörigkeiten oder Berufliches.

Letztlich lässt sich mit diesen Daten das gesamte Informations- und Kommunikationsverhalten im Internet nachträglich rekonstruieren und automatisiert rückverfolgen. Zu IP-Adressen und Internetnutzung gehört in vielen Fällen eben auch eine inhaltliche Bedeutung: Schon der Besuch bestimmter Internetseiten gibt oft Informationen über die Person preis.

Der Grundsatz der Datensparsamkeit wird durch eine Vorratsdatenspeicherung faktisch entkernt. Und zwangsläufig gehen damit neue Missbrauchsrisiken und Gefahren einher, besonders für Whistleblower, bisher anonyme Beratungsstellen oder Journalisten. Der nur behauptete Sicherheitsgewinn ist hingegen unverhältnismäßig gering gemessen an den Risiken, die mit einer permanenten Vorratsdatenspeicherung sämtlicher IP-Zuordnungen verbunden sind.

Zur Abrechnung von Internetzugängen wird in der Praxis der Provider heute regelmäßig keine IP-Adressensammlung benötigt. Welche IP-Adressen jeweiligen Kunden zugewiesen waren, wird daher nicht dauerhaft gespeichert. Ausnahmen sind vorfallsbezogene Sicherungen der Daten. Entsprechend würde der Gesetzgeber also nicht etwa bestehende Bestände einsammeln lassen, sondern neue permanente Datenhalden erschaffen.

Der Gesetzgeber muss sich bei einer so weitgreifenden Überwachungsmaßnahme die Frage stellen, ob es ein milderes Mittel gibt. Die Antwort ist eindeutig ja. Bei Vorliegen tatsächlicher Anhaltspunkte kann schon heute jeder Provider angewiesen werden, anlassbezogene IP-Zuordnungen aufzubewahren.

Vorratsdatenspeicherung rechtswidrig

Für den neuerlichen Vorstoß zur flächendeckenden Vorratsdatenspeicherung wird gern das EuGH-Urteil herangezogen, das sich auf das französische Hadopi bezieht. Das Urteil versucht, informationelle Selbstbestimmung und Urheberverwertungsrechte abzuwägen, denn die Auskünfte über IP-Adressen sollen zur Geltendmachung zivilrechtlicher Ansprüche wegen Urheberrechtsverletzungen genutzt werden dürfen.

Die Profilierung über IP-Adressen schließt das Urteil explizit aus. Was die Regierung Merz aber plant, würde nahezu jeden Klick im Internet rekonstruierbar machen und aussagekräftige Persönlichkeitsprofile ermöglichen. Mit Blick auf die oben erwähnte Tür liegen nach dem nächsten Stromausfall sicher schon Pläne dafür in der Schublade.

Auch europaweit anonyme Internetnutzung in Gefahr

Die immer dreisteren Forderungen einzelner Behörden nach mehr lückenlosen Datenhalden dürfen nicht den Maßstab dafür bilden, dass nun Internetverbindungen jedes einzelnen Menschen festgehalten und damit Persönlichkeitsprofilierungen möglich gemacht werden. Grundrechte gelten, und das Recht auf informationelle Selbstbestimmung ist keine bloße Fußnote an den Wünschen der Überwachungsgläubigen.

Die Bundesregierung muss sich für ein Recht auf anonyme Internetnutzung einsetzen. Wie alle Rechte soll es natürlich nicht uneingeschränkt gelten, aber doch anlasslose Datenhalden verhindern, die zur Nutzerprofilierung gradezu einladen.

Dies gilt nicht nur für den Vorstoß aus dem deutschen Innen- und Justizministerium, sondern auch für die noch problematischeren Ideen zur Vorratsdatenspeicherung auf europäischer Ebene. Eine Mehrheit der EU-Staaten will die Sammlungen von noch mehr Datenarten auch von Internet-Dienste-Anbietern mit deutlich längeren Speicherfristen als drei Monate erzwingen. Das würde das Speichern jeglicher Kommunikationsverbindungsdaten hinauslaufen. Dagegen muss sich die deutsche Regierung zur Wehr setzen und ihre Ablehnung deutlich machen.

CCC unterstützt den monatlichen Digital Independence Day

linus — 2025-12-27T12:23:00+01:00

Zusammen mit vielen weiteren Organisationen ruft der Chaos Computer Club zum Digital Independence Day auf: An jedem ersten Sonntag im Monat wechseln wir von Big-Tech-Plattformen zu freien, lokalen oder auch einfach nur weniger problematischen Alternativen. In vielen Städten unterstützen Ehrenamtliche des CCC mit Rat und Tat.

Es reicht.

Europa ist im Würgegriff von Big Tech. Die Plattformen scheren sich nicht um unsere Gesetze, zersetzen unsere Demokratie und damit unsere Freiheit. Die Trump-Administration und die mit ihr verbündeten Tech-Milliardäre scheuen sich nicht davor, uns durch diese Abhängigkeiten zu erpressen. Die Bundesregierung wirkt wie ein Reh im Scheinwerferlicht und traut sich nicht einmal, X zu verlassen. Also müssen wir vorangehen. Wenn wir gemeinsam wechseln, können wir den Netzwerkeffekt aushebeln.

Die Macht und das Missbrauchspotenzial der „sozialen“ Medien zeigt sich eindrücklich am Beispiel Twitter: Nach seinem Kauf veränderte Elon Musk die Plattform in kürzester Zeit grundlegend. Strukturen für Faktenprüfung und respektvollen Austausch wurden abgebaut, Reichweiten verschoben, progressive Stimmen verdrängt.

Trotz massiven Vertrauensverlusts bleibt X gesellschaftlich einflussreich: Politische Accounts geben dem Dienst Legitimität, mediale Zitate stärken seine Relevanz und Reichweite. Diese Reichweite wird immer mehr genutzt, um Ausgrenzung und Desinformation zu verbreiten und gezielt politischen Einfluss zu nehmen.

Kürzlich verhängte die EU eine Strafe gegen X wegen Nichteinhaltens grundlegender Anforderungen des Digital Services Act (DSA), der genau den Gefahren der Machtkonzentration entgegenwirken soll. Seitdem verstärkt X auf wundersame Weise die Reichweite EU-kritischer Stimmen, und Elon Musk forderte sogar die Auflösung der EU. Wenige Tage später folgte dann das Einreiseverbot für den ehemaligen EU-Kommissar Thierry Breton, der den DSA maßgeblich gestaltet hat, sowie für Vertreterinnen von HateAid, die im Rahmen des DSA systematisch illegale Inhalte wie Hass, Hetze und Volksverhetzung zur Prüfung und Entfernung melden.

Diese Eskalation zeigt: Hier geht es längst nicht mehr nur um eine Plattform, sondern um den Einfluss auf öffentliche Debatten, demokratische Prozesse und europäische Rechtsstaatlichkeit.

Und X ist kein Einzelfall. Kommerzielle zentrale „soziale Medien“ optimieren auf Aufmerksamkeit und Abhängigkeit – oft mit nachweislich schädlichen Folgen, insbesondere für junge Menschen.

Natürlich müssen Gesetze durchgesetzt werden, die zu unserem Schutz erlassen wurden. Ebenso liegt es aber an uns, Plattformen den Rücken zu kehren, die uns schaden oder sich sogar derart radikal gegen unsere Demokratie stellen.

Mit KI wächst die Machtkonzentration weiter

Zentralisierte „soziale“ Medien analysieren unsere Beziehungen und Interessen, um die Erkenntnisse möglichst gewinnbringend für Werbevermarktung oder politische Einflussnahme zu nutzen. Künstliche Intelligenz verstärkt diesen Trend: Immer größere Datenmengen können ausgewertet, automatisiert genutzt und wirtschaftlich verwertet werden.

Auch Cloud-Dienste behandeln Nutzerdaten zunehmend als Rohstoff – nicht zuletzt, um Abhängigkeiten weiter zu vertiefen.

Das Netz sind wir

WhatsApp, Instagram, X oder Facebook sind Milliarden wert. Ihr eigentlicher Wert sind wir – die Nutzer*innen.

Natürlich ist der Ausstieg nicht immer leicht: Schulklassen, Freundeskreise, politische Debatten – vieles scheint an einzelne Plattformen gebunden. Doch genau hier liegt unsere gemeinsame Chance: Wenn wir den Netzwerkeffekt bewusst nutzen, statt uns von ihm fesseln zu lassen, können wir neue Wege gehen.

Der Digital Independence Day

Beim 39. Chaos Communication Congress ruft der Autor Marc-Uwe Kling zum Digital Independence Day auf.

An jedem ersten Sonntag im Monat machen wir gemeinsam einen Schritt auf die bessere Seite des Netzes. Wir zeigen, dass Alternativen funktionieren, und nehmen Freund*innen und Bekannte am besten gleich mit. Und damit mehr Leute davon erfahren, nutzen wir die neuen und alten sozialen Medien, um unsere Erfahrungen zu teilen.

„Nicht nur der Wechsel ist wichtig, wir müssen danach auch darüber sprechen. Am besten geben wir sogar damit an, dass wir uns von einem Big-Tech-Dienst befreit haben. #DIDit“, sagte Marc-Uwe Kling.

Auf der Kampagnenseite der von vielen weiteren Organisationen unterstützten Initiative werden Wechselrezepte gesammelt.

Mancher Umzug will vorbereitet sein: neue Netzwerke finden, Kontakte behalten, Gewohnheiten anpassen. In vielen Städten stehen dafür Freiwillige des CCC mit Erfahrung, Beratung und praktischer Unterstützung zur Seite:

Wir helfen beim Umzug von Windows 10 zu sichereren Alternativen, beim Umzug von WhatsApp zum geeigneten Messenger, beim Umzug von Gmail zu einem vertrauenswürdigen Anbieter.

Die ersten Workshops zum Digital Independence Day findet schon am 4. Januar statt. Alle regelmäßigen Termine – auch die der vielen weiteren Partner – werden auf der Kampagnenseite di.day verlinkt.

Termine

4. Januar 2026

01127 Dresden

C3D2
Riesaer Straße 32
01127 Dresden
Offen für Themenwünsche
14:00–16:00h

06112 Halle

Eigenbaukombinat Halle (Saale)
Landsberger Str. 3
06112 Halle (Saale)
Wir helfen beim Wechsel von Windows zu einem besseren Betriebssystem, Open Office und Signal

09126 Chemnitz

CCC Chemnitz
Augustusburger Straße 102
09126 Chemnitz

07743 Jena

Hackspace Jena
Krautgasse 26
07743 Jena
Wir installieren mit euch Signal und zeigen, wie ihr das nutzt.
14:00-16:00 Uhr

10119 Berlin

CCCB
Marienstraße 11
10117 Berlin
Wir helfen beim Umzug von WhatsApp und kommerzielen sozialen Netzwerken zu geeigneten Alternativen und sind für alle Fragen offen.
14:00h–17:00h

18439 Stralsund

Port39 // Chaos Computer Club Stralsund
Hafenstr. 20
18439 Stralsund
Offen für alles. Wir sind da und freuen uns auf Diskussionen, Fragen, Interesse - dann schauen wir mal, was passiert.
14:00–18:00h

22765 Hamburg

CCCHH
Zeiseweg 9
22765 Hamburg
Smartphone Einstellungen, GMail-Alternativen, Browser Settings 14:00h bis open end Wir starten mit kleinen mini-Vorträgen und machen dann mit offenem Workshop Nachmittag weiter

23554 Lübeck

Chaotikum
Fackenburger Allee 11
23554 Lübeck
Es wird allgemeine und Schwerpunktthemen geben, die wir pro Termin in Vorträgen und Workshops bearbeiten, dazu wird es Gelegenheiten für Fragen und Themenwünsche geben.
15:00h bis open end Wir starten mit einer kleinen Einführung und einem Themenüberblick mit Fragen und Ideen.

34117 Kassel

flipdot hackerspace
Schillerstraße 25
34117 Kassel
Förderiert euch! Verteilt ist eins weniger allein.
11:00-14:00h nicht barrierefrei

36037 Fulda

Magrathea Laboratories e.V. CCC Fulda
Lindenstr.14
36037 Fulda

49074 Osnabrück

Chaostreff Osnabrück
c/o AStA der Universität Osnabrück
Alte Münze 12
49074 Osnabrück
Wir helfen beim Umstieg, beantworten Fragen und nehmen auch gerne Themenwünsche an.
14:00–18:00h Im zweiten Stock und leider nicht barrierefrei.
Bitte meldet Euch, damit wir nach einer Alternative schauen können.

57072 Siegen

Hackspace Siegen
Effertsufer 104
57072 Siegen
16:00-20:00h
nicht barrierefrei

59425 Unna

UN-Hack-Bar e.V.
Hochstraße 10
59425 Unna
Am ersten Termin des DI-Day werden wir vor allem Frage und Antwort stehen und bei kleinen Zielen (z.B. welche alternativen zu WhatsApp gibt es) auch konkret helfen
13:00–17:00h
Vorher gibt es noch ein Mitbring-Frühstück

71522 Backnang

Chaostreff Backnang
Willy-Brandt-Platz 2
71522 Backnang
15:00-18:00h

80797 München

muccc
Schleißheimer Str. 39
80797 München
Wir installieren/testen gemeinsam Signal; Nehmen Themenwünsche an; beantworten Fragen
15:00–17:00h

96484 Coburg

Hackzogtum Coburg
Heiligkreuzstr. 3
96450 Coburg
Wir helfen bei allgemeinen Fragen und Problemen mit Computern, Smartphones, deren Nutzung und zeigen Alternativen zu vermeintlich alternitvlosen Angeboten wie Whatsapp, Teams, Windows und Co. Gerne sammeln wir auch Themenwünsche, die wir dann auf- und vorbereiten können. Wir haben auch Geräte zum Ausprobieren von Linux (Mint) vor Ort und entsprechende Installationsmedien.
14:00–18:00h

93053 Regensburg

Binary Kitchen
Walderdorffstraße 13b
93053 Regensburg
Linux aussuchen und/oder installieren. Aber auch zu anderen Fragen (Cyber Security Expert:innen anwesend)
15:00-20:00h
einfach USB Stick und Laptop mitbringen (und Backup vorher machen)

99817 Eisenach

WAK-Lab e.V.
Georgenstraße 19a
99817 Eisenach
Umstieg auf Linux, Alternative zu MS Office mit eigener lokaler KI Anbindung, Alternative Messenger
14:00h–18:00h

1. Februar 2026

01127 Dresden

C3D2
Riesaer Straße 32
01127 Dresden
Wünsche gerne über Kontaktmöglichkeiten

04315 Leipzig

dezentrale e.V.
Eisenbahnstraße 9
04315 Leipzig

08056 Zwickau

z-Labor e.V.
Seilerstraße 1
08056 Zwickau

06112 Halle

Eigenbaukombinat Halle (Saale)
Landsberger Str. 3
06112 Halle (Saale)
Wir helfen beim Wechsel von Windows zu einem besseren Betriebssystem, Open Office und Signal

07743 Jena

Hackspace Jena
Krautgasse 26
07743 Jena
Wir unternehmen mit euch einen Ausflug in das Fediverse, zeigen euch, wie das soziale Netzwerk Mastodon funktioniert. Für diejenigen, die mögen, legen wir Accounts an und begleiten euch bei den ersten Schritten. 14:00-16:00 Uhr

09126 Chemnitz

CCC Chemnitz
Augustusburger Straße 102
09126 Chemnitz

18439 Stralsund

Port39 // Chaos Computer Club Stralsund
Hafenstr. 20
18439 Stralsund
Offen für alles. Wir sind da und freuen uns auf Diskussionen, Fragen, Interesse – dann schauen wir mal, was passiert. (evtl. Workshop)
14:00 - 18:00 Uhr

19061 Schwerin

Hacklabor
Hagenower Str. 73
19061 Schwerin
Wir helfen beim Umstieg, beantworten Fragen und nehmen auch gerne Themenwünsche an.
14:00–18:00 Uhr

22765 Hamburg

CCCHH
Zeiseweg 9
22765 Hamburg
Wir starten mit kleinen mini-Vorträgen und machen dann mit offenem Workshop Nachmittag weiter
14:00h bis open end

23554 Lübeck

30167 Hannover

CCCH
Klaus-Müller-Kilian-Weg 2
30167 Hannover
GrapheneOS installieren Workshop
14:00 bis open end

36037 Fulda

Magrathea Laboratories e.V. CCC Fulda
Lindenstr.14
36037 Fulda

40227 Düsseldorf

Chaosdorf
Sonnenstraße 58
40227 Düsseldorf

44145 Dortmund

Chaostreff Dortmund,
Braunschweiger Strasse 22
44145 Dortmund
“Weg von Google Home und co.: Hallo Homeassistant.”
Wir erzählen etwas über die Open Source Alternative zu Google Home “Home Assistant” und helfen danach dabei es auf z.B. einem Raspberry-Pi zu installieren.
15:00h im zweiten Stock und leider nicht barrierefrei. Gerne Raspberry-Pi und/oder IoT-Geräte mitbringen Anmeldung erwünscht: https://tickets.ctdo.de/di-day-feb-2025/

49074 Osnabrück

Chaostreff Osnabrück
c/o AStA der Universität Osnabrück
Alte Münze 12
49074 Osnabrück
Wir helfen beim Umstieg, beantworten Fragen und nehmen auch gerne Themenwünsche an.
14:00 bis 18:00 im zweiten Stock und leider nicht barrierefrei.
Bitte meldet Euch, damit wir nach einer Alternative schauen können.

59425 Unna

UN-Hack-Bar e.V.
Hochstraße 10
59425 Unna
Was gibt es neben Word, Exel und PowerPoint.? Wo kann ich meine Daten speichern ohne iCloud Google und Co.
13:00h–17:00h
Vorher gibt es noch ein Mitbring-Frühstück

60327 Frankfurt a. M.

Chaos Computer Club Frankfurt e.V.
Hohenstaufenstraße 8
60327 Frankfurt am Main

66111 Saarbrücken

Hacksaar
Wird in den Räumlichkeiten der vhs Saarbrücken stattfinden
OpenStreetMap

71522 Backnang

Chaostreff Backnang
Willy-Brandt-Platz 2
71522 Backnang
15-18 Uhr

79098 Freiburg

CCCFR
Adlerstr. 12
79098 Freiburg
EndOf 10 (mit Fragebogen/Checkliste), Hilfe bei der Installation von Linux (Bootmedien vorhanden), CrashKurs Security & OpSec für Nicht-Nerds, generelle Fragen zu Computer Themen an Sonntagen ab 15 Uhr Kuchenspenden willkommen ;-)

80797 München

muccc
Schleißheimer Str. 39
80797 München
DID und evtl. Linux-Ausprobier-Party); Nehmen gern auch Themenwünsche an.
15:00–17:00h

93053 Regensburg

Binary Kitchen
Walderdorffstraße 13b
93053 Regensburg
Linux aussuchen und/oder installieren. Aber auch zu anderen Fragen (Cyber Security Expert:innen anwesend)
keine Anmeldung erforderlich, einfach USB Stick und Laptop mitbringen (und Backup vorher machen)
15:00-20:00h

96484 Coburg

Hackzogtum Coburg
Heiligkreuzstr. 3
96484 Coburg
wir helfen beim Um- und Einstieg in Linux. Haben Geräte zum Ausprobieren vor Ort, entsprechende Installationsmedien und helfen beim Installieren, Einrichten und den ersten Schritten wenn gewünscht. (LinuxInstallparty)
14:00h–18:00h

97080 Würzburg

Nerd2Nerd
Schönleinstrasse 5
97080 Würzburg
Linux aussuchen und/oder installieren in Zusammenarbeit mit der GNU/Linux User Group Würzburg und dem Angestöpselt e.V.
14:00h–18:00h

98693 Ilmenau

SPACE
Am Großen Teich 2
98693 Ilmenau
1. Hilfe beim Umstieg auf Linux
2. Einstieg / Einblick in Matrix und Mastodon
3. Hilfe beim Einrichten von Open Source Programmen am Laptop oder Smartphone :)
Bei besonderen Wünschen gerne vorher eine E-Mail schreiben und Problemstellung beschreiben, dann können wir uns besser vorbereiten.
14:00h–18:00h

99817 Eisenach

WAK-Lab e.V.
Georgenstraße 19a
99817 Eisenach
Umstieg auf Linux, Alternative zu MS Office mit eigener lokaler KI Anbindung, Alternative Messenger
14:00h–18:00h

99867 Gotha

TIF-IT e.V.
Kindleber Straße 132
99867 Gotha

Alle regelmäßigen Termine werden auf der Kampagnenseite di.day verlinkt.

Keine Aushöhlung digitaler Rechte in der EU!

khaleesi — 2025-11-12T17:32:00+01:00

Heute wenden sich 127 zivilgesellschaftliche Organisationen in einen offenen Brief an die EU-Kommission und warnen vor den Gefahren, die von der geplanten Deregulierung des „Digital Omnibus“ ausgehen. Den Wünschen von Big Tech noch weiter entgegenzukommen, ist nicht akzeptabel.

Die EU-Kommission plant im Rahmen des sogenannten „Digital Omnibus“ tiefe Einschnitte in grundlegende Rechte der europäischen Bevölkerung im digitalen Raum. Im Eilverfahren sollen zentrale Bausteine des Schutzes vor übergriffigem staatlichen Handeln und umfassender kommerzieller Überwachung entfernt werden und den mehr als fragwürdigen Praktiken einer umstrittenen KI-Industrie ein weitgehender Freifahrtschein erteilt werden.

Der kommerzielle Handel mit sensiblen Daten durch die Werbewirtschaft würde weitgehend legalisiert und damit nicht nur der Datenschutz der europäischen Bevölkerung, sondern auch die Sicherheit aller gefährdet, da diese Daten ohne weiteres auch zu kriminellen und Spionage-Zwecken genutzt werden können.

Statt einer Stärkung des gemeinsamen Rechtsrahmens und der Rechtssicherheit für Vereine, öffentliche Institutionen und die Wirtschaft, würden die problematischen Geschäftsmodelle nicht zuletzt großer Tech-Unternehmen und der Tracking-Industrie gestärkt.

Insbesondere die deutsche Bundesregierung hat auf einige der geplanten Änderungen gedrängt. Während fast alle anderen EU-Staaten allenfalls kleine Änderungen befürworten würden und vielmehr Mechanismen für eine einheitliche und effektive Durchsetzung anmahnen, drängt die Bundesregierung auf eine weitgehende Abschaffung von Betroffenenrechten, womit sie offenkundig bei der Kommission unter Ursula von der Leyen auf offene Ohren gestoßen ist.

Verkaufte Grundrechte

Elina Eickstädt, Sprecherin des Chaos Computer Clubs (CCC): „Bürger*innen sollen entmachtet, sensible Daten freigegeben und die fragwürdigen Praktiken der KI-Industrie legalisiert werden. Statt an einer digitalen Zukunft für alle zu arbeiten, verkauft die Kommission unsere Grundrechte und überlässt Tech-Konzernen die Kontrolle.“

Ella Jakubowska, European Digital Rights (EDRi): „Wir sind bereits meilenweit davon entfernt, dass die Kommission glaubhaft behaupten könnte, dies würde die Dinge vereinfachen. Dies ist ein umfassender Angriff auf unsere Grundrechte und bürgerlichen Freiheiten, der die digitale Welt für Kinder und Erwachsene gleichermaßen unsicherer machen würde.“

Tom Jennissen, Digitale Gesellschaft: „Die geplanten Änderungen stellen keine Vereinfachungen in der Praxis dar. Sie zielen einzig auf den Abbau von Betroffenenrechten und die Legalisierung problematischer Geschäftspraktiken. Gerade die Rolle der Bundesregierung ist äußerst bedenklich: Statt die Probleme der Digitalisierung in Deutschland endlich effektiv anzugehen, wird mal wieder alle Schuld auf den Datenschutz geschoben. In der nächsten Woche wird die Bundesregierung mit großem Popanz den ‚europäischen Gipfel zur digitalen Souveränität‘ veranstalten. Doch statt sich endlich aus der Abhängigkeit von Big Tech zu lösen, schleift sie hinter den Kulissen den Rechtsrahmen, der genau diese Tech-Unternehmen unter Kontrolle halten soll.“

Svea Windwehr, Co-Vorsitzende von D64 – Zentrum für Digitalen Fortschritt: „Wer digitale Souveränität will, aber Grundrechte opfert, verspielt die Jahrhundertchance, die digitale Transformation demokratisch, offen und fair zu gestalten. Europäische Digitalregulierung abzubauen, kommt in erster Linie den Hyperscalern zugute. Diese stemmen sich vehement gegen strengere Wettbewerbsregeln, bessere Nutzer:innen-Rechte und zumindest grundlegende Regeln für KI.“

Schutz sensibler Daten wäre weitgehend aufgehoben

Bereits im Frühjahr hatte die EU-Kommission angekündigt, im Rahmen ihrer ausdrücklichen Deregulierungs-Agenda auch technische Anpassungen an der Datenschutzgrundverordnung (DSGVO) sowie der ePrivacy-Richtlinie vorzunehmen. Die nun durchgesickerten Pläne gehen aber weit über die seinerzeit ins Auge gefassten Änderungen hinaus.

So sehen die geplanten Änderungen eine weitgehende Ausnahme von pseudonymisierten Daten in der Definition der „personenbezogenen Daten“ vor, obwohl sich gerade durch die Zusammenführung verschiedener Daten angesichts umfassender Datensammlungen oft unschwer auf die Identität von Personen schließen lässt. Die Kommission möchte insofern einen rein subjektiven Ansatz verfolgen, was nicht zu Vereinfachungen, sondern zu neuen Rechtsunsicherheiten führen wird.

Besonders sensible Daten, etwa zu religiösen und weltanschaulichen Ansichten, zur ethnischen Herkunft oder zu Gesundheitsdaten sollen nur geschützt werden, wenn sie ausdrücklich erhoben werden, aber nicht, wenn sich aus den Daten auf sie schließen lässt. Angesichts der Praxis staatlicher und vor allem kommerzieller Stellen würde das den Schutz dieser Daten ganz weitgehend aufheben und sogar dazu führen, dass Menschen, die aus guten Gründen entsprechende Angaben vermeiden, den Schutz verlieren.

Für KI-Anwendungen ist eine Art Bereichsausnahme geplant, so dass diese besonders geschützten Daten weitgehend für das Training von KI-Modellen verwendet werden dürfen.

Sogenannte „Omnibus-Verfahren“ werden derzeit von der EU in bestimmten Bereichen genutzt, um verschiedene regulatorische Pläne in einem Verfahren zu bündeln. Dabei wird der Eindruck erweckt, dass es sich weitgehend um technische Anpassungen handeln würde. Im Detail stecken darin jedoch auch tiefgreifende Einschnitte in etablierte regulatorische Strukturen. Durch die Bündelung sehr verschiedener Maßnahmen werden die üblichen gesetzgeberischen Abläufe unterlaufen und durch den Anschein der „technischen Anpassung und Vereinfachung“ demokratische Beteiligung erschwert.

Weiterführende Links:

Brief in englischer Fassung

Brief in deutscher Fassung

Gesichtserkennung und Palantir: Dobrindts Überwachungspaket muss vom Tisch

kantorkel — 2025-10-15T11:30:00+02:00

Heute hat AlgorithmWatch zusammen mit Amnesty International, CCC, GFF und Ulrich Kelber ein Gutachten vorgelegt, das die Rechtswidrigkeit von Dobrindts Plänen zur biometrischen Massenüberwachung klar belegt. Auch seine unsäglichen Palantir-Ideen passen nicht in unsere Demokratie. Beide Vorhaben gehören ersatzlos gestrichen.

Das von AlgorithmWatch, Amnesty International, Chaos Computer Club (CCC), Gesellschaft für Freiheitsrechte (GFF) und dem ehemaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, heute vorgestellte Gutachten ist eindeutig: Die in einem Gesetzespaket formulierten Ideen von Bundesinnenminister Alexander Dobrindt (CSU) nach biometrischer Dauerüberwachung sind nicht mit einem demokratischen Rechtsstaat kompatibel und verstoßen gegen EU-Recht.

Massenhaft biometrische Daten der Gesichter von allen einzusammeln und hintenrum technisch analysieren zu lassen, ist ein Vorstoß, der unser Zusammenleben nachhaltig verschlechtern würde. Denn niemand, außer vielleicht ein paar Leuten im Innenministerium, will in einer Welt leben, in der jeder Mensch überall Gefahr läuft, biometrisch analysiert und mit Datenbanken abgeglichen zu werden. Die Körperdaten von Menschen sind keine freie Verfügungsmasse, weder für kommerzielle Stalking-Dienstleister noch für das Abspeichern in staatlichen Datenhalden.

Wer eins und eins zusammenzählen kann, wird den im gleichen Entwurf vorgesehenen Plan, automatisierte Datenanalysen in bisher ungekanntem Ausmaße für Polizeibehörden des Bundes zu erlauben, in der selben Kategorie von Überwachungsdystopien einsortieren: Dobrindt plant auch hier eine massenhafte Analyse mit Millionen Betroffenen, deren Daten hinterrücks zusammengeführt und gerastert werden. Dass er dazu auch noch öffentlich erwägt, einen Vertrag mit dem Konzern Palantir einzugehen, strotzt vor Ignoranz gegenüber allem, was sich in den Vereinigten Staaten derzeit mit aktiver technischer Hilfe von ebenjenem US-Konzern abspielt.

Aber das Problem heißt nicht Palantir, Pimeyes oder Clearview AI. Das eigentliche Problem ist die Idee einer allgegenwärtigen Überwachung und Datenrasterung, der niemand mehr ausweichen kann.

Europarechtswidrig und zum Scheitern verurteilt

Noch ist unklar, wann das Kabinett Dobrindts Entwürfe auf die Tagesordnung setzen wird. Doch die Bundesregierung hat sich zum Ziel gesetzt, die biometrische Überwachung der Bevölkerung voranzutreiben.

In der vorliegenden Form würden sie gegen geltendes Recht verstoßen und einer Massenüberwachung der Bevölkerung Tür und Tor öffnen. Der Gesetzentwurf des Bundesinnenministeriums muss aus rechtlichen und technischen Gründen abgelehnt werden. Die Einschätzung wird von einem neuen Gutachten gestützt, das heute vorgestellt wurde.

Ein Kern der Kritik ist der eindeutige Verstoß gegen die KI-Verordnung der EU (AI Act), der im Gesetzentwurf angelegt ist. Die KI-Verordnung verbietet es ausnahmslos, „Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen [zu] erstellen oder [zu] erweitern.” Insofern würden nationale Gesetzesvorhaben, die einen biometrischen Abgleich mit Bildern aus dem Internet vorsehen, geltendem EU-Recht zuwiderlaufen, falls dieser Abgleich nur mit Hilfe solcher Datenbanken stattfinden kann.

Genau das ist der Fall, wie das von AlgorithmWatch beauftragte technische Gutachten belegt: Um den biometrischen Abgleich mit Bildern aus dem Internet wie vorgesehen durchzuführen, müssen ausnahmslos Datenbanken zur Gesichtserkennung genutzt werden. Damit ist ein solches Gesetz europarechtswidrig und zum Scheitern verurteilt.

Matthias Marx, Sprecher des Chaos Computer Clubs, kommentiert:
„Egal, wer sie betreibt: Biometrische Massenüberwachung ist rechtswidrig. Die Polizei darf auch nicht auf kriminelle private Gesichtersuchmaschinen wie Pimeyes oder Clearview AI ausweichen, schon um sie nicht durch die Hintertür zu legitimieren. Viel mehr müssen diese kommerziellen Dienste endlich von deutschen Datenschutzbehörden mit allen Mitteln des Rechts aktiv bekämpft werden. Ebenso gehört der Plan gestrichen, alle Polizeidaten zusammenzuführen und automatisiert zu analysieren.“

Matthias Spielkamp, Geschäftsführer von AlgorithmWatch, erklärt:
„Wir sind froh, dass wir mit dem Gutachten nun zeigen können, was wir und viele andere schon lange kritisieren: Die angestrebten biometrischen Erkennungsverfahren würden zwangsläufig gegen EU-Recht verstoßen, weil sie ohne den Einsatz von Datenbanken nicht umsetzbar sind. Diese Bundesregierung kann diese Tatsache nicht länger bestreiten und sollte ihre Gesichtserkennungspläne endgültig begraben.”

Dr. Simone Ruf, Leiterin des Center for User Rights bei der Gesellschaft für Freiheitsrechte, fügt Kritik aus grundrechtlicher Perspektive hinzu:
„Internet-Scans nach Gesichtern und Palantir bringen uns nicht mehr Sicherheit – sie sind ein Angriff auf unsere Grundrechte und ein Schritt in den Überwachungsstaat. Das dürfen wir nicht akzeptieren.“

Unterstützt wird die Kritik von Dr. Julia Duchrow, Generalsekretärin Amnesty International Deutschland, aus menschenrechtlicher Perspektive:
„Massenhafte Überwachung mit KI gefährdet Menschenrechte und Demokratie. Sie hat eine einschüchternde Wirkung und birgt die Gefahr von Missbrauch. Sowohl beim KI-Einsatz für einen biometrischen Abgleich als auch für eine automatisierte Analyse von Polizeidaten besteht außerdem ein erhebliches Risiko für Diskriminierung. Falls für die automatisierte Datenanalyse Software von Palantir eingesetzt werden soll, so handelt es sich um ein Unternehmen, das nach Recherchen von Amnesty International in den USA systematisch in Menschenrechtsverletzungen der Trump-Administration involviert ist – und daher von öffentlichen Aufträgen ausgeschlossen werden sollte.“

Ulrich Kelber, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, schließt mit datenschutzrechtlicher Kritik:
„Immer wieder musste das Bundesverfassungsgericht aufgrund von Klagen aus der Zivilgesellschaft überschießende Überwachungs- und Fahndungsgesetzgebung stoppen. Das Bundesinnenministerium hat daraus nicht gelernt und will erneut gesetzliche Regelungen, die erkennbar gegen Vorgaben der Verfassung, des Datenschutzes und der KI-Regulierung verstoßen.“

Dobrindts Entwurf sieht mehrere Änderungen am Gesetz über das Bundeskriminalamt (BKAG), am Gesetz über die Bundespolizei (BPolG) und am Asylgesetz (AsylG) vor. Polizeibehörden sollen zusätzliche Befugnisse erhalten, die Grundrechte verletzen, gegen die KI-Verordnung der EU verstoßen und KI-gestützte Massenüberwachung vorantreiben. AlgorithmWatch hatte im Juli eine Petition gestartet, in der unter anderem gefordert wird, Gesichtserkennungssysteme im öffentlichen Raum vollständig zu verbieten. Mehr als 52.000 Menschen haben diese Petition unterschrieben.

Aus Sicherheitsgründen: Bundesregierung muss der Chatkontrolle eine Absage erteilen

khaleesi — 2025-10-03T02:44:00+02:00

Der dänische Vorsitz im EU-Rat will am Dienstag, 14. Oktober, über die Chatkontrolle abstimmen lassen. Der vorgeschlagene Text ist eine unveränderte Katastrophe für jegliche vertrauliche Kommunikation. Doch die Bundesregierung schweigt sich weiter aus, ob sie sich dem gefährlichen Plan entgegenstellen wird.

Obwohl die wichtige Entscheidung über die Chatkontrolle unmittelbar ansteht, mauern alle Ministerien. Weder das Innenministerium noch das Justizministerium noch der „Digitalminister“ äußern sich dazu, wie die deutsche Position im EU-Rat sein wird.

Die EU-Kommission plant im Rahmen der Chatkontrolle, milliardenfach in Chats sämtliche Bilder und Filme zu scannen, um Darstellungen von Kindesmissbrauch zu finden. Inzwischen ist unbestritten, dass diese Idee falsch, gefährlich und zudem fehleranfällig ist. Trotzdem verweigert die neue Bundesregierung im jahrelangen Streit darum die Auskunft, wie sie sich dazu stellt.

Alter Wein in neuen Schläuchen

Der aktuelle Vorschlag der dänischen Ratspräsidentschaft umfasst alle problematischen Maßnahmen, die bisher in der EU keine Zustimmung gefunden haben: das Scannen nach bekannten und auch unbekannten Missbrauchsdarstellungen sowie das Scannen nach URLs.

Durch den Einzug einer inzwischen verbreiteten fast lückenlosen Verschlüsselung in Messenger-Dienste greifen einige Überwachungsmechanismen ins Leere. Für eine Umsetzung der geplanten Scans braucht es direkten Zugriff auf die Daten schon vor der Verschlüsselung.

Hierfür soll das sogenannte Client-Side-Scanning dienen, was nichts weiter als ein beschönigender Begriff dafür ist, direkt auf dem Gerät zu überwachen. Welches technische Verfahren dazu verwendet werden soll, ist bisher nicht bekannt. Aber dieses Scanning kann anders als behauptet niemals minimal-invasiv sein, denn ein solcher Scanner muss ja gegen den Willen des Nutzers agieren. Notwendigerweise müssen dafür Hintertüren in den Protokollen oder auf den Geräten platziert werden.

Das bedeutet: In Signal, WhatsApp oder Threema müssten beispielsweise absichtliche Sicherheitslücken platziert werden, um die Verschlüsselung auszuhebeln. Viele Millionen Menschen nutzen diese Messenger privat und beruflich jeden Tag, um sich auszutauschen und auch höchstpersönliche Nachrichten und Bilder mit Freunden und Familie zu teilen.

Das Scannen nach dem gesuchten Material ist technisch ebenso komplex wie fehleranfällig. Es wäre vor allem aber ein Dammbruch, der sichere Kommunikation für alle faktisch unmöglich machen würde.

Konsequenzen für IT-Sicherheit und Grundrechte

Ende-zu-Ende-verschlüsselte Kommunikation muss aber verlässlich sein. Sie ist ein entscheidender Baustein der IT-Sicherheit in einer digitalisierten Welt, den man nicht mutwillig mit Hintertüren versehen darf.

Die Bundesregierung hat die IT-Sicherheit zu einem ihrer Kernthemen ausgerufen. Im Koalitionsvertrag versprach sie: „Grundsätzlich sichern wir die Vertraulichkeit privater Kommunikation […] im Netz.“ Sie darf und sollte es nicht zulassen, dass ein derart gefährlicher Vorstoß auf EU-Ebene durchgesetzt wird.

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, sagt: „Sollte ein solches Gesetz zur Chatkontrolle auf den Weg gebracht werden, bezahlen wir nicht nur mit dem Verlust unser Privatsphäre. Wir öffnen auch Tür und Tor für Angriffe auf sichere Kommunikationsinfrastruktur.“

Noch kurz zur Erinnerung: Client-Side-Scanning ist nicht nur fehleranfälliger Mumpitz, sondern wäre auch von vornherein rechtswidrig. Denn eine Pflicht zur Chatkontrolle in dem geplanten abstrusen Ausmaß ist unverhältnismäßig und widerspräche auch der EuGH-Rechtsprechung. Ein allgemeines Scannen sämtlicher Inhalte von Chat-Kommunikation stellt den denkbar schwersten Grundrechtseingriff dar, der selbst die dreiste Idee der Vorratsdatenspeicherung noch in den Schatten stellt.

Diese Art von Eingriff widerspricht nicht nur der EuGH-Rechtsprechung, sondern wird auch vom Juristischen Dienst des Rats sowie dem UN High Commissioner of Human Rights als rechtswidrig angesehen.

Vorträge, Musik, Kunst, Punk: Macht mit beim 39. Chaos Communication Congress!

46halbe — 2025-09-28T00:21:00+02:00

Wir laden dazu ein, das Programm auf den Bühnen mit Vorträgen und den 39C3 mit Musik, Kunst und Punk zu bereichern. Der Call for Participation in gleich vier Feldern ist nun online.

Der Chaos Computer Club lädt Ende Dezember zum 39. Chaos Communication Congress nach Hamburg und bittet ab jetzt um Ideen für Vorträge. Die beste Hackerparty des Jahres könnt ihr außerdem mit euren Musik- und Kunstideen und mit Punk unterstützen.

Bitte lest unseren Call for Participation, bevor ihr eure Ideen einreicht. Denn hier finden sich praktische Hinweise und Handreichungen, um die eigene Einreichung am besten rüberzubringen und typische Fehler zu vermeiden.

Wir planen Vorträge auf vier Bühnen. Aus den Vortragseinreichungen werden wir daher etwa 130 Vorträge auswählen, die zu folgenden Themenfeldern (Tracks) gehören können:

Art & Beauty,
Hardware & Making,
Ethics, Society & Politics,
Science,
Security & Hacking.

Bitte beachten: Wir veröffentlichen heute vier verschiedene Aufrufe zur Beteiligung. Wer Einreichungen für Vorträge auf den Bühnen sowie für Musik-Performances, Kunst-Installationen und Punk am Späti abgeben will, kann das über die jeweiligen Aufrufe tun.

Die Deadline für Einreichungen für das Bühnenprogramm ist der 24. Oktober 2025, 23.59 UTC. Wir planen die Benachrichtigungen für angenommene Vorträge bis Anfang November. Der 39C3 wird vom 27. bis zum 30. Dezember stattfinden.

Links:

Call for Participation: https://content.events.ccc.de/cfp/39c3/index.de.html

Einreichungen (Pretalx) für die vier Programm-Bühnen: https://cfp.cccv.de/39c3/

Einreichungen (Pretalx) beim Call for Art https://cfp.cccv.de/39c3-art/

Einreichungen (Pretalx) für den Music Club und Chill Floor https://cfp.cccv.de/39c3-chaos-computer-music-club/

Einreichungen (Pretalx) beim Call for Punk https://cfp.cccv.de/39c3-call-for-punk

Der CCC unterstützt epicenter.works mit Spende

metaman — 2025-09-26T17:09:00+02:00

Der Chaos Computer Club gratuliert dem Verein epicenter.works zu seinem 15-jährigen Jubiläum und spendet 15.000 Euro.

Der österreichische Verein epicenter.works hat sich in den fünfzehn Jahren seines Bestehens zu der wichtigsten digitalpolitischen NGO Österreichs entwickelt und feiert in diesem Jahr sein Jubiläum. Ob in Wien oder in Brüssel oder vor Gericht: Wir wollen epicenter beim Kampf für besseren Datenschutz, für ein freies Netz, für eine gerechte Informationsgesellschaft und für Netzneutralität unter die Arme greifen. Der Chaos Computer Club (CCC) spendet daher zum 15-jährigen Jubiläumsjahr 15.000 Euro.

Der CCC hat von Anfang an mit epicenter zusammengearbeitet. Das wollen wir auch in Zukunft tun. Doch der Kampf um digitale Grundrechte wird härter und braucht gerade jetzt mehr Unterstützung denn je. Nicht nur weil es mehr und mehr Gesetze gibt, die unsere fundamentalen Rechte bedrohen, sondern auch weil die Finanzierung für NGOs immer schwieriger wird. Die Liste der Projekte und Gesetzesvorhaben, die in Österreich und Europa unsere Grundrechte erodieren, wird jährlich länger, während viele Unterstützer den Gürtel enger schnallen mussten.

Der Verein übernimmt in Wien und Brüssel und sogar auf dem UN-Parkett nicht nur die Aufgabe, technische Sachverhalte zu erklären und einzuordnen, er führt auch strategische Prozesse, unterstützt politische Entscheidungsträger mit Stellungnahmen und kommentiert Aktuelles. Dem stehen oft gut finanzierte Lobbyisten gegenüber, die in der Regel kommerzielle Interessen verfolgen.

Wir hoffen, dass wir mit unserer Spende dabei helfen, die Arbeit des Vereins zu unterstützen, und dass epicenter mit uns zusammen weiterhin gegen dreiste Überwachungsideen wie Chatkontrolle oder Vorratsdatenspeicherung, gegen die um sich greifende Videoüberwachung oder gegen Staatstrojaner kämpft. Denn in Österreich ist aktuell der Bundestrojaner zurück und braucht Gegenwehr, damit die staatliche Schadsoftware nicht auch so normalisiert wird wie hierzulande.

Wir gratulieren zum Jubiläum, zu den zahlreichen netzpolitischen Erfolgen und Kampagnen und zum Durchhaltevermögen und wünschen für die nächsten 15 Jahre eine wachsende Zahl an Fördermitgliedern!

Links:

Chaosradio zum epicenter-Jubläum: 15 Jahre epicenter.works

Die aktuellen Baustellen in der Netzpolitik: Netzpolitischer Wetterbericht

Ihr könnt epicenter auch unterstützen, damit der Verein finanziell unabhängig und stabil bleibt.

Marktforschung mit Gesichtsbildern: Wir verklagen das BKA

kantorkel — 2025-09-19T13:37:00+02:00

Der CCC unterstützt eine Klage gegen das BKA, das rechtswidrig biometrische Gesichtsbilder weitergegeben hat. Ein Betroffener wehrt sich gegen die Nutzung seiner Daten.

Vor dem Verwaltungsgericht in Wiesbaden hat heute der Hacker und IT-Sicherheitsexperte Janik Besendorf mit Unterstützung des Chaos Computer Clubs (CCC) eine Klage gegen das Bundeskriminalamt (BKA) eingereicht. Er wendet sich dagegen, dass die Behörde rechtswidrig Gesichtsbilder von ihm verarbeitet hat.

Besendorf geht damit gegen eine Zusammenarbeit des BKA mit dem Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) vor, die Millionen Gesichtsbilder im Rahmen eines Produkttests verwendet haben. Dazu soll das BKA biometrische Gesichtsbilder aus der Polizeidatenbank INPOL-Z zweckentfremdet und ohne Rechtsgrundlage an Fraunhofer für Software-Tests weitergegeben haben.

Die in INPOL-Z erfassten Personen wurden ohne ihr Wissen und ohne ihre Einwilligung zu Versuchskaninchen gemacht, damit Fraunhofer mit den Fotos vier Gesichtserkennungssysteme testet. Auch ein Gesichtsfoto von Besendorf landete 2018 nach einer erkennungsdienstlichen Behandlung in der Datenbank der Polizei.

Bekannt wurde der Vorgang 2021 nach einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) von CCC-Sprecher Matthias Marx. Er regte daraufhin beim damaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine Prüfung der Rechtmäßigkeit an. Mehr als zwei Jahre später teilte die Behörde mit, dass sie den Vorgang für problematisch halte und ihre rechtlichen Bedenken dem BKA übermittelt hat. Eine anschließende Beschwerde Besendorfs war dennoch erfolglos.

Links

Vortrag von Janik Besendorf und Bea Hubrig beim 38C3: Mit dem Kärcher durch die Datentröge der Polizeien
Abschlussbericht: Leistungstechnischer Vergleich von Gesichtserkennungssystemen

Bei Nachfragen wenden Sie sich gern an unsere E-Mailadresse presse(at)ccc.de

CCC trauert um Jürgen "Bishop" Christ

dennis — 2025-08-26T21:25:00+02:00

Jürgen Christ, in der Netzszene unter dem Namen „Bishop“ bekannt, war ein unerschrockener Journalist, ein früher Pionier der digitalen Kultur und ein entschiedener Verfechter von Frieden, Demokratie und Meinungsfreiheit. Er starb im August 2025.

Nachruf auf Jürgen „Bishop“ Christ * 1962 bis † 2025

In den 1980er-Jahren gründete Jürgen die Underground Mailbox Cologne (UMC), eines der ersten E-Mail-Systeme in Deutschland. Als „Hackerbischof“ verband er Technik mit Philosophie und Kultur, nannte Computer eine „Kunst- und Kulturmaschine“ und begriff digitale Netze als Räume der Emanzipation. 1985 folgte die Gründung der Computer Artists Cologne (CAC), einer Schwesterorganisation des Chaos Computer Clubs.

Mit Wau Holland, einem engen Freund und Weggefährten, entwickelte er Ideen, die die Hackerszene friedlich prägten – vom kreativen Widerstand gegen die Bundespost bis hin zu Aktionen wie dem „Protestklingeln“ 1995 gegen französische Atombombentests.

Jürgen war eng verbunden mit dem Mailbox-Pionier Günther Leue, dem Gründer von GeoNet und Ehrenmitglied des Chaos Computer Clubs. Während Leue mit juristischem Mut und technischer Innovation das Postmonopol durchbrach und Mailboxen in Deutschland etablierte, brachte Jürgen diese Ideen in den gesellschaftlichen und politischen Diskurs ein. Beide verband der Pioniergeist, digitale Kommunikation frei, sicher und demokratisch zugänglich zu machen.

Er verweigerte den Wehrdienst mit der Begründung, als Hacker keine Geheimnisse wahren zu können, da er der Wahrheit und der Weitergabe von Informationen verpflichtet sei. Dass er damit durchkam, erfuhr er am Messestand des FoeBuD auf der CeBIT. Dort veröffentlichte das Presseteam von FoeBuD, CCC und Jürgen eine gemeinsame Pressemitteilung – versehen mit dem offiziellen CeBIT-Logo, was fast zum Ausschluss des FoeBuD von der Messe führte.

Früh erkannte Jürgen gesellschaftliche Umbrüche. Gemeinsam mit Wau Holland veröffentlichte er 1992 in der Leipziger Volkszeitung den Artikel „Das Ende der Demokratie“, in dem sie Flüchtlingskrisen, den Aufstieg der neuen Rechten und die allgegenwärtige mobile Vernetzung voraussahen. In demselben Jahr verwendete Jürgen bereits den Begriff „Smartphone“ – Jahre bevor er offiziell in die technische Sprache Eingang fand.

Sein Engagement galt stets einer demokratischen Nutzung der digitalen Medien. Mit dem selbst entwickelten Online-Konferenzsystem Tele-o-Log erprobte er in den 1990er-Jahren Bürgerbeteiligung im Netz – etwa mit Konferenzen über Verschlüsselung, Frauen in der Politik, Homeoffice oder über Europas Rolle. Damit war er seiner Zeit weit voraus. Parallel entstanden Online-Communities wie Telemat und Telematin.

1997 veröffentlichte Jürgen gemeinsam mit Otfrid Weiss und anderen Mitstreitern die Online Magna Charta, auch bekannt als Wartburg-Charta. Sie forderte ein universelles Menschenrecht auf digitale Existenz, Informationsfreiheit und ein „virtuelles Zuhause“ – Grundrechte, die heute aktueller sind denn je. Die UNESCO würdigte diese Erklärung als wichtigen internationalen Beitrag.

Jürgen war nicht nur Technikpionier, sondern auch politischer Beobachter mit feinem Gespür für Missstände. Als Journalist deckte er in den 1990er-Jahren politische Skandale auf, doch seine Ehrlichkeit und Sensibilität machten ihn für das harte Tagesgeschäft der Politik zu kompromisslos. Seine Haltung war stets: Frieden statt Gewalt, Freiheit statt Angst, Menschlichkeit vor Macht.

Sein Lebensweg war eng mit der Erinnerung an seinen Freund Wau Holland verbunden. In seiner Rede 2021 zum Film „Alles ist eins. Außer der Null“ schilderte Jürgen ihre Freundschaft als ein jahrzehntelanges Ringen um digitale Aufklärung, Offenheit und den Schutz vor Missbrauch neuer Technologien.

Jürgen Christ hinterlässt Spuren als Visionär, Netzaktivist und Freund. Er war ein Mensch, der in Technik Kultur sah, in Daten Demokratie und in Kommunikation Menschlichkeit. Sein Vermächtnis ist ein Auftrag: digitale Freiheit und Würde der Menschen zu verteidigen – mit Liebe, Mut und offenem Visier.

Jürgen hat sein Leben immer selbstbestimmt gestaltet und ist nicht unerwartet nach wenigen Tagen auf einer Palliativstation am 17. August 2025 verstorben.

Wir sind dankbar für die Zeit, die wir mit Dir teilen durften.

System runterfahren, neu starten! CCC lädt zum 39C3: Power Cycles

erdgeist — 2025-08-09T15:12:00+02:00

Der Chaos Computer Club (CCC) lädt alle Interessierten ein, bei der 39. Ausgabe des Chaos Communication Congress unter dem Motto „Power Cycles“ mitzumachen. Der 39C3 öffnet am 27. Dezember 2025 im CCH im Herzen Hamburgs seine Tore.

hallo

Bereits der erste Congress im Jahr 1984 etablierte sich als ein Kompass im elektronischen Spannungsfeld zwischen Computersicherheit, digitaler Freiheit und dem kritischen Nachdenken über die Auswirkungen von Technologien auf die Gesellschaft. Seither findet in der Zeit zwischen Weihnachten und Neujahr die bunte Welt der Hacker- und Untergrundkultur, unabhängiger Medien, Kunst und Technologie zueinander.

Auch dieses Jahr lädt der CCC alle Interessierten nach Hamburg ein. Alle, die sich in unserer Unvereinbarkeitserklärung wiederfinden, können gemeinsam mit uns versuchen, die Grenzen zwischen Technologie, Politik, Kunst und Kreativität zu verwischen und das Feuer unter dem Schmelztiegel direkter Aktion anzufachen.

Der Congress versteht sich als internationale, kommerzfreie, inklusive und trotz seiner Größe komplett selbstorganisierte Veranstaltung. Sie soll in einer anregenden, aber für alle sicheren Umgebung zum Mitdenken und Mitmachen, Hacken und Basteln, Vernetzen und Visionen Entwickeln einladen. Wir wollen Menschen zusammenbringen, die getrieben sind von Hilfsbereitschaft und Neugierde, mit einem hype-freien Fokus auf Zusammenarbeit und dem routinemäßigen Einreißen von Grenzpfählen. Wir versuchen dazu, ein kollaboratives Umfeld zu schaffen, geprägt von respektvollem und möglichst hierarchiefreiem Umgang miteinander.

Von der Entspannung bei relaxter Party-Atmosphäre, über intellektuelle Stimulation in Vorträgen und Workshops zu einer Fülle an breitgefächerten Themen und der sofortigen Umsetzung von Prototypen spontaner Ideen braucht es oft nur wenige Schritte. Die Community will in diesem Jahr ganz im Sinne des Mottos „Power Cycles“ sinnieren, wie es nach der anhaltenden Selbstdemontage der Großmächte weitergeht und wo sie als Schockwellenreiter im Strudel zyklisch rotierender Weltordnungen stehen.

Denn Themen gibt es reichlich: Was kann eine Gesellschaft den Herrschaftsphantasien multinationaler Privatgeheimdienste mit Pre-Cog-Phantasien entgegenstellen? Wie begegnet man der allgegenwärtigen Resignation vor den aufdringlichen „KI“-Overlords, die den Mächtigen mehr Werkzeuge in die Hand geben wollen, selbstdenkende Menschen aus kreativen Berufen zu verdrängen? Wie lassen sich zerfahrene und planetenfressende Prozesse power-cyclen, um sie neu und nachhaltiger zu denken? Wie lassen sich lebenswerte digitale Zukünfte bauen, wo TikTok und Instagram nur Randnotizen sind und wo Menschen mehr Wertschätzung erfahren, die offene Software, Protokolle und Schnittstellen bauen und solidarische Ideen in Technologie umsetzen als aufmerksamkeitsoptimierte Influencer?

Neben hunderten von dezentral organisierten thematischen Gruppen – den Assemblies – und tausenden Freiwilligen – den Engeln – sind auch die rund 16.000 erwarteten Menschen aufgerufen, aktiv am Congress mitzumachen! Der Call for Participation des 39C3 wird Anfang September starten.

Wir rufen alle Interessierten auf: Schließt euch einer Assembly an, werdet Engel, kramt in den Projektkisten nach Erzählenswertem und folgt dem Feed des Events-Blogs. Dort werden innerhalb der nächsten Wochen alle Informationen zum Beginn des Ticket-Verkaufs, zur Anreise und zu den Möglichkeiten veröffentlicht, wie ihr euch einbringen könnt.

Bild von Leah Oswald unter CC BY-SA 2.0.

CCC fordert Innenminister Dobrindt auf, sein „Sicherheitspaket“ zurückzunehmen

henning — 2025-08-07T23:56:00+02:00

Die jüngsten Pläne des Bundesinnenministers mit einem „Sicherheitspaket 2.0“ sehen folgenschwere neue Überwachungswerkzeuge für die Polizeiarbeit vor. Darunter finden sich eine umlackierte Rasterfahndung in einer polizeilichen „Superdatenbank“ sowie die Einführung experimenteller automatischer Biometriedatenvergleiche. Ein breites zivilgesellschaftliches Bündnis, darunter der CCC, fordert daher in einem offenen Brief das sofortige Ende dieser Vorhaben.

Dobrindt will den Polizeien des Bundes die Befugnis erteilen, das Internet als Datenquelle für massenhafte biometrische Abgleiche zu missbrauchen. Hierzu sollen kaum veränderliche Körperdaten wie die Stimme oder das Gesicht von Menschen im öffentlichen Netz abgegrast werden, um sie dann mit Verdächtigen oder auch Zeugen auf Übereinstimmung zu vergleichen.

Die Biometrievergleiche könnten beispielsweise mit aus dem Internet zusammenkopierten Gesichtsbildern, aber auch mit Bewegungsmustern oder mit Hilfe von Verhaltenserkennung vorgenommen werden.

Constanze Kurz, Sprecherin des Chaos Computer Clubs, kommentiert: „Die Pläne Dobrindts zur biometrischen Fahndung im Netz sind gefährlich und rundweg abzulehnen. Denn sie würden den öffentlichen Raum Internet verändern: Millionen Gesichter in Bildern oder Filmen, die Menschen alltäglich im Netz teilen, würden zum biometrischen Rohstoff für automatisierte polizeiliche Suchen. Dass der Innenminister dabei über europäische Datenschutzregeln einfach hinweggeht, zeigt eine beunruhigende Ignoranz gegenüber bestehenden Rechten.“

Dobrindt missachtet hierbei gleich mehrere EU-Regeln mit Anlauf: Die Pläne kollidieren auch mit der KI-Verordnung, die es explizit verbietet, ungezielt Gesichtsbilder aus dem Netz zum Aufbau einer Gesichtsdatenbank auszulesen.

Polizeiliche Datenanalyse

Das zweite Projekt von Dobrindt ist die Zusammenführung von Polizeidaten in bisher nicht gekanntem Ausmaß, um sie für Analysen zu erschließen. Die erheblichen Datenmengen, die zu höchst unterschiedlichen Zwecken bei der Polizei erhoben wurden, sollen in eine riesige Schattendatenbank überführt und dann ausgewertet werden.

Das Ganze soll dem Vernehmen nach auch noch von Software von dem US-amerikanischen Überwachungskonzern Palantir übernommen werden – zumindest wird das von Dobrindt erwogen. Was genau deren Software mit den Millionen Informationshappen macht, ist und bleibt das Geheimnis des Konzerns. Es gibt außer den immer wieder vorgeführten fingierten Fallbeispielen keinerlei handfeste Belege, dass diese Software einen nachweisbaren Nutzen hat. Geprüft wurde wohl mal eine ältere Version, aber nicht mal das war öffentlich nachvollziehbar.

Der CCC möchte bei dieser Gelegenheit betonen, dass Palantir-Software-Spenden gern entgegengenommen werden.

Constanze Kurz, CCC-Sprecherin: „Auch Dobrindts Plan in seinem ‚Sicherheitspaket‘, alle Polizei-Datenbestände zusammenzuführen und automatisiert zu analysieren, muss gestrichen werden. Es würde die alltäglichen Polizeikontakte von Menschen in eine undurchsichtige Analyse-Maschinerie hineingeben, die nichts mehr mit dem eigentlichen Zweck der Datenerhebung zu tun hat. Dass dazu auch nur erwogen wird, den US-Konzern Palantir mit der Polizeidatenanalyse zu beauftragen, lässt die Aussagen zur ‚digitalen Souveränität‘ im Koalitionsvertrag geradezu lächerlich erscheinen.“

In diesen Bestrebungen wird erneut die sicherheitspolitisch oft beobachtete naive Technikgläubigkeit deutlich. Das bloße Zusammenwerfen von verfügbaren echten oder halluzinierten Informationen soll durch den Zukauf einer kommerziellen Software magisch gewissenhafte Polizeiarbeit ersetzen und soziale Probleme lösen können. In der Realität zeigt sich jedoch immer wieder, dass unter den blinden Flecken der eingesetzten Software und durch die schon in den Daten eingebauten Vorurteile oft Unschuldige ins Visier der Behörden geraten.

Wir fordern daher mit Nachdruck: Automatisierte Biometrieabgleiche gehören verboten statt sie in ein Gesetz zu gießen. Und eine Rasterfahndung bleibt eine Rasterfahndung, auch wenn ein Konzern „was mit KI“ drübersprenkelt.

Der offene Brief im Wortlaut:

Sehr geehrter Herr Bundeskanzler Merz,
sehr geehrter Herr Vizekanzler Klingbeil,
sehr geehrter Herr Bundesminister des Innern Dobrindt,
sehr geehrte Frau Bundesministerin der Justiz Hubig,

der bekannt gewordene Referentenentwurf zur „Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit“ zeigt, dass die Bundesregierung massenhafte biometrische Überwachung sowie KI-gestützte „Superdatenbanken“ einführen möchte.

Konkret sieht der Entwurf zum einen vor, das gesamte öffentliche Internet, insbesondere also auch Social-Media-Plattformen und öffentliche Chat-Gruppen, mit den biometrischen Daten gesuchter Personen abzugleichen. Bundeskriminalamt und Bundespolizei sollen diese Befugnis nicht nur zur Bekämpfung von Terrorismus erhalten, sondern als Standardmaßnahme für nahezu alle Tätigkeiten, die in ihren Aufgabenbereich fallen, insbesondere auch zur Identifikation und Aufenthaltsermittlung von Personen, die keiner Straftat verdächtig sind. Gleiches gilt für das Bundesamt für Migration und Flüchtlinge, das dieses Instrument ohne jeden Bezug zu einer Straftat oder einer Gefährdung der öffentlichen Sicherheit zur Feststellung der Identität von Personen nutzen können soll.

Ein solcher Abgleich von biometrischen Daten ist technisch jedoch nur möglich, wenn riesige Gesichtsdatenbanken aller Menschen, die im Internet abgebildet sind, angelegt werden. Solche Gesichtsdatenbanken sind nach Artikel 5 der KI-Verordnung (5(1)(e)) eine verbotene Praxis, da sie Massenüberwachung und umfassende Profilbildung ermöglichen und zu schweren Verstößen gegen Grundrechte, einschließlich des Rechts auf Privatsphäre, führen können. Sie können außerdem zu einem Abschreckungseffekt auf die Grundrechtsausübung führen. So könnten es Menschen etwa vermeiden, Fotos und Videos im Netz zu teilen oder Tätigkeiten nachzugehen, von denen Aufnahmen im Netz veröffentlicht werden könnten.

Wir fordern Sie daher auf, sich gegen jede Form der biometrischen Auswertung des Internets in Deutschland einzusetzen.

Darüber hinaus sieht der Gesetzentwurf vor, es zukünftig Bundespolizei und Bundeskriminalamt zu ermöglichen, automatisiert persönliche Daten aus bisher getrennten Datenbanken in eine „Superdatenbank“ zusammenzuführen und zur Analyse weiterzuverarbeiten. Diese KI-gestützte Auswertung riesiger Datenmengen birgt erhebliche Risiken für Grund- und Menschenrechte. Sie ermöglicht die umfassende Profilbildung von Individuen und beschränkt sich nicht auf Tatverdächtige, sondern umfasst auch Opfer, Zeugen und andere Personen, die zufälligerweise in polizeilichen Datenbanken erfasst sind. Die Nachvollziehbarkeit der Ergebnisse für die Polizeibehörden ist nicht gesichert, wenn private Unternehmen den zugrundeliegenden Code nicht offenlegen und bereits an sich unzureichend nachvollziehbare KI-Elemente integriert sind. Der Einsatz von KI birgt zudem ein hohes Risiko für die Diskriminierung bereits marginalisierter Gruppen der Bevölkerung. Bisherige Gesetzesgrundlagen für solche automatisierten Auswertungen in Hessen und Hamburg sind vor dem Bundesverfassungsgericht gescheitert. Er bringt also erhebliche rechtliche Unsicherheiten mit sich.

Ganz besonders bedenklich ist der laut aktueller Berichterstattung geplante Einsatz von Palantir zur Umsetzung der automatisierten Datenanalysen. Palantir ist eng verbunden mit dem Tech-Milliardär Peter Thiel, der bekennender Anhänger der Trump-Regierung und explizit der Auffassung ist, dass Demokratie nicht mit Freiheit vereinbar sei. Beim Einsatz von Palantir erhält das US-Unternehmen beziehungsweise seine Tochtergesellschaften Zugriff auf alle Daten der Polizeibehörden und kann sie potenziell in die USA übermitteln. Der Einsatz der Software gefährdet daher auch in ganz erheblichem Maße die digitale Souveränität Deutschlands.

Wir fordern Sie auf, sich für den Schutz aller Menschen und das Recht auf ein Leben frei von Massenüberwachung und Kontrolle einzusetzen. Palantir darf nicht in Deutschland eingesetzt werden.

Insgesamt sieht der Referentenentwurf Maßnahmen vor, die in keinem angemessenen Verhältnis zu dem vermuteten Gewinn an Sicherheit stehen. Als Zivilgesellschaft haben wir die Erwartung, dass die Bundesregierung Gesetze vorlegt, die nicht ständig an der Grenze der Verfassungswidrigkeit und des Europarechts – und sogar darüber hinaus – segeln. Solche Gesetze führen nicht nur zu Grundrechtsverletzungen und Überwachung von Unschuldigen, sondern auch zu jahrelanger Rechtsunsicherheit, in der sich die Strafverfolgungsbehörden nicht auf die Rechtmäßigkeit ihrer Instrumente verlassen können. In der Vergangenheit wurde viel Geld und Zeit – beispielsweise bei der Vorratsdatenspeicherung – verloren, die man in die grundrechtskonforme Weiterentwicklung der Strafverfolgungsbehörden hätte investieren können.

Nicht zuletzt im Kontext erstarkender rechtsextremer Parteien muss der Aufbau einer Überwachungsinfrastruktur, wie sie das Gesetzespaket durch biometrische Abgleiche und KI-Datenanalyse vorsieht, verhindert werden. Demokratische Kräfte müssen vielmehr gemeinsam die Möglichkeit des institutionellen Machtmissbrauchs minimieren.

Wir fordern Sie deshalb dazu auf, den aktuellen Entwurf zurückzuziehen und sich stattdessen für grundrechtskonforme Polizeiarbeit und für Rechtsstaatlichkeit einzusetzen.

Mit freundlichen Grüßen

AG KRITIS
AlgorithmWatch
Amnesty International Deutschland
Anoxinon e.V.
Chaos Computer Club
D64 – Zentrum für digitalen Fortschritt
Datenpunks e.V.
Deutsche Aidshilfe
Digitale Freiheit
Digitale Gesellschaft e.V.
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
Humanistische Union e.V.
Innovationsverbund Öffentliche Gesundheit e.V.
kleindatenverein
LOAD e.V. – Verein für liberale Netzpolitik
netzforma* e.V. – Verein für feministische Netzpolitik
Pena.ger, die bundesweite Online-Beratungsstelle für Geflüchtete
Republikanischer Anwältinnen- und Anwälteverein e.V. (RAV)
SUPERRR
Topio e.V.

Blackbox Palantir

kerstin — 2025-07-22T17:49:00+02:00

Die Gesellschaft für Freiheitsrechte hat heute mit Unterstützung des Chaos Computer Clubs Verfassungsbeschwerde gegen die automatisierte polizeiliche Datenanalyse in Bayern erhoben.

Das bayerische Polizeiaufgabengesetz (BayPAG) erlaubt der Polizei sogenanntes „Data Mining“. Dabei werden mit der Überwachungssoftware Gotham des US-Konzerns Palantir riesige Datenmengen, etwa aus Polizeidatenbanken und Fallbearbeitungssystemen, ausgewertet und Verbindungen hergestellt – auch zu zahlreichen Personen, die in keinem Zusammenhang mit Straftaten stehen. Diese weitreichende Zusammenführung in einer Art Super-Datenbank und die automatisierte Massenauswertung von personenbezogenen Daten verletzt Grundrechte: die informationelle Selbstbestimmung und das Fernmeldegeheimnis.

Das Ziel der Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte (GFF) sind klarere Grenzen für den Einsatz von Data-Mining-Software, die Daten über Menschen heimlich auswertet. Nach der aktuellen bayerischen Regelung darf die Polizei die Software nicht nur bei besonders schweren Straftaten benutzen, sondern auch bevor eine Gefahr überhaupt besteht. Eine wirksame Kontrolle gibt es nicht. Auch ein Schutz vor Fehlern der Software und vor Diskriminierung ist nicht gewährleistet.

Die Polizei in Bayern ist ohnehin nur Nutzer und hat keinen maßgeblichen Einfluss auf die Innereien der Software des Privatgeheimdienstes Palantir. Das gilt auch in den Bundesländern Nordrhein-Westfalen und Hessen, die ebenfalls Palantir-Kunden sind. Ob über den US-Konzern Daten in die Vereinigten Staaten abfließen könnten, ist ungeklärt und auch eine Frage der dortigen gesetzlichen Bestimmungen.

„Die Palantir-Rasterfahndung erfasst eine enorme Menge von Menschen. Zuvor getrennte Daten werden miteinander verknüpft, die für sehr unterschiedliche Zwecke vorgesehen waren. Schon allein deshalb darf die automatisierte Massenanalyse nicht zum Polizeialltag werden. Aber die zusammengeführten Daten landen auch noch in einer absichtlich undurchschaubaren Software des US-Konzerns Palantir, von der sich die Polizei auf Jahre abhängig macht. Das sind klare Ausschlusskriterien für diese Daten aus dem Innenleben der Polizei“, sagte Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC).

Das Bundesverfassungsgericht hatte bereits im Jahr 2023 nach Verfassungsbeschwerden der GFF enge Grenzen für automatisierte Datenanalysen durch die Polizei gezogen und damit die massenhafte Überwachung durch die nicht unabhängig technisch nachvollziehbare Software von Palantir bei der Polizei in Hessen und Hamburg verhindert. Diese Grenzen hat der bayerische Gesetzgeber nicht eingehalten.

Bayerns Polizei setzte die Palantir-Überwachungssoftware mindestens ein Jahr lang ganz ohne gesetzliche Grundlage ein – bis zur Intervention des Landesdatenschutzbeauftragten.

Eine weitere Verfassungsbeschwerde der GFF gegen das Polizeigesetz in Nordrhein-Westfalen ist bereits anhängig. Aktuell wird die Nutzung der Palantir-Software auch für die Polizei auf Bundesebene und in den Bundesländern Sachsen-Anhalt und Baden-Württemberg diskutiert. Wegen Bayerns Ausschreibung im Rahmen eines Bund-Länder-Vorhabens könnten Polizeien des Bundes und der Länder ohne ein neuerliches Vergabeverfahren darauf zurückgreifen.

Appell und Petition gegen Palantir

Ein Appell von Campact mit Petition richtet sich seit heute gegen die Nutzung von Palantir: Keine Trump-Software für die Polizei!

Der CCC unterstützt den Appell. Hier der Wortlaut:

Geht es nach dem Willen von CDU und CSU, kommt die Überwachungssoftware von Palantir bald in ganz Deutschland zum Einsatz. Sie soll der Polizei ermöglichen, sensible Daten von Bürger*innen zu verknüpfen und auszuwerten. Millionen Menschen könnten so ins Visier der Ermittlungsbehörden geraten. Ein drastischer Eingriff in die Privatsphäre – für den eigentlich strenge Voraussetzungen und höchste Anforderungen an den Datenschutz erfüllt sein müssen. Das ist bei Palantir nicht der Fall.

Hinter der Software steht der Tech-Milliardär Peter Thiel, einer der wichtigsten Unterstützer Donald Trumps. Thiel ist für seine demokratiefeindlichen Aussagen bekannt. Um das komplexe Programm zu betreuen und zu warten, müssen Palantir-Mitarbeitende direkt in deutschen Polizeibehörden sitzen. Außerdem kann nicht ausgeschlossen werden, dass sensible Daten an US-Geheimdienste abfließen – denn wie die Software genau funktioniert, ist völlig intransparent.

Wir fordern deshalb von der SPD: Lassen Sie nicht zu, dass die Union sich durchsetzt – verhindern Sie überall die Überwachung durch Palantir!

Links:

GFF: Verfassungsbeschwerde gegen systematische polizeiliche Datenanalysen in Bayern

ZDF-Dokumentation: Trump und das Silicon Valley – Staatsstreich der Tech-Milliardäre

CCC fordert: Keine verschlossenen Türen im Digitalausschuss!

erdgeist — 2025-07-09T22:17:00+02:00

Der Chaos Computer Club (CCC) fordert zusammen mit mehr als zwanzig Organisationen aus Zivilgesellschaft und Wissenschaft, dass der Digitalausschuss des Deutschen Bundestags von seinen Plänen abrückt, fortan im Geheimen zu tagen. Solche Sitzungen unter Ausschluss der Öffentlichkeit wären schlicht reaktionär, weil sie einen erheblichen Rückschritt bei Transparenz und Partizipation darstellen.

Der Ausschuss für Digitales und Staatsmodernisierung des Deutschen Bundestags plant in seiner Geschäftsordnung für die neue Legislaturperiode eine grundlegende Veränderung: Auf Initiative von Union und SPD sollen die Sitzungen des Ausschusses nun grundsätzlich nicht-öffentlich stattfinden. Die Öffentlichkeit soll nur auf besonderen Beschluss zugelassen werden.

In einer Zeit, in der Digitalisierung alle Lebensbereiche betrifft, ist eine öffentliche Diskussion unabdingbar. Digitale Angelegenheiten brauchen technische Expertise, inhaltliche Diskussion mit offenem Visier und gesellschaftliche Beteiligung, nicht aber Abschottung und Geheimniskrämerei.

Dass die schwarz-schwarz-roten Koalitionäre überhaupt auf die Idee kommen, im Jahr 2025 und gerade im Digitalausschuss die Möglichkeit der öffentlichen Teilnahme abzuschneiden, zeigt deren verkümmertes Demokratieverständnis. Denn nur wenn Informationen, Stellungnahmen und Argumente frei zugänglich sind, können wir alle die Kontrolle ausüben, die Prozesse begleiten und damit schlicht die Demokratie leben, die andauernd in Sonntagsreden besungen wird. Ohne öffentliche Einblicke fehlt jeder Anreiz, um digitale Zukünfte zu gestalten und mitzutragen.

Die als „Staatsmodernisierung“ mit Bürokratieabbau verniedlichte Agenda einer überaus wirtschaftsfreundlichen, aber sozial- und gemeinwohlfeindlichen Politik muss mit Argusaugen live beobachtbar sein, statt in nicht-öffentlichen Kungelrunden besprochen zu werden. Gerade bei digitalen Fragen muss das Gemeinwohl, die Kommerzfreiheit und die Transparenz mitbedacht und auch gelebt werden. Lasst uns also wenigstens zugucken.

Elina Eickstädt, Sprecherin des CCC: „Digitalpolitik hat Einfluss auf die Lebensrealität aller. Vertrauen braucht Transparenz und technische Expertise sowie fachliche Einordnung. Verhandlungen hinter verschlossenen Türen würde diese wichtige Expertise ausschließen und Akteurinnen in den Bereich des Reagieren statt kritischen Begleitens zurückdrängen.“

Links

Offener Brief – Mut zu Transparenz: Öffentliche Sitzungen im Digitalausschuss

CCC fordert von Dobrindt klare Kante gegen Chatkontrolle

erdgeist — 2025-06-16T04:37:00+02:00

Ein zivilgesellschaftliches Bündnis fordert die Bundesregierung auf, sich ihren Vorgängern anzuschließen und der auf EU-Ebene geplanten anlasslosen Chatkontrolle ein klares Nein entgegenzusetzen. Die absehbaren Gefahren, die von dem Vorhaben ausgehen, übersteigen den ohnehin fragwürdigen Nutzen bei weitem.

Die Idee der Chatkontrolle war und ist ein Angriff auf verschlüsselte Kommunikation. Seit mehr als drei Jahren steckt das geplante Gesetz nun schon in den Mühlen der EU-Institutionen fest. Die derzeitige polnische Ratspräsidentschaft ist inzwischen die vierte, die kürzlich aufgegeben hat.

Es bleibt eine monströse Idee: Das Vorhaben der anlasslosen Chatkontrolle sieht eine Pflicht für Internet-Dienste vor, sämtliche Inhalte zu durchsuchen, auf Straftaten abzuklopfen und diese bei Verdacht an Behörden zu schicken. Dennoch droht auch nach viermaligem Scheitern weiterhin eine Umsetzung dieser so dreisten wie gefährlichen Idee.

Deutschlands Widerstand spielt eine gewichtige Rolle in der Abwehr des Chatkontrolle-Ansinnens. Die neue Bundesregierung darf nicht den Fehler machen, die bisherige Position Deutschlands zu ändern. Sie muss stattdessen dafür sorgen, dass dieses Gesetzesvorhaben endgültig verschwindet und als Idee gänzlich begraben wird. Zusammen mit 21 zivilgesellschaftlichen Organisationen wenden wir uns daher an den neuen Innenminister Alexander Dobrindt.

Wir fordern ihn auf, diese Form der anlasslosen Massenüberwachung schon wegen ihrer desaströsen Folgen für die IT-Sicherheit abzulehnen.

Seit der Vorstellung der „Chatkontrolle“-Verordnung wird diese von allen Seiten kritisiert. Nicht nur zivilgesellschaftliche Organisationen warnen vor den Gefahren. Auch der Wissenschaftliche Dienst des Bundestags und der Juristische Dienst des Rates der EU haben massive verfassungsrechtliche Bedenken geäußert.

Zwar schließt die Position des Europäischen Parlaments eine anlasslose Chatkontrolle aus, doch der Ministerrat könnte diesen Vorschlag massiv verwässern. Die deutsche Bundesregierung muss daher ihre starke Position gegen die Chatkontrolle aufrechterhalten, wenn die Verhandlungen fortgesetzt werden.

Verschlüsselung schützt alle und darf nicht untergraben werden

Die Ende-zu-Ende-Verschlüsselung ist ein unverzichtbares Fundament für die digitale Sicherheit. Sie schützt die vertrauliche Kommunikation aller Menschen, Unternehmen und Behörden und sichert die Integrität demokratischer Institutionen. Wer die Verschlüsselung absichtlich schwächt, untergräbt das Vertrauen in digitale Infrastrukturen – und öffnet Angriffsvektoren für staatliche und kriminelle Akteure.

Der Gesetzesentwurf sieht das massenhafte und wahllose Scannen aller Geräte und Nachrichten auf Darstellungen von Gewalt gegen Kinder sowie auf Kontaktaufnahmen von Kriminellen mit Kindern vor. Verdächtige Nachrichten sollen dann direkt an Kontrollinstanzen oder Polizeibehörden weitergeleitet werden. Die Scans wären auch für Anbieter Ende-zu-Ende-verschlüsselter Kommunikationsdienste wie Signal, Threema oder WhatsApp vorgeschrieben. Entsprechend müssten deren Verschlüsselungslösungen technisch unterminiert werden.

Das Vorhaben würde nicht nur das Ende vertraulicher sicherer Kommunikation bedeuten, sondern auch am Ziel vorbeigehen: Kriminelle nutzen bereits heute Verbreitungswege, die von diesen Scans nicht betroffen wären, und werden auch in Zukunft den Scans leicht entgehen können.

Kinderschutz braucht gezielte Maßnahmen statt Massenüberwachung

Nicht nur alle mit Expertise im Bereich der IT-Sicherheit warnen vor der Chatkontrolle. Auch der Deutsche Kinderschutzbund ist der Ansicht, dass dieser am Ziel vorbeigehende Vorschlag nicht zu einem effektiven Schutz von Kindern beiträgt. Anstatt auf pauschale Überwachung aller zu setzen, sollten die EU-Mitgliedstaaten wirksame und rechtsstaatliche Maßnahmen ergreifen.

Dazu gehört eine enge Zusammenarbeit mit Kinderschutzorganisationen, digitalen Menschenrechtsgruppen und IT-Sicherheitsexpertinnen, um zielgerichtete und technisch umsetzbare Lösungen zu entwickeln. Gleichzeitig muss die Umsetzung des Digital Services Act (DSA) Priorität haben, um illegale Inhalte wirksam zu bekämpfen. Konkrete Schritte, um Kinder zu schützen, ohne die Grundrechte aller zu gefährden, sind Investitionen in nationale Kinderschutz-Hotlines, präventive Programme für potenzielle Täter, kindgerechte Strukturen und Anlaufstellen zur Meldung von Übergriffen sowie verpflichtende Überprüfungen von Personen, die mit Kindern arbeiten.

CCC fordert klare Haltung der Bundesregierung

Der CCC fordert die Bundesregierung und Bundesinnenminister Dobrindt auf, an der bisherigen ablehnenden Haltung zur Chatkontrolle festzuhalten.

„Das Vorhaben zur Chatkontrolle gleicht einem Zombie – es kehrt immer wieder zurück, obwohl es längst gescheitert sein sollte. Sollte die Bundesregierung ihre Position gegen die Chatkontrolle aufgeben, würde sie offenbaren, wie wenig ihr daran gelegen ist, Technologien zu schützen, die für die Informationssicherheit aller sorgen. Verschlüsselung ist entweder für alle sicher – oder für alle gebrochen“, erklärt Elina Eickstädt.

Der Brief im Volltext

Appell zum Schutz von Verschlüsselung für die Gesellschaft

Sehr geehrter Herr Bundesminister Dobrindt,

Verschlüsselung ist eine unverzichtbare Technologie für die Sicherheit Deutschlands und der EU. Als Voraussetzung für sichere und vertrauliche Kommunikation im digitalen Zeitalter bildet sie das Fundament, auf dem sowohl die Wettbewerbsfähigkeit von Unternehmen als auch die Resilienz demokratischer Institutionen aufgebaut sind. Als zivilgesellschaftliche Initiative appellieren wir darum an Sie, sich für den Schutz der Verschlüsselung einzusetzen.

Die Europäische Kommission hat am 11. Mai 2022 den Entwurf einer „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ (CSA-Verordnung) vorgelegt. Es ist unbestritten, dass Kinder vor sexualisierter Gewalt geschützt werden müssen und dass Staat und Gesellschaft hier entschieden agieren müssen. Eine Vielzahl von Gutachten und Stellungnahmen von Sachverständigen hat jedoch festgestellt, dass die von der EU-Kommission vorgeschlagenen Maßnahmen dieses Ziel nicht effektiv oder verhältnismäßig erreichen würden. [1] [2]

Mit der sogenannten Chatkontrolle – die der Kritik an dem Gesetzesvorschlag ihren Namen gegeben hat – würden stattdessen die IT-Sicherheit und die Privatsphäre aller Menschen in der EU anlasslos und massenhaft unterminiert. Ein solcher Eingriff in die Grundrechte aller Menschen, einschließlich Betroffener, wäre auch nach Ansicht des Deutschen Kinderschutzbundes für den effektiven Schutz von Kindern und Jugendlichen vor sexualisierter Gewalt nicht zielführend. [3]

Die Bestrebungen der Europäischen Kommission würden das Ende verschlüsselter und vertraulicher Kommunikation bedeuten. In einer Zeit der täglich zunehmenden Cyberangriffe würde dies nicht nur einen massiven Eingriff in die Grundrechte aller Bürgerinnen und Bürger bedeuten, sondern auch immense Gefahren im Bereich der Cybersicherheit mit sich bringen.

Der Gesetzesvorschlag sieht das Scannen sämtlicher Nachrichteninhalte aller Bürgerinnen und Bürger vor. Mit dem Fernmeldegeheimnis und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme setzt die Chatkontrolle gleich zwei fundamentale Grundrechte außer Kraft. Nutzerinnen und Nutzer verlieren die Kontrolle darüber, welche Daten sie wie mit wem teilen. Sie verlieren das Grundvertrauen in ihre eigenen Geräte.

Des weiteren schießen die vorgesehenen Maßnahmen am Ziel vorbei. Kriminelle nutzen bereits heute alternative Kommunikationswege, die nicht von der Verordnung erfasst wären oder diese umgehen. Außerdem verschlüsseln sie ihre Daten zusätzlich, wodurch sie den geplanten Scans leicht entgehen können. Stattdessen würden unzählige Unschuldige betroffen. Selbst geringe Fehlerquoten der eingesetzten KI-Systeme würden zu massenhaften Falschmeldungen führen. [4]

So würden Ermittlungsbehörden überlastet und von ihrer eigentlichen Arbeit abgehalten.

In der Vergangenheit wurden insbesondere Jugendliche selbst verdächtigt – auch wenn diese einvernehmlich miteinander kommuniziert hatten. [5] Eine repräsentative Umfrage hat gezeigt, dass zwei Drittel der Jugendlichen in der EU die Chatkontrolle ablehnen. [6]

Als Vertretung der Zivilgesellschaft sind wir zutiefst besorgt über die drohenden Konsequenzen für unsere Demokratie. Die Chatkontrolle wäre nicht vereinbar mit europäischen Grundrechten und dem Grundgesetz. Dies haben zahllose Gutachten bestätigt, einschließlich solche der wissenschaftlichen Dienste des Deutschen Bundestages [7], des Europäischen Parlaments [8] und des Rates der EU [9]. Eine allgemeine und anlasslose Überwachung der privaten Kommunikation ist mit dem Recht auf Privatsphäre und dem Schutz personenbezogener Daten unvereinbar.

Im Moment läuft das Gesetzgebungsverfahren zur CSA-Verordnung in den EU-Institutionen. Aufgrund der zahlreichen Bedenken an der Chatkontrolle hat das Europäische Parlament eine Position verabschiedet, welche sich gegen eine anlasslose Chatkontrolle wendet und stattdessen auf zielgerichtete Ermittlungsbefugnisse und auf dringend notwendige Maßnahmen zur Prävention solcher Taten und zur Unterstützung von betroffenen Kindern und Jugendlichen setzt. Im Rat der EU ist auch nach mehreren Anläufen bislang keine Einigung erfolgt.

Nach unserem Kenntnisstand hat sich die Deutsche Bundesregierung stets konstruktiv in die Verhandlungen im Rat der EU eingebracht. Die von Deutschland bisher vorgetragene Position ist die Forderung, effektiven Kinderschutz und gleichzeitig das Recht auf sichere Verschlüsselung sicherzustellen. Wir appellieren an Sie, Herr Innenminister Dobrindt, an dieser klaren Position und damit an der Ablehnung der Chatkontrolle festzuhalten.

Statt auf ineffektive und grundrechtswidrige Überwachungsmaßnahmen zu setzen, welche die Cybersicherheitslage in Deutschland massiv verschlechtern würden, sollten wir in den Ausbau der Ermittlungskapazitäten und in die Stärkung von Institutionen investieren, die sich aktiv für den Schutz von Kindern einsetzen.

Mit diesem Brief möchten wir Sie zum direkten Austausch zu dem Thema einladen und anbieten, auch im weiteren Gesetzgebungsverfahren mit unserer Expertise zur Verfügung zu stehen.

Für das Bündnis Chatkontrolle STOPPEN!

Mitzeichnende Organisationen:

Amnesty International Deutschland
Chaos Computer Club
CILIP / Bürgerrechte und Polizei
D64 – Zentrum für Digitalen Fortschritt
Dachverband der Fanhilfen
Datenpunks
Datenpunks Bremen
Deutsche Vereinigung für Datenschutz e.V. (DVD)
Deutscher Fachjournalistenverband (DFJV)
Digitale Freiheit
Digitale Gesellschaft e.V.
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FifF e.V.)
Frauen Computer Zentrum Berlin e.V. (FCZB)
Gesellschaft für Informatik (GI)
Giordano-Bruno-Stiftung (gbs)
Innovationsverbund Öffentliche Gesundheit e.V.
Komitee für Grundrechte und Demokratie
LOAD e.V. - Verein für liberale Netzpolitik
Kleindatenverein
MOGIS e.V. - eine Stimme für Betroffene
SUPERRR Lab
Whistleblower-Netzwerk

Fußnoten

Ausgecheckt: Hotelkette Numa veröffentlicht Ausweisdaten

kantorkel — 2025-06-11T15:48:00+02:00

Im Online-Buchungssystem der Hotelkette Numa konnte durch einfaches Hochzählen der Rechnungsnummern auf über 500.000 Rechnungen sowie auf die Ausweisdaten der Gäste zugegriffen werden.

In seiner Kapazität als Reisebürger wurde ein Mitglied des Chaos Computer Clubs (CCC) als Gast der Hotelkette Numa unlängst zu einem digitalen Check-In gezwungen. Anfängerfehler. Eigentlich ist nun schon klar, wie die Geschichte endet, aber aus Gründen der Dokumentation wollen wir sie noch kurz zuende erzählen: Nach Übermittlung der Buchungsnummer verlangte das Check-In-System den Upload von Bildern eines amtlichen Identitätsnachweises. Weil das Zimmer schon bezahlt und ein Check-In nicht anders möglich war, fügte sich der Chaot zähneknirschend diesem Zwang.

IDOR like it's 1999

Nach dem Auschecken und einem kurzen Blick auf den per E-Mail übersandten Link zu seiner Rechnung kam dem Gast dann die verrückte Idee, den Parameter invoiceID in besagtem URL zu ändern. Prompt stieß er auf eine Schwachstelle, die es in diesem Jahrtausend einfach nicht mehr geben darf: Durch einfaches Hoch- und Runterzählen der Rechnungsnummern konnte direkt auf Rechnungen anderer Gäste zugegriffen werden. Die invoiceIDs waren nach guter buchalterischer Manier fortlaufend vergeben – und das auch lückenlos: In einer Stichprobe zwischen 100000001 und 100545503 waren alle IDs vergeben. Die Rechnungen enthalten Namen, Adressen, Aufenthaltsorte und -zeiten der Numa-Gäste.

Es kommt noch schlimmer

Die Rechnungen enthalten außerdem die jeweilige Buchungsnummer, die zum digitalen Check-in benötigt wird. Nach dem Check-In findet sich im Quellcode der Webseite ein JSON-Objekt mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte. Wir nahmen das Geschenk jedoch freudig an, denn jedenfalls ermöglicht es auch noch den ungeschützten Zugriff auf die Ausweisdaten der Gäste.

Ein qualifizierter Datenhamster kann durch Hoch- und Runterzählen alle Rechnungen herunterladen und erhält mit der darin enthaltenen Buchungsnummer praktischerweise auch Zugriff auf die Ausweisdaten der Gäste.

Die Ausweisdaten hätten nie verarbeitet werden dürfen

Wer ein Zimmer gebucht, bezahlt, und seinen Check-In-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar. Dazu kommentiert Matthias Marx, Reisender und Sprecher des CCC: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen.“

Der CCC fordert eine Abschaffung der Hotelmeldepflicht, auch für Personen ohne deutsche Staatsangehörigkeit.

Reha-Plattform mit Therapiebedarf

kantorkel — 2025-05-02T01:13:00+02:00

Therapeuten des Chaos Computer Clubs (CCC) haben in einer online zugänglichen Patientenverwaltungs-Plattform der MediTec Medizinische Datentechnologie GmbH eine Reihe ernster Schwachstellen diagnostiziert. Veraltete Software, die dazu im Produktivbetrieb mit aktiviertem Debug-Modus Angreifer unterstützte, sowie ungeschützt für Dritte abrufbare und wiederverwendbare Session-Cookies machen die Plattform zu einem Lehrbuch-Beispiel für digitale Nachlässigkeit. Die Summe dieser Schwachstellen ermöglichte Unbefugten Zugriff auf sensible Daten von Patient*innen der Reha Vita-Rehaklinik – darunter Patientenakten und Aufnahmen von ärztlichen Diktaten.

Ein IT-Sicherheitsforscher war auf eine Subdomain unterhalb der Webseite meditec-gmbh.com gestoßen. Dort entdeckte er eine Anwendung im Debug-Modus, die bei Anfragen nach nicht existierenden Pfaden ganz hilfreich andere, existierende URLs empfahl. Eine davon lieferte gültige Session-IDs aus. Wer in seinem Browser oder auf der Kommandozeile eine solche fremde Session-ID in ein entsprechendes eigenes Session-Cookie einsetzte, konnte sich im Namen des eingeloggten Mitarbeiters mitsamt all seiner Zugriffsrechte auf der Reha-Plattform bewegen. Damit war unter anderem der Zugriff auf Patientenakten, Diagnosen und Aufnahmen ärztlicher Diktate, Daten zur Krankenversicherung und Rechnungen möglich.

Mit diesen Erkenntnissen wandte sich der Sicherheitsforscher an den CCC, der regelmäßig bei der Meldung von Sicherheitslücken unterstützt. Der Club konnte die Schwachstellen nachvollziehen und hat sie an Reha Vita [1], Meditec, die jeweiligen Landesdatenschutzbehörden und das CERT-Bund gemeldet. Während Meditec zügig reagierte, blieb eine Rückmeldung von Reha Vita bis jetzt aus. Somit bleibt unklar, ob die betroffenen Patient*innen über das Datenleck informiert wurden.

Der Fall erinnert erschreckend an die aktuellen Schwachstellen der elektronischen Patientenakte (ePA). Auch hier ermöglichte ein sorgloser Umgang mit trivialen Anforderungen an den medizinischen Datenschutz einen tiefen Einblick in vertrauliche Gesundheitsdaten. Dazu meint Matthias Marx, Sprecher des CCC: „Wer Gesundheitsdaten speichert, muss Datenschutz und Datensicherheit von Anfang an mitdenken und nicht erst nach dem nächsten Vorfall.“

Zu weiteren Risiken und Nebenwirkungen der Digitalisierung des Gesundheitswesens lesen Sie unsere praktischen 10 Prüfsteine zur Digitalisierung des Gesundheitswesens.

Links

[1] Reha Vita unterstützt Patienten mit psychischen und/oder psychosomatischen Erkrankungen https://www.reha-vita.de/portfolio-items/psychosomatische-rehabilitationsnachsorge-psy-rena/