Mehr Macht für Europol: EU plant großen Umbau der Verbrechensbekämpfung

Die EU-Kommission will Europol und Eurojust zu digitalen Daten-Hubs aufrüsten. Das Gesetzespaket verspricht Sicherheit, wirft aber viele Datenschutzfragen auf.

Kriminelle Netzwerke agieren zunehmend grenzüberschreitend, digital und hochgradig vernetzt. Um mit dieser Entwicklung Schritt zu halten, hat die EU-Kommission am Mittwoch ein weitreichendes Gesetzespaket vorgestellt, das die Befugnisse der europäischen Polizei- und Justizbehörden deutlich erweitern soll. Im Zentrum der Reform stehen die Agenturen Europol und Eurojust, die von reinen Unterstützungsplattformen zu operativen und technologischen Schaltzentralen umgebaut werden sollen. Begleitet wird das von einer Anpassung der Datenschutzverordnung für die EU-Institutionen, die eine reibungslose Zusammenarbeit garantieren soll.

Für Europol bedeutet der Entwurf einen regelrechten Paradigmenwechsel. Die Polizeibehörde mit Sitz in Den Haag soll künftig als zentraler europäischer Informations- und Technologie-Hub fungieren. Geplant ist etwa der Aufbau eines "Police Shared Data Space" auf Basis einer eigenen, skalierbaren Cloud-Infrastruktur. Hier sollen Ermittler aus verschiedenen Mitgliedstaaten virtuell an gemeinsamen Fällen arbeiten und riesige Datenmengen durchsuchen können. Zudem will die Kommission Europol zum Vorreiter bei der Entwicklung neuer Polizei-Technologien machen, einschließlich der Analyse verschlüsselter Daten. Künftig sollen sogar Europol-Beamte direkt in den Mitgliedstaaten vor Ort in speziellen Büros eingesetzt werden, um nationale Ermittlungen eng mit den europäischen Systemen zu verzahnen.

Flankiert wird diese polizeiliche Aufrüstung durch eine Stärkung der Justizbehörde Eurojust. Auch ihr Handlungsspielraum soll größer werden, sodass die Institution künftig aus eigener Initiative tätig werden könnte, um Zusammenhänge zwischen grenzüberschreitenden Fällen zu erkennen und Koordinierungsbedarf anzumelden. Über automatisierte Hit/No-Hit-Systeme sollen die Datenbanken von Europol, Eurojust und der Europäischen Staatsanwaltschaft (EPPO) engmaschig verknüpft werden, um in Echtzeit Treffer bei länderübergreifenden Ermittlungen zu erzielen.

Der Fahndungs- und Datenverarbeitungsdruck würde mit einem Beschluss des Pakets erheblich steigen. In der modernen Strafverfolgung werden immer häufiger gigantische, unstrukturierte Datenmengen beschlagnahmt, etwa aus Messenger-Diensten oder von Cloud-Anbietern. Bisher durfte Europol prinzipiell nur Daten von Personen verarbeiten, die eindeutig einer bestimmten Kategorie zuzuordnen waren wie Verdächtige.

Die Initiative weicht diese strikte Trennung auf. Europol müsste künftig nur noch "soweit möglich" zwischen Verdächtigen, Opfern oder unbeteiligten Zeugen unterscheiden. Die Agentur dürfte ausdrücklich auch Daten von Personen außerhalb dieser vordefinierten Kategorien verarbeiten, um aus riesigen Datensätzen überhaupt erst verwertbare Informationen zu extrahieren. Für die Bürger bedeutet das, dass ihre Informationen weitaus schneller in den Analyse-Mühlen von Europol landen können. Das gilt selbst dann, wenn sie nicht Beschuldigte einer Straftat sind, sondern lediglich Teil eines unstrukturierten Massendatensatzes.

Die EU-Kommission beteuert, dass der Datenschutz durch die Überarbeitung der entsprechenden EU-Datenschutzverordnung gewahrt bleibe. Juristisch betrachtet bemüht sie sich tatsächlich um eine Harmonisierung. Die Verordnung wird nun verbindlich auf alle Akteure im Justiz- und Innenbereich, einschließlich der EPPO, ausgeweitet. Der Europäische Datenschutzbeauftragte, der gegen die Big-Data-Analysen von Europol seit Jahren vorgeht, erhält einheitliche Kontrollbefugnisse.

Doch die vorgesehenen materiellen Befugnisse würden den Ermittlungsspielraum deutlich ausweiten. Wenn Europol legal massenhaft unstrukturierte Daten filtern darf, nützt auch die beste Datenschutzaufsicht nur bedingt etwas, da der rechtliche Rahmen diese weitreichende Verarbeitung explizit legitimieren würde. Zugleich sieht die reformierte Datenschutzverordnung vor, dass Entscheidungen unter bestimmten Bedingungen "ausschließlich auf einer automatisierten Verarbeitung" basieren dürfen , #und verlängert die Frist zur Meldung von schwerwiegenden Datenschutzverletzungen an die Aufsichtsbehörde von 72 auf 96 Stunden.

Das zivilgesellschaftliche Bündnis "Protect Not Surveil" warnte postwendend, die Reformen bei Europol würden die Privatsphäre auf gefährliche Weise aushöhlen, die Überwachung automatisieren und die Kontrolle aushebeln.

Statewatch monierte, die Vorschläge zum automatischen Datenaustausch würden die Rechtsstaatlichkeit in der EU untergraben. Sie widersprächen den EU-Vorgaben, wonach Europol nationale Polizeibehörden nur bei der Bekämpfung spezifischer schwerer Straftaten unterstützen dürfe.

Die belgische EU-Abgeordnete Saskia Bricmont von den Grünen betonte, ihre Fraktion unterstütze die justizielle Zusammenarbeit in Europa. Doch dürfe die weitreichende Reform von Europol weder zu Massenüberwachung führen noch einen uneingeschränkten Zugriff auf personenbezogene Daten ermöglichen.

Stefan Krempl

Steinmeier warnt Politik vor KI: Urteilsvermögen nicht an Maschinen abgeben

Bundespräsident Steinmeier fordert Transparenz beim KI-Einsatz in der Politik. Wer das Verfassen von Texten an Algorithmen auslagere, gefährde das Vertrauen in die Demokratie.

Die fortschreitende Integration Künstlicher Intelligenz in den politischen Alltag hat eine Auseinandersetzung über Authentizität und Glaubwürdigkeit entfacht. Nun schaltet sich Bundespräsident Frank-Walter Steinmeier (SPD) in die Diskussion ein und warnt vor den Gefahren einer unbedachten Nutzung automatisierter Textgeneratoren durch politische Entscheidungsträger. Wer durch Wahlen die Verantwortung und Macht des Volkes übertragen bekomme, dürfe unter keinen Umständen den Verdacht nähren, das eigene Urteilsvermögen an eine maschinelle Texterzeugung abzugeben. Ein solcher Kontrollverlust, betont das Bundespräsidialamt gegenüber dem Spiegel, beschädige unser politisches Fundament. Transparenz und die glaubwürdige Bereitschaft, jederzeit das eigene Wort als authentisch einordnen zu können, gehörten untrennbar zur Integrität der Politik.

Auslöser der aktuellen Kontroverse sind Berichte über prominente Politiker wie den Thüringer Ministerpräsidenten Mario Voigt und Bundesdigitalminister Karsten Wildberger (beide CDU), die sich Reden und Aufsätze zuletzt teils oder ganz per KI formulieren ließen. Im Zentrum der Debatte steht die Frage, wie viel menschliche Handschrift in Zeiten leistungsfähiger Sprachmodelle für die Glaubwürdigkeit einer Aussage zwingend erforderlich ist. Für das Staatsoberhaupt steht fest: Eine Meinungsäußerung, ein Text oder eine Rede im politischen Raum muss immer eindeutig einem konkreten Menschen zurechenbar sein. Politische Rhetorik lebe von menschlicher Individualität, Vernunft, Reflexion und Urteilskraft – Qualitäten, die keine Maschine je ersetzen könne. Andernfalls nehme die Demokratie Schaden.

Eine weitere gravierende Gefahr für das Vertrauen der Bürger in die demokratischen Institutionen sieht der Bundespräsident in der missbräuchlichen Verwendung von KI-Anwendungen etwa durch gezielte Täuschung mittels visueller oder textlicher Fälschungen. Gleichzeitig verkennt Steinmeier aber nicht das transformative und unterstützende Potenzial der neuen Technologien.

In der Stellungnahme ordnet das Bundespräsidialamt KI-Assistenten und KI-unterstützte Suchmaschinen ausdrücklich als innovative Instrumente ein, die den Menschen bei der täglichen Arbeit wertvolle Dienste leisten können. Die gezielte Durchsuchung, Organisation, Strukturierung und Nutzung großer Datenmengen mithilfe leistungsstarker Modelle gehöre längst zur Normalität. Ob bei der Informationsbeschaffung, der Recherche, der komplexen Analyse oder der Übersetzung aus und in Fremdsprachen – der administrative Nutzen sei unbestritten.

KI als Werkzeug ohne Autorschaft

Entscheidend ist aus Sicht des Bundespräsidenten die Einhaltung einer klaren Hierarchie: KI-Anwendungen müssen reine Werkzeuge bleiben, die den Vorrang der menschlichen Intelligenz und Bewertung unter keinen Umständen beschädigen. Oft erfordere schon die bekannte Fehleranfälligkeit aktueller KI-Systeme im staatlichen Kontext ein Höchstmaß an Sorgfalt und eine permanente menschliche Korrektur.

Daher geht das Bundespräsidialamt bei der eigenen Nutzung mit gutem Beispiel voran. Steinmeier selbst verzichtet für seine Reden und Grußworte vollständig auf den Einsatz Künstlicher Intelligenz. Seine Mitarbeiter nutzen nach Angaben des Hauses KI-Systeme zwar als eines von mehreren Rechercheinstrumenten im Rahmen der hausinternen Vorgaben, verfassen die Entwürfe als Grundlage für den Präsidenten aber stets selbst und in enger Abstimmung mit den Fachabteilungen. Auch nicht in Teilen werden Reden von KI generiert, um die Authentizität des gesprochenen Wortes zu wahren.

Um den internen Umgang mit den neuen Systemen auf ein solides Fundament zu stellen, wurde im Bundespräsidialamt bereits 2024 eine Arbeitsgruppe eingerichtet. Diese beleuchtet die vielfältigen Aspekte von KI und prüft mögliche Anwendungsbereiche im Haus. Aktuell probt dem Bericht zufolge eine Gruppe von Beschäftigten den Einsatz der Technik etwa für das Zusammenfassen öffentlicher Dokumente wie Berichte und Studien sowie die automatisierte Sprachumwandlung von gesprochenen Beiträgen in schriftliche Texte. Um klare Richtlinien für die Zukunft zu verankern, wird im Präsidialamt momentan ein Entwurf für eine verbindliche Dienstanweisung erarbeitet, die den verantwortungsvollen Umgang mit der Technologie im Staatsdienst abschließend regeln soll.

Stefan Krempl

Digital Networks Act: EU-Pläne für Glasfaser & Co. stoßen auf viel Kritik

Die EU-Kommission will den Telekom-Markt modernisieren. Doch der Entwurf zum Digital Networks Act erntet in 215 Rückmeldungen viel Widerstand aus schier allen Lagern.

Viel vorgenommen hat sich die EU-Kommission beim Netzausbau: Mit dem von ihr vorgeschlagenen Digital Networks Act (DNA) soll der europäische Telekommunikationsmarkt vereinfacht und modernisiert werden. Primäres Ziel: Den europaweiten Ausbau von High-Speed- und Gigabit-Infrastrukturen wie Glasfaser voranzutreiben und die wirtschaftliche Wettbewerbsfähigkeit des Kontinents zu stärken. Insgesamt gab es die stattliche Menge von 215 Rückmeldungen zu dem Gesetzentwurf. Die vorliegenden Stellungnahmen von Verbänden der Telekommunikationsbranche, der Internetwirtschaft sowie von Zivilgesellschaft und Verbraucherschützern zeigen dabei ein deutliches Bild: Fast niemand ist mit dem aktuellen Entwurf vollends zufrieden. Die jeweiligen Interessenslagen könnten in entscheidenden Detailfragen kaum gegensätzlicher sein.

Ein hochgradig umstrittener Punkt des Entwurfs ist die indirekte Wiederbelebung der sogenannten "Fair Share"-Debatte, also der Frage, ob große Inhalteanbieter an den Netzausbaukosten beteiligt werden sollen. Der europäische Telekommunikationsverband Connect Europe, der vorrangig die großen etablierten Netzbetreiber vertritt, beklagt eine anhaltende und ungerechte Asymmetrie auf dem Markt. Wenige große Technologiekonzerne seien für über 70 Prozent des weltweiten Internetverkehrs verantwortlich, würden sich aber an den massiven Transportkosten de facto kaum beteiligen. Die im DNA vorgesehene Möglichkeit zu freiwilligen Schlichtungsverfahren geht dem Verband deshalb nicht weit genug. Er fordert zwingende, bindende Verpflichtungen für große Datenverursacher, über die Zusammenschaltung und den IP-Datentransport zu verhandeln.

Genau solche Rufe stoßen bei einer breiten Allianz auf strikte Ablehnung. Der Industrieverband Computer & Communications Industry Association (CCIA Europe) sieht darin die gefährliche Einführung von Netzgebühren durch die Hintertür, was den bislang völlig reibungslos funktionierenden und auf Vertrauen basierenden Markt der IP-Zusammenschaltung empfindlich stören würde. Auch der Bundesverband Breitbandkommunikation (Breko) warnt davor, dass solche bilateralen Zahlungsmechanismen primär nur den ganz großen Telekommunikationskonzernen zugute kämen und den Wettbewerb verzerren könnten. Die europäische Verbraucherschutzorganisation Beuc fürchtet, dass etwaige Netzgebühren am Ende unausweichlich auf die Endkunden abgewälzt würden.

Eng verknüpft mit dieser wirtschaftlichen Debatte ist die große Sorge um den Erhalt der Netzneutralität. Die Bürgerrechtsorganisation epicenter.works warnt, dass der DNA ein ganzes Jahrzehnt an hart erkämpften und etablierten Schutzmechanismen für das offene Internet aushebeln könnte. Stein des Anstoßes ist die geplante Streichung von 18 der insgesamt 19 Erwägungsgründe der ursprünglichen Verordnung über das offene Internet, die bislang das entscheidende Fundament für die Rechtsprechung des Europäischen Gerichtshofs bildeten. Ferner kritisieren die Aktivisten, dass Anbieter durch die neuen Regelungen zu sogenannten Spezialdiensten künftig bezahlte Überholspuren im Netz anbieten könnten, die das reguläre Internet benachteiligen.

Auch Beuc und CCIA Europe fordern, die bestehende Verordnung über das offene Internet komplett aus dem DNA herauszuhalten und als eigenständiges Gesetz zu belassen. Demgegenüber pocht Connect Europe auf eine dringend nötige Reform. Moderne 5G-Netze erforderten ein flexibleres Verkehrsmanagement sowie Möglichkeiten zur Qualitätsdifferenzierung durch sogenanntes Network Slicing. Der Verband plädiert auch dafür, spezielle Geschäftskundendienste (B2B) ganz aus den strengen Vorgaben herauszunehmen.

Auch beim Thema Verbraucherschutz prallen vWelten aufeinander. Die Kommission strebt eine Harmonisierung der Endnutzerrechte an, um den europäischen Binnenmarkt stärker zu vereinheitlichen. Die Verbraucherschützer von Beuc schlagen hier aber Alarm: Diese angestrebte Anpassung dürfe unter keinen Umständen dazu führen, dass das bereits bestehende, hohe Schutzniveau in einigen Mitgliedstaaten abgesenkt werde. In Deutschland gebe es etwa sehr strenge und verbraucherfreundliche Regeln zu Produktinformationsblättern und streng regulierte Kündigungsfristen, die durch den DNA aufgeweicht werden könnten, falls keine passenden nationalen Öffnungsklauseln verankert werden.

Beuc verlangt stattdessen eine generelle Ausweitung der Rechte, etwa durch EU-weit garantierte Mindestgeschwindigkeiten und die strikte Begrenzung von Telekommunikations-Vertragslaufzeiten auf maximal zwölf Monate. Die Industrieverbände eco und Connect Europe kritisieren diese Herangehensweise indes als massive Überregulierung. Branchenspezifische Verbraucherschutzregeln sollten zugunsten bereits geltender, allgemeiner horizontaler Gesetze abgebaut werden, um Informationsüberflutungen bei den Kunden und bürokratische Doppelbelastungen bei den Anbietern zu vermeiden.

Auf technologischer und infrastruktureller Ebene sorgt ferner die Migration von alten Kupfer- auf neue Glasfasernetze für hitzige Diskussionen. Während der Breko klare, objektive Vorgaben für die Kupferabschaltung begrüßt, geht ihm der Starttermin für die finale Abschaltrunde bis Ende 2035 nicht schnell genug. Der Prozess müsse bereits zwingend beginnen, wenn 85 Prozent der Haushalte eines Gebiets per Glasfaser angebunden werden können, anstatt der von der Kommission vorgeschlagenen 95 Prozent.

Connect Europe wehrt sich gegen solche starren, EU-weiten Fristen. Die Abschaltung der Legacy-Netze müsse rein marktgetrieben und in der technologischen Hand der Betreiber bleiben. Gleichzeitig plädieren die großen Netzbetreiber im Bereich der Funkfrequenzen für unbegrenzte oder zumindest 40-jährige Lizenzen, um die dringend benötigte Investitionssicherheit für den weiteren 5G- und 6G-Ausbau zu gewährleisten. Der Breko sieht genau darin eine imminente Gefahr für den Wettbewerb und fordert im Gegenzug zwingende Vorleistungszugänge für Mobilfunk-Discounter, um langfristige Monopolbildungen zu verhindern.

Ein weiterer Kritikpunkt der Internetwirtschaft betrifft den grundsätzlichen Anwendungsbereich der geplanten Verordnung. Der eco und CCIA Europe monieren, dass klassische Telekommunikationspflichten künftig auch auf völlig andersartige Akteure wie Cloud-Anbieter oder Betreiber von Content Delivery Networks (CDNs) ausgeweitet werden sollen. Das schaffe nicht nur rechtliche Unsicherheiten, da diese Firmen bereits durch andere umfangreiche EU-Regulierungen wie NIS2 oder den Cyber Resilience Act (CRA) ohnehin schon strengen Sicherheitspflichten unterlägen. Neue branchenspezifische Resilienz-Vorgaben im DNA würden hier zu unnötigen regulatorischen Überschneidungen und massiver neuer Bürokratie führen, anstatt den digitalen Markt effektiv zu vereinfachen. Die Kommission steht nun vor der Aufgabe, aus diesen oft widersprüchlichen Forderungen einen praxistauglichen Rechtsakt zu schmieden.

Stefan Krempl

Bulgariens brisante Deals: Spionagesoftware für autokratische Regime

Exportlizenzen enthüllen: Ein in Sofia sitzendes Tochterunternehmen der berüchtigten NSO-Group lieferte Überwachungstechnik in Staaten mit dubioser Menschenrechtsbilanz.

Die EU rühmt sich gerne ihrer strengen Exportkontrollen, doch die Realität hinter den Kulissen sieht teils anders aus. Neue Enthüllungen zeigen, wie europäische Überwachungstechnologie gezielt in Länder gelangt, die für die Unterdrückung von Oppositionellen, Journalisten und der Zivilgesellschaft bekannt sind. Im Zentrum des Geschehens steht Bulgarien. Die dortigen Behörden haben über Jahre hinweg den Export hochentwickelter Spionagesoftware und Überwachungsinfrastruktur an Geheimdienste und Sicherheitsbehörden weltweit genehmigt. Betroffen sind Staaten wie Aserbaidschan, Serbien, Malaysia und Mexiko – allesamt Länder, die von internationalen Beobachtern immer wieder wegen Menschenrechtsverletzungen und demokratischer Rückschritte kritisiert werden.

Details dieser Geschäfte gehen aus offiziellen Exportlizenzen hervor, die die Nichtregierungsorganisation Human Rights Watch in einem Bericht offengelegt und das Online-Magazin Politico ausgewertet hat. Die Spur führt direkt zu einem Unternehmen namens Circles BG mit Sitz in der bulgarischen Hauptstadt Sofia. Circles ist kein unbeschriebenes Blatt, sondern ein Tochterunternehmen der israelischen NSO Group. Letztere erlangte weltweite, zweifelhafte Berühmtheit durch ihre Spionagesoftware Pegasus, mit der Politiker wie der französische Präsident Emmanuel Macron oder der indische Politiker Imran Khan ausgespäht wurden. Einer der Gründer von Circles, ein ehemaliger Kommandeur des israelischen Militärgeheimdienstes, wurde zudem von den USA sanktioniert. Er steht auch hinter dem Konsortium, das die umstrittene Predator-Software entwickelte, die 2022 in Griechenland einen massiven Abhörskandal auslöste.

Zwischen 2018 und 2023 flossen die bulgarischen Exporte fast ungehindert. So kaufte der aserbaidschanische Auslandsgeheimdienst im Sommer 2022 Server- und Speicherinfrastruktur sowie ein System zur Handy-Ortung über Mobilfunkmasten. Die Laufzeit dieser Lizenz deckte ausgerechnet jene kritischen Monate ab, in denen der Konflikt um Berg-Karabach eskalierte. Unabhängige Forscher wiesen später nach, dass in diesem Zeitraum armenische Persönlichkeiten des öffentlichen Lebens mit Pegasus-Spyware ins Visier genommen wurden.

Ähnlich brisant ist ein Deal mit Serbien: Wenige Monate vor den dortigen Wahlen im Dezember 2023 erwarb das serbische Innenministerium ein tragbares Gerät zur Überwachung und Standortbestimmung von Mobiltelefonen. Menschenrechtsorganisationen warfen Belgrad später vor, Spionagesoftware gegen Aktivisten eingesetzt zu haben, was die Regierung bestreitet.

Die Liste der Endabnehmer ist lang und liest sich wie ein globales Who's Who der Überwacher. Neben den Vereinigten Arabischen Emiraten und Malaysia tauchen in den Dokumenten auch Länder wie Bahrain, Brasilien, Marokko, Jordanien und mehrere lateinamerikanische Staaten auf. In Mexiko ging die taktische Aufklärungstechnik an die Regierung des Bundesstaates Michoacán, einer Region, die seit Jahren massiv unter der Gewalt von Drogenkartellen leidet.

Die Frachtpapiere zeigen, dass die Lieferungen stets den Flughafen Sofia verließen, teils geschickt über Zwischenstationen in Luxemburg geschleust, um Verbindungen zur NSO-Muttergesellschaft zu verschleiern. Auch direkte finanzielle Verflechtungen sind dokumentiert: So kaufte die NSO Group selbst Technologie bei ihrer bulgarischen Tochter ein, die letztlich beim Heimatfrontkommando des israelischen Verteidigungsministeriums landete.

Rechtlich bewegen sich die Exporte in einer Grauzone. Das bulgarische Außenministerium betont, dass alle Anträge streng geprüft würden und die Technologie laut den eingereichten Dokumenten ausschließlich der Kriminalitäts- und Terrorismusbekämpfung sowie humanitären Rettungseinsätzen diene. Auch gibt es keine Hinweise darauf, dass Circles gegen geltendes Recht verstoßen hat; das Unternehmen selbst schweigt zu den Vorwürfen. Dennoch wirft der Fall ein Schlaglicht auf die eklatanten Schwächen der europäischen Exportkontrolle für sogenannte Dual-Use-Güter, also Produkte, die sowohl zivil als auch militärisch genutzt werden können.

Das Problem ist struktureller Natur: Moderne Überwachungssysteme bestehen oft aus einer Mischung aus Software, Ortungstools und handelsüblicher Computerhardware. Für Behörden ist es schwer zu differenzieren, wo normale Telekommunikation aufhört und digitale Spionage beginnt. Die EU-Kommission steht nun unter Zugzwang. Sie bereitet eine Reform der Exportregeln für Anfang 2027 vor. Kritiker von Human Rights Watch bemängeln, dass Brüssel trotz voller Sichtbarkeit der Exporte jahrelang tatenlos zugesehen habe, wie europäische Technik zur weltweiten Repression beigetragen hat.

Stefan Krempl

Digitale Identität: EU-Bürger in der Google- und Apple-Falle?

Während Deutschland und Frankreich bei der neuen EUDI-App auf digitale Souveränität setzen, begeben sich andere Staaten in die Abhängigkeit von US-Tech-Riesen.

Bei einem Treffen in den Niederlanden versuchte ein Beamter unlängst, Journalisten und Aktivisten zu beruhigen. Die kommende, von der EU vorgeschriebene digitale Identitäts-App  für die EUDI-Wallet sei absolut sicher und robust konstruiert. Es sei denn, so fügte er scherzhaft hinzu, Google oder Apple kollaborieren mit jenem Mann im Weißen Haus. 

Diese Anekdote gibt das Investigativ-Portal Follow the Money wider. Was in einem Konferenzzentrum in Utrecht als humorvoller Einwurf gedacht war, legte demnach in Wahrheit die tief sitzenden Ängste und die eklatanten systemischen Schwachstellen einer Anwendung offen, die bald die sensibelsten persönlichen Daten von Hunderten Millionen EU-Bürgern in sich tragen soll. Die App soll künftig nicht nur dem bloßen Identitätsnachweis bei Kontrollen dienen, sondern soll auch Bildungsabschlüsse abbilden und Einkommensnachweise digital belegen.

Die EU-Kommission hat eine klare Frist gesetzt. Bis zum Ende dieses Jahres müssen alle Mitgliedstaaten eine voll funktionsfähige digitale Wallet an den Start bringen. Doch hinter den Kulissen der nationalen Entwicklerteams offenbart sich eine tiefe technologische und ideologische Kluft innerhalb der Staatengemeinschaft. Während Schwergewichte wie Deutschland und Frankreich eigene Lösungen entwickeln, um die nationale und europäische digitale Souveränität explizit zu schützen, wählen andere Länder wie die Niederlande und Italien einen umstrittenen Abkürzungsweg. Sie lagern fundamentale Kernfunktionen an US-amerikanische Großkonzerne aus und bauen Systeme, die zwingend auf Softwarearchitekturen von Apple und Google setzen. Und das in einer geopolitischen Phase, in der die EU lautstark nach strategischer Unabhängigkeit von der US-Administration unter Donald Trump verlangt. Diese fundamentale Abhängigkeit von US-Technologiegiganten alarmiert Sicherheits- und Datenschützer gleichermaßen.

Dabei sahen die Spielregeln ursprünglich völlig anders aus. Als die Kommission  2023 die erste Version der technischen Spezifikationen für die europäische ID-Börse auf der Softwareplattform GitHub veröffentlichte, enthielten die Dokumente keinerlei Verpflichtung zur Nutzung von US-Diensten. Den Mitgliedstaaten stand und steht es völlig frei, eine eigene digitale Geldbörse zu entwickeln, die gänzlich ohne Technologie aus Übersee auskommt. Doch die Integration der fertigen Verifizierungssoftware von Google und Apple erwies sich für die App-Entwickler schlichtweg als der bequemste und schnellste Weg, um die komplexen technischen Mindestanforderungen der EU zeitgerecht zu erfüllen. Der niederländische Tech-Experte Brenno de Winter bestätigte gegenüber Follow the Money, dass sich die 27 EU-Staaten anfangs voller Enthusiasmus an den Bau ihrer Wallet-Apps machten, ohne den potenziellen Abhängigkeiten von Apple und Google nennenswerte Beachtung zu schenken.

Das bittere Erwachen folgte im Herbst 2024. Italienische Softwareentwickler stellten fest, dass ihre nationale Identitäts-App ohne die Betriebssysteme und Hintergrunddienste von Google oder Apple überhaupt nicht mehr lauffähig war. Ein Blick in die Versionshistorie auf GitHub zeigt, dass im Februar 2025 eine identische, unkonditionierte Kopplung auch in den Quellcode der niederländischen App eingefügt wurde. Damit wurde die Verknüpfung mit den Systemen der US-Konzerne festgeschrieben. Wer die App nutzen will, benötigt zwingend ein aktives Benutzerkonto bei Google oder Apple. Die breite IT-Gemeinschaft in den Niederlanden schien diese gravierende Weichenstellung zunächst kaum zu registrieren.

Das niederländische Innenministerium verteidigt den Schritt und bestätigte, dass die staatliche NL Wallet nach derzeitigem Stand ausschließlich von Bürgern verwendet werden könne, die ein Konto bei Google oder Apple besitzen. Das sei primär aus Sicherheitsgründen geschehen, um eine breite Nutzerbasis sofort und geschützt zu erreichen. Zwar betonte ein Regierungssprecher gegenüber Follow the Money, die App befinde sich noch in der Entwicklung und es seien keine endgültigen Design-Entscheidungen getroffen worden. Doch er räumte ein, dass derzeit an keinerlei Version gearbeitet werde, die ohne ein Google- oder Apple-Konto auskäme.

Renommierte Wissenschaftler reagieren entsetzt. Jaap-Henk Hoepman, Professor für digitale Sicherheit an der Radboud-Universität, warnt eindringlich davor, staatliche Kernaufgaben auszulagern. Die Ausstellung von Identitätsdokumenten, ob auf Papier oder digital, liege in der exklusiven Verantwortung des Staates, der die vollständige Kontrolle behalten müsse. Auch Barbara Kathmann, Abgeordnete im niederländischen Digitalausschuss, betont, dass eine staatliche App niemals von privaten US-Giganten abhängen dürfe. Sie verweist auf das bestehende niederländische System DigiD, das hervorragend ohne die US-Konzerne auskommt.

Dass es anders geht, beweisen die europäischen Nachbarn. Die Schweiz versprach nach viel Kritik, an einer komplett Google-freien Version ihrer ID-App zu arbeiten. In Deutschland deklariert das Bundesministerium für Digitales und Verkehr die digitale Souveränität als oberstes Ziel. Die deutsche Wallet müsse zwingend ohne Software von Google und Apple funktionieren. Eine spätere Unterstützung für Google-Systeme werde höchstens dann integriert, wenn diese einen nachweisbaren, zusätzlichen Sicherheitsgewinn bringt.

Auch Frankreich verfolgt den eisernen Grundsatz, bei solch sensiblen hoheitlichen Aufgaben wie der Identitätsprüfung keinerlei Software von privaten Drittunternehmen zu nutzen und behält die Sicherheitsgarantien unter staatlicher Kontrolle. Für Bürger in den Niederlanden bleibt vorerst nur die Hoffnung auf den freien Markt, da theoretisch jeder eine eigene App bauen darf, sofern sie die EU-Kriterien erfüllt. Bis solche privaten Alternativen wie das belgische itsme oder das vom Nimwegener Professor Bart Jacobs entwickelte Yivi offiziell zugelassen werden, dürfte aber noch einige Zeit vergehen. Angesichts der anhaltenden Kritik prüft die EU-Kommission nun immerhin, die technischen Anforderungen für die europäischen ID-Apps noch einmal nachträglich zu präzisieren.

Stefan Krempl

Digitaler Fingerabdruck im Kopf: Wie KI sensible Hirndaten schützen soll

Das Fraunhofer-Projekt Nemo will einen Weg gefunden haben, wie sich medizinisch wertvolle EEG-Daten datenschutzkonform für Open Science anonymisieren lassen, ohne ihren Nutzen zu verlieren.

Was verrät unser Gehirn eigentlich über uns? Die Aufzeichnung der Hirnaktivität über ein Elektroenzephalogramm (EEG) ist in der modernen Medizin und Wissenschaft zu einem unverzichtbaren Werkzeug geworden. Die feinen elektrischen Signale, die an der Kopfhaut gemessen werden, bergen einen enormen Schatz an Informationen. Hochentwickelte Systeme der Künstlichen Intelligenz sind heute in der Lage, aus diesen komplexen Biosignalen medizinische Erkenntnisse zu gewinnen. So lassen sich in den Mustern oft sehr frühe Hinweise auf folgenschwere neurodegenerative Erkrankungen identifizieren, noch bevor erste klinische Symptome sichtbar werden. Doch genau dieser unschätzbare Wert für die medizinische Forschung bringt eine gravierende Schattenseite mit sich, die Fachleute zunehmend alarmiert.

Die individuellen Datenmuster sind so einzigartig, dass sie unverkennbare Rückschlüsse auf die jeweilige Person zulassen. Die Wissenschaft spricht in diesem Zusammenhang von sogenannten "Brainprints", also einem unverkennbaren Abdruck des Gehirns. Er funktioniert ähnlich individuell wie ein klassischer digitaler Fingerabdruck.

Diese Entdeckung stellt die medizinische Gemeinschaft vor ein Dilemma. Auf der einen Seite steht der Wunsch, im Sinne von Open Science große Datensätze frei zugänglich zu machen, um die Entwicklung von Diagnosewerkzeugen zu beschleunigen. Andererseits enthält ein solches EEG hochgradig sensible und schützenswerte Informationen. Studien zu EEG-Signalen im Ruhe- und Schlafzustand belegen, dass sich aus ihnen weitreichende Diagnosen wie Schlafstörungen, Autismus-Spektrum-Störungen oder gar Anzeichen von Alkoholismus ablesen lassen. Wenn diese Daten ungeschützt in die falschen Hände geraten, droht der gläserne Patient.

Um dieses Spannungsfeld aufzulösen, riefen Forscher vor drei Jahren das Projekt Nemo ins Leben. Die Abkürzung steht für die Nicht-Identifizierbarkeit von Elektroenzephalogrammen und vergleichbaren Sensorsignalen aus medizinischer Versorgung für Open Science. Mit Unterstützung vom Bundesforschungsministerium widmete sich das Konsortium der Aufgabe, persönliche Identifikationsmerkmale aus den Messungen zu tilgen. Die medizinisch relevanten Kerninformationen für spezifische Auswertungen sollten dabei voll erhalten bleiben.

Wie akut das Risiko einer Re-Identifikation im Alltag tatsächlich ist, demonstrierten die Experten für technischen Datenschutz am Hauptsitz des Fraunhofer-Instituts für Digitale Medientechnologie (IDMT) in Ilmenau. Die Forschenden entwickelten im Rahmen des Projekts ein eigenes maschinelles Lernverfahren, das sie darauf trainierten, die persönlichen Muster in komplexen Biosignalen zu erlernen. Die eigens programmierte KI war damit in der Lage, die Individuen mit einer Treffgenauigkeit von über achtzig Prozent in völlig anderen Datensätzen wiederzuerkennen.

In der Praxis führt das zu einer erheblichen Sicherheitslücke. Wenn anonymisiert geglaubte EEG-Daten im Zuge wissenschaftlicher Veröffentlichungen mit dem Klarnamen der Datenspender an anderer Stelle verknüpft werden können, lassen sich die intimsten medizinischen Profile mühelos einer realen Person zuordnen. Der Ilmenauer Datenschutzexperte Thomas Köllmer betont daher die dringende Notwendigkeit besonderer Schutzmaßnahmen. Die Lösung des Teams bestand in der Entwicklung neuartiger KI-Algorithmen, die die sensiblen EEG-Aufzeichnungen gezielt verändern. Diese Transformation sorgt dafür, dass die charakteristischen, persönlichen Merkmale des Brainprints verwischt werden. Der medizinische Nutzen für die gewählten Anwendungsfelder bleibt dem IDMT zufolge aber gewahrt.

Die praktische Machbarkeit dieses datenschutzfreundlichen Ansatzes demonstrierte das Projektkonsortium am konkreten Beispiel der automatisierten Schlafphasenanalyse. Für diese Validierung zeichnete die Abteilung für mobile Neurotechnologien des IDMT in Oldenburg verantwortlich, die das Gesamtprojekt auch koordinierte. Die dortigen Forschenden brachten langjährige Expertise in der Entwicklung mobiler EEG-Systeme mit und lieferten die praxisnahen Einsatzszenarien. Laut Gruppenleiterin Insa Wolf gewinnen solche mobilen Technologien außerhalb von Labor und Klinik rasch an Bedeutung und halten Einzug in den breiten Consumer-Markt, etwa in Form von Smart-Wearables zum privaten Schlafmonitoring. Gerade vor dem Hintergrund dieses Marktes und des enormen Informationsreichtums der Daten müssten Risiken und Chancen im Gesundheitsbereich genau abgewogen werden. Wolf fordert daher, das technisch Mögliche im Sinne des Datenschutzes auch voll auszuschöpfen.

Im Projekt wurden die Biosignale letztlich so präzise transformiert, dass eine zuverlässige Klassifikation der Schlafphasen und die Identifikation feiner neurophysiologischer Muster wie der sogenannten Schlafspindeln für automatisierte Screenings weiterhin fehlerfrei möglich waren, ohne die Identität des Schläfers preiszugeben. Die dafür notwendigen klinischen Schlafdaten stammten von der Christian-Albrechts-Universität zu Kiel und dem Universitätsklinikum Schleswig-Holstein. Die Kieler Fachleute brachten zudem ihr Wissen zur Interpretation medizinischer Daten und zum sicheren Datenaustausch über die Datenintegrationszentren der Medizininformatik-Initiative in das Konsortium ein.

Um sicherzustellen, dass die theoretischen Ansätze den realen Anforderungen von Wissenschaft und Praxis standhalten, haben die Projektpartner frühzeitig externe Akteure eingebunden. In Zusammenarbeit mit dem Klinischen Innovationszentrum für Medizintechnik Oldenburg (Kizmo) führten sie in verschiedenen Projektphasen intensive Stakeholder-Interviews und Workshops durch. Die Krönung der dreijährigen Arbeit bildet ein technologischer Demonstrator, der in Kooperation mit der Firma Ascora  als funktionaler Proof-of-Concept realisiert wurde. Diese Plattform veranschaulicht mittels Experten-Reviews plastisch, wie die Anonymisierungsprozesse ablaufen und welche konkreten Auswirkungen die Filterung auf die verschiedenen medizinischen Anwendungsszenarien hat.

Mit dem offiziellen Projektabschluss im Dezember 2025 hat das Nemo-Konsortium nach eigenen Angaben den Nachweis erbracht, dass die sichere Anonymisierung von komplexen Biosignalen keine Utopie mehr ist. Dennoch sehen die beteiligten Wissenschaftler das Erreichte nur als Anfang. Sie stufen die kontinuierliche Weiterentwicklung dieser Anonymisierungsansätze als erforderlich ein, um das Vertrauen der Bevölkerung in digitale Gesundheitsanwendungen zu stärken. Nur wenn Patienten sich darauf verlassen könnten, dass ihre Gehirndaten vor Missbrauch geschützt sind, lasse sich der Weg für eine breite, transparente Datenverfügbarkeit im Sinne einer modernen Open Science für Forschung und Lehre ebnen.

Stefan Krempl

KI für die Verwaltung: Bund stellt „Spark Workflow“ als Open Source bereit

Das Bundesdigitalministerium integriert die in einer Innovationspartnerschaft entwickelte KI-Assistenz Spark für Planungsverfahren in den Deutschland-Stack.

Das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) treibt die Digitalisierung deutscher Behörden voran und hat die KI-Lösung „Spark Workflow“ vollständig quelloffen veröffentlicht. Unter dem Leitsatz „Public Money, Public Code“ steht die Software ab sofort auf der Plattform Open Code für alle bereit. Damit folgt das BMDS dem Ruf nach digitaler Souveränität und ermöglicht es Kommunen, Unternehmen und der Zivilgesellschaft, die Werkzeuge ohne Lizenzgebühren zu nutzen, anzupassen und weiterzuentwickeln.

Das Projekt gilt als zentraler Baustein des künftigen Deutschland-Stacks. Das Ziel von Spark – was für „Schnellere Planung und Realisierung durch KI“ steht – ist eine Beschleunigung von komplexen Planungs- und Genehmigungsverfahren. Diese langwierigen Prozesse, die für den Erhalt und Ausbau der Infrastruktur in Deutschland als essenziell gelten, dauerten bisher oft Monate oder gar Jahre.

Durch den Einsatz der KI als operative Assistenz sollen administrative Abläufe künftig zeitlich halbiert werden. Finanziert wird das Vorhaben über den Klima- und Transformationsfonds. Dabei geht es dem Ministerium zufolge explizit nicht darum, den Menschen durch Technologie zu ersetzen. Vielmehr soll die KI-Assistenz die Beschäftigten in den Genehmigungsbehörden effektiv von zeitaufwändigen Routineaufgaben und dicken Aktenstapeln entlasten, indem sie die Informationsflut bändigt. Die endgültige fachliche Entscheidung verbleibe so zu jedem Zeitpunkt transparent bei den Mitarbeitern der Behörden, heißt es. Die KI bereite lediglich fundierte Prüf- und Bewertungsvorschläge vor.

Von Dokumentenprüfung bis Rechtsdogmatik

Die technische Entwicklung der Module wurde in einer agilen Innovationspartnerschaft realisiert, an der das Beratungsunternehmen PwC Deutschland und die KI-Beratung Alexander Thamm als Partner beteiligt waren. Jüngst betonte Thamm auf LinkedIn die Rolle seiner Firma als Innovationspartner des BMDS. Die Entwicklung der praxistauglichen Workflow-Lösung habe gemeinsam mit PwC Deutschland innerhalb von nur wenigen Monaten erfolgreich abgeschlossen werden können. Dabei ließ das BMDS parallel zwei unterschiedliche technische Ansätze für dieselben Herausforderungen verfolgen: „Spark Workflow“ und „Spark API“.

Die Funktionsweise der Systeme orientiert sich an der realen juristischen Arbeitsweise deutscher Behörden. Technisch setzt das System genau dort an, wo es in der Praxis meist hakt: beim Sichten, Strukturieren und Prüfen von Dokumenten. Die nun veröffentlichten Module decken typische Kernaufgaben ab, wie die automatisierte Inhaltsextraktion aus umfangreichen Antragsunterlagen sowie die formale Vollständigkeitsprüfung inklusive Plausibilitätschecks.

Das System erkennt dem BMDS zufolge sofort, ob Dokumente fehlen oder Angaben innerhalb der Anträge widersprüchlich sind. Das Herzstück bilde eine mit KI-Agenten unterstützte digitale Rechtsdogmatik. Diese sei direkt an Gesetzesdatenbanken angeschlossen, unterteile geltende Normen automatisiert in ihre kleinsten Prüfbestandteile und nehme eine juristische Bewertung vor. Ferner verfügt die Anwendung über ein KI-gestütztes Einwendungs- und Beteiligungsmanagement. Es kann die oft massenhaften Eingänge aus der Öffentlichkeits- und Behördenbeteiligung in einzelne Argumente zerlegen und so selbst riesige Eingangsvolumina sortieren. Das System ist verfahrens- und domänenunabhängig konzipiert, was eine breite Wiederverwendung über Bund, Länder und Kommunen hinweg ermöglicht.

Erste Pilotphasen und Ausblick auf KI-Agenten

Erste Piloten der Anwendung laufen beim Fernstraßen-Bundesamt sowie im Rahmen des Hamburger Projekts DiPlanung. Nach einer ersten Veröffentlichung von Teilmodulen im April wurden die Komponenten auf Basis des Feedbacks aus der Community optimiert. Weitere Open-Source-Releases, die sich dann auch der materiellen Prüfung und der finalen Beschlusserstellung widmen, sollen in den kommenden Monaten folgen. Um die Weiterentwicklung der Software im Sinne des Open-Source-Gedankens voranzutreiben, veranstaltet das BMDS zudem Ende Juni einen zweitägigen Hackathon für Entwickler.

Dass KI-Agenten in der deutschen Verwaltung keine ferne Zukunftsmusik mehr sind, untermauert das Ministerium zeitgleich mit dem Abschluss eines weiteren Pilotprojekts. Im Rahmen des sogenannten „Agentic AI Hub“ erprobten 19 Kommunen über drei Monate hinweg den Einsatz intelligenter Systeme für administrative Routinen. Die Ergebnisse der dort durchgeführten 20 Pilotprojekte zeigen laut dem Ministerium Erleichterungen für den Alltag: Bei komplexen DSGVO-Auskunftsanträgen sank die Bearbeitungszeit um über 90 Prozent, bei Pflegeanträgen um fast die Hälfte.

Angesichts der hohen Zufriedenheit der Sachbearbeiter plant das BMDS ab 2027 ein dynamisches Beschaffungssystem, um solche praxistauglichen KI-Produkte unkompliziert und standardisiert in die Breite der Verwaltung zu tragen.