Advocado-Datenleck: Mandantengeheimnisse im offenen Cloudspeicher

Ein falsch konfigurierter Server bei der Rechtsplattform Advocado legte sensible Dokumente von über 18.000 Kunden offen. Der Chaos Computer Club übt scharfe Kritik.

Wer juristischen Rat sucht, vertraut darauf, dass seine intimsten Angelegenheiten hinter einer Mauer aus Verschwiegenheit und Sicherheit geschützt sind. Ob es um Probleme mit dem Betäubungsmittelgesetz, Ärger mit der Unfallversicherung oder die Folgen eines Kreditkartenbetrugs geht: Mandantendaten gehören zu den sensibelsten Informationen überhaupt. Für das Portal Advocado, das sich als moderne Schnittstelle zwischen Ratsuchenden und über 550 Partneranwälten präsentiert, ist dieses Vertrauen die Geschäftsgrundlage. Doch ein gravierendes Datenleck zeigt nun, dass die digitale Sicherheit hinter dem Versprechen der schnellen Rechtshilfe offenbar nicht zurückstehen konnte.

Der Chaos Computer Club (CCC) hat eine eklatante Sicherheitslücke aufgedeckt, die den Zugriff auf einen öffentlich erreichbaren Cloudspeicher des Unternehmens ermöglichte. Wie die Hackerorganisation dem Spiegel steckte, stießen die Experten auf einen digitalen Schatz an Vertraulichkeite. Dieser soll nahezu ungeschützt im Netz gelegen haben. Die Liste der betroffenen Dokumente liest sich wie ein Albtraum für Datenschützer: Rechnungen, Kopien von Personalausweisen, Inkassoschreiben und sogar Aufzeichnungen von Beratungsgesprächen waren offenbar über den Amazon-S3-Bucket einsehbar.

CCC-Sprecher Matthias Marx, der die Schwachstelle bereits 2025 ausmachte, beschreibt den Vorfall gegenüber dem Magazin als Paradebeispiel für mangelnde Sorgfalt. Technisch gesehen war der Einbruch in das System keine Meisterleistung, da die Sicherheitsbarrieren quasi nicht existent waren. Ein falsch konfigurierter Webserver der Plattform gab Konfigurationsdateien preis, die niemals für die Öffentlichkeit bestimmt waren. In diesen Dateien fanden sich dem Bericht nach Zugangsdaten für verschiedene interne Dienste, darunter auch für das Gitlab-Konto des Unternehmens. Über diesen Umweg gelangte Marx an die Software-Interna und schließlich an die Zugangsdaten für den besagten Cloudspeicher.

Das Bild, das der CCC zeichnet, ist drastisch und anschaulich: Die Schlüssel zu den hochvertraulichen Daten lagen gewissermaßen unter einer digitalen Fußmatte. Angreifer müssen für solche Funde oft nicht einmal gezielt ein einzelnes Unternehmen ins Visier nehmen. Automatisierte Scans durchsuchen das Internet kontinuierlich nach genau solchen Fehlkonfigurationen. Werden sie fündig, stehen den Akteuren Tür und Tor offen. Im Fall von Advocado reichte ein einfacher Blick in den S3-Bucket, um die Brisanz der Lage zu erkennen.

Nachdem der CCC das Unternehmen und die zuständige Berliner Datenschutzbehörde informierte, schloss Advocado die Lücke zwar umgehend. Doch der Imageschaden dürfte länger bleiben. Die Berliner Datenschutzbeauftragte Meike Kamp bestätigte den Vorgang und gab an, dass insgesamt 18.535 Personen von dem Leck betroffen seien. Zwar gibt es laut der Behörde bisher keine Hinweise darauf, dass Kriminelle die Daten bereits kopiert oder missbraucht haben. Doch allein die theoretische Abrufbarkeit stellt einen schweren Verstoß gegen die Integrität des Mandantengeheimnisses dar.

Die Kritik des CCC wiegt schwer, da es sich um einen „technisch langweiligen“ Fehler handelt. Es mussten keine komplexen Firewalls überwunden oder Zero-Day-Exploits genutzt werden. Stattdessen war es schlichte Nachlässigkeit bei der Administration der Serverlandschaft. Marx bemängelt, dass Sicherheit bei der Entwicklung und dem Betrieb der Plattform offenbar keine Priorität genossen habe. Für die Experten ist Advocado aber kein Einzelfall. Immer wieder stoßen die ehrenamtlichen Helfer des Clubs auf ähnliche Versäumnisse bei Legal-Tech-Dienstleistern, die beispielsweise Entschädigungen für Fluggastrechte durchsetzen wollen.

Kamp appelliert daher an die Branche: Der Vorfall müsse als Weckruf für Rechtsbeistände und Kanzleien dienen, den Stellenwert der IT-Sicherheit zu erhöhen. Wenn die Digitalisierung des Rechtswesens gelingen soll, darf die Vertraulichkeit nicht der Bequemlichkeit oder einer schnellen Markteinführung geopfert werden. Während das Unternehmen selbst auf Anfragen bisher schweigt, bleibt für die über 375.000 Kunden der Plattform die Ungewissheit, wie sicher ihre sensiblen Daten in der Zukunft tatsächlich sind.

Stefan Krempl

Briten-Exit beim Copyright: London lässt KI-Entwickler und Künstler im Regen stehen

Statt klarer Regeln für das KI-Training und den Schutz von Werken setzt die britische Regierung auf Abwarten – und überlässt die Zukunft der Kreativwirtschaft den Gerichten.

In der hitzigen Debatte über das Urheberrecht im Zeitalter der Künstlichen Intelligenz wählt Großbritannien vorerst den Weg des geringsten Widerstands: das Abwarten. Der lang erwartete „Report on Copyright and Artificial Intelligence“ der Ministerien für Wissenschaft und Kultur liefert zwar eine umfassende Bestandsaufnahme, lässt jedoch konkrete Gesetzesreformen fast vollständig vermissen. Anstatt Fakten zu schaffen, setzt die Regierung auf die Beobachtung internationaler Entwicklungen und künftiger Präzedenzfälle. Damit wird das Problem, wie der Schutz von geistigem Eigentum mit dem Hunger der KI-Modelle nach Trainingsdaten vereinbart werden kann, auf unbestimmte Zeit vertagt.

Ein zentraler Kurswechsel zeichnet sich laut dem Bericht bei den Ausnahmen fürs Datenschürfen ab. Noch vor einiger Zeit liebäugelte die britische Exekutive mit einer weitreichenden Ausnahme für Text- und Datamining (TDM). Diese sollte es KI-Anbietern erlauben, geschützte Werke ohne explizite Erlaubnis für das Training ihrer Modelle zu verwenden. Dieser Plan ist nun endgültig vom Tisch. Die kreative Branche hatte massiven Widerstand geleistet und vor einer Entwertung ihrer Arbeit gewarnt. Nur drei Prozent der Konsultationsteilnehmer – primär aus dem Technologiesektor – unterstützten den Vorschlag.

Ein neuer gesetzlicher Rahmen fürs KI-Training ist dennoch nicht in Sicht. Die Regierung argumentiert, dass die Beweislage über die tatsächlichen Auswirkungen von Urheberrechtsreformen auf die KI-Investitionen im Land noch zu unsicher sei. Stattdessen wolle man abwarten, wie Gerichte in laufenden Verfahren, etwa im Fall Getty Images gegen Stability AI, über die Zulässigkeit von Trainingsdaten entscheiden. Man verlässt sich also auf Gesetzestexte aus den 1980er Jahren, um die Technologie von morgen zu bändigen.

Ein weiterer umstrittener Punkt ist die rechtliche Einordnung von rein computergenerierten Werken. Das britische Gesetz enthält mit Sektion 9(3) des Copyright, Designs and Patents Act eine weltweit seltene Bestimmung, nach der bei Werken ohne menschlichen Urheber diejenige Person als Autor gilt, die die notwendigen Vorkehrungen für die Entstehung getroffen hat. Diese Regelung steht aber in einem Spannungsverhältnis zum modernen Originalitätsbegriff, der eigentlich die eigene geistige Schöpfung eines Menschen voraussetzt.

Die Regierung räumt diesen Widerspruch ein, sieht aber keinen unmittelbaren Handlungsbedarf. Während sie bei KI-gestützten Arbeiten weiterhin von menschlichem Urheberrecht ausgeht, bleibt der Status von rein prompt-basierten Ergebnissen in einer juristischen Grauzone. Langfristig zieht die Exekutive sogar in Erwägung, diese Bestimmung ganz zu streichen, um die menschliche Kreativität gezielter zu schützen und rein maschinelle Erzeugnisse vom Schutz auszuschließen.

In puncto Transparenz zeigt sich London auffallend zurückhaltend. Während die EU mit dem AI Act bereits Offenlegungspflichten für Trainingsdaten eingeführt hat, setzt Großbritannien vorerst auf freiwillige Branchenstandards und bewährte Praxisbeispiele. Man wolle die KI-Entwicklung nicht durch unverhältnismäßige bürokratische Hürden bremsen, heißt es im Bericht. Dies dürfte vor allem die KI-Entwickler freuen, die einen hohen Aufwand bei der Prüfung von Opt-out-Wünschen der Rechteinhaber fürchten.

Bewegung gibt es dagegen beim Thema Digital Replicas. Angesichts der Zunahme von KI-generierten Stimmenimitationen und Deepfakes prüft die Regierung die Einführung eines neuen Persönlichkeitsrechts. Bisher existiert hier nur ein lückenhaftes Patchwork aus Datenschutz, Markenrecht und Klagemöglichkeiten wegen Verleumdung. Ein eigenständiges Recht am eigenen Bild und der eigenen Stimme könnte für Klarheit sorgen. Es birgt aber die Gefahr, über die KI-Thematik hinaus weitreichende juristische Folgen zu haben und im parlamentarischen Prozess steckenzubleiben.

Die Entscheidung, die Lösung der Konflikte zwischen Rechteinhabern und KI-Entwicklern den Gerichten zu überlassen, enttäuscht Beobachter. Es fehle an einer klaren politischen Richtung, ob KI den britischen Markt eher beflügeln oder die heimische Kreativwirtschaft zerstören werde. Der Status quo diene derzeit niemandem: KI-Entwickler meiden den Standort wegen der rechtlichen Unsicherheit, während Urheber ihre Rechte kaum gegen im Ausland trainierte Modelle durchsetzen können. Ohne ein mutiges Signal des Parlaments bleibe der britische KI-Standort vorerst in einer Sackgasse.

Stefan Krempl

Sorglosigkeit in der Cloud: Warum fast jede Firma in den Rechnerwolken angegriffen wird

Ein Report von Red Hat und Daten von 1&1 Versatel zeigen: Die Cloud-Nutzung boomt, doch Sicherheitsstrategien und KI-Regulierung hinken gefährlich hinterher.

Die Cloud ist aus dem modernen Unternehmensalltag nicht mehr wegzudenken, da sie die Basis für flexible Arbeitsmodelle und effiziente digitale Geschäftsmodelle bildet. Eine aktuelle Untersuchung von 1&1 Versatel bestätigt diesen Trend: Rund 65 Prozent der Unternehmen haben bereits in cloudbasierte Systeme investiert oder planen dies fest. Doch der technologische Fortschritt hat eine Schattenseite, wie der Bericht 2026 State of Cloud Native Security von Red Hat verdeutlicht. Demnach gaben 97 Prozent der 600 befragten IT-Experten an, in den letzten zwölf Monaten mindestens einen Sicherheitsvorfall in ihrer Cloud-Umgebung erlebt zu haben.

Das Hauptproblem sind paradoxerweise nicht etwa hochkomplexe Cyberangriffe, sondern hausgemachte Fehler. Fehlkonfigurationen der Infrastruktur und das Übersehen bekannter Schwachstellen in laufenden Anwendungen führen die Liste der Vorfälle an. Diese vermeidbaren Nachlässigkeiten haben erhebliche geschäftliche Auswirkungen: 92 Prozent der Betroffenen berichten von signifikanten Folgen, die von einer sinkenden Produktivität der Entwickler bis hin zu Imageverlusten bei Kunden reichen. Besonders kritisch ist, dass 74 Prozent der Firmen ihre Anwendungs-Releases aufgrund von Sicherheitsbedenken verzögern mussten, was die Agilität und Wettbewerbsfähigkeit untergräbt.

Zwischen der Selbstwahrnehmung der IT-Verantwortlichen und der Realität klafft zudem eine Lücke. Zwar halten sich 56 Prozent für „hochgradig proaktiv“ im Umgang mit Bedrohungen. Doch nur 39 Prozent verfügen tatsächlich über eine ausgereifte und gut definierte Sicherheitsstrategie für ihre Cloud-Umgebungen. Diese Diskrepanz spiegelt sich in der lückenhaften Umsetzung technischer Schutzmaßnahmen wider. Während Identitätsprüfungen weit verbreitet sind, nutzt lediglich die Hälfte der Unternehmen Signaturen zur Verifizierung von Container-Images. Auch Laufzeitschutz und automatisierte Richtlinien werden oft vernachlässigt.

Die Unternehmen haben die Gefahr jedoch erkannt und wollen gegensteuern. In den nächsten zwei Jahren planen über 60 Prozent, viel Geld in die Automatisierung ihrer Sicherheitsprüfungen innerhalb der Entwicklungs-Pipelines zu investieren. Ein weiterer Fokus liegt auf der Absicherung der Software-Lieferkette sowie auf Echtzeit-Schutzmaßnahmen, um aktive Bedrohungen wie Cryptojacking möglichst rasch zu stoppen.

Eine neue Risikofront hat sich laut dem Report durch den rasanten Einzug generativer KI (GenAI) eröffnet. 96 Prozent der Befragten äußern tiefe Besorgnis über den Einsatz von GenAI in ihren Cloud-Netzwerken. Die Ängste vor Datenlecks durch unbedachte Eingaben sensibler Informationen oder die Nutzung nicht autorisierter „Schatten-KI“ sind groß. Dennoch herrscht hier ein gefährliches Regulierungsvakuum: Ganze 59 Prozent der Teilnehmer besitzen keinerlei dokumentierte Richtlinien oder Kontrollmechanismen für die Nutzung von KI-Tools.

Neben der technischen Sicherheit rückt die Stabilität der Netzanbindung stärker in den Fokus. Laut 1&1 Versatel sehen 44 Prozent der Unternehmen technische Ausfälle als eines der größten Risiken ihrer Cloud-Strategie. Da Dienste in den Rechnerwolken nur so leistungsfähig sind wie die zugrunde liegende Verbindung, investieren Firmen verstärkt in moderne Glasfaserinfrastrukturen und Vernetzungstechnologien wie SD-WAN. Das Ziel ist klar: Nur wer Sicherheit, Governance und eine stabile Infrastruktur gleichermaßen beherrscht, wird das volle Potenzial der Cloud ohne böses Erwachen ausschöpfen können.

Stefan Krempl

Jugendschutz auf Instagram: Komplettverbot von Erotik-Profilen unzulässig

Das Verwaltungsgericht Berlin bremst die Medienanstalt mabb aus: Pauschale Sperrungen von Social-Media-Accounts verletzen laut einem neuen Urteil das Verhältnismäßigkeitsprinzip.

In der Debatte über den Jugendschutz in sozialen Netzwerken hat das Verwaltungsgericht Berlin ein Urteil gefällt, das die Befugnisse von Aufsichtsbehörden klar eingrenzt. Im Zentrum des Rechtsstreits stand die Frage, ob die Medienanstalt Berlin-Brandenburg (mabb) berechtigt ist, das gesamte Instagram-Profil einer Erotikdarstellerin zu untersagen, wenn nur ein Teil der Inhalte als jugendgefährdend eingestuft wird. Die Richter der 32. Kammer entschieden nun zugunsten der Klägerin und verwiesen auf den Grundsatz der Verhältnismäßigkeit. Die mabb darf demnach nicht den „Vorschlaghammer“ schwingen, sondern muss präzise festlegen, welche spezifischen Beiträge gegen geltendes Recht verstoßen.

Der Fall geht auf eine Entscheidung der mabb aus dem November 2022 zurück. Die Behörde hatte das Angebot der Klägerin, die auf der Plattform über 100.000 Follower unterhält, vollumfänglich beanstandet und die weitere Verbreitung untersagt. Die Begründung der Jugendschützer: Die Klägerin präsentiere sich betont sexualisiert und vermittle ein einseitiges Bild von Sexualität sowie darauf fokussierte Geschlechterrollen. Da Instagram offiziell bereits für Jugendliche ab 13 Jahren zugänglich ist, sah die mabb die Gefahr, dass die Inhalte 13- bis 15-Jährige verstören oder in ihrer Entwicklung verunsichern könnten. Die Medienwächter führten dabei ins Feld, dass ein Verbot des gesamten Kanals notwendig sei, selbst wenn nicht jeder einzelne Beitrag für sich genommen jugendgefährdend wirke.

Dieser Rechtsauffassung folgte das Verwaltungsgericht in seinem Urteil vom 23. Februar 2026 nur bedingt. Zwar teilten die Richter die Einschätzung der mabb, dass große Teile des Profils eine entwicklungsbeeinträchtigende Wirkung auf Kinder und Jugendliche unter 16 Jahren entfalten könnten. Dennoch erklärten sie das Totalverbot für rechtswidrig. Eine solche Maßnahme stelle einen zu tiefen Eingriff in die Rechte der Anbieterin dar, solange mildere, aber ebenso effektive Mittel zur Verfügung stünden. Die mabb sei dazu verpflichtet, die zu beanstandenden Inhalte konkret zu benennen, anstatt das gesamte digitale Schaufenster der Klägerin zu schließen.

Interessant ist die Begründung des Gerichts zur Zumutbarkeit für die Behörden. Bei einem Account mit etwas mehr als 1000 Beiträgen sei es der mabb zuzumuten, eine Einzelfallprüfung vorzunehmen und die inkriminierten Bilder oder Texte einzeln aufzuführen. Das Gericht sieht darin zudem einen pädagogischen Mehrwert für die Betroffenen: Durch die konkrete Bezeichnung der Verstöße werde der Klägerin vor Augen geführt, welche Form der Selbstdarstellung rechtlich zulässig ist und wo die Grenze zur unzulässigen Entwicklungsbeeinträchtigung überschritten wird. Dies schaffe Rechtssicherheit für künftige Veröffentlichungen.

Das Urteil unterstreicht die Herausforderungen, vor denen die Medienaufsicht im Zeitalter von Social Media steht. Während Plattformen wie Instagram oft dynamische und umfangreiche Inhalte bereithalten, verlangt die deutsche Rechtsprechung eine differenzierte Auseinandersetzung mit dem Einzelfall. Ein „Clean-Sweep“ ganzer Accounts ist damit vorerst vom Tisch, sofern nicht das gesamte Profil ausschließlich aus rechtswidrigen Inhalten besteht. Für Influencer und Content Creator bedeutet die Entscheidung eine Stärkung ihrer Position gegenüber pauschalen Lösch- oder Sperranordnungen. Gleichzeitig nimmt das Urteil die Aufsichtsbehörden stärker in die Pflicht, ihre Prüfprozesse zu intensivieren.

Noch ist die Entscheidung nicht rechtskräftig. Die mabb hat die Möglichkeit, einen Antrag auf Zulassung der Berufung beim Oberverwaltungsgericht Berlin-Brandenburg zu stellen. Sollte das Urteil Bestand haben, dürfte es Signalwirkung für die Aufsichtspraxis über die Grenzen von Berlin und Brandenburg hinaus entfalten und die Arbeit der Landesmedienanstalten bei der Regulierung von Erotik-Content auf Massenplattformen verändern.

Stefan Krempl

Lahmende Ermittlung: Gericht erzwingt Herausgabe beschlagnahmter Mobiltelefone

Weil die Auswertung von 56 Gigabyte Daten über zwei Jahre dauerte, rügt das Landgericht Köln die Überlastung der Justiz und gibt einem Beschuldigten seine Geräte zurück.

In der digitalen Strafverfolgung klaffen Anspruch und Wirklichkeit oft meilenweit auseinander. Während Ermittlungsbehörden bei Durchsuchungen routinemäßig jedes verfügbare Speichermedium sicherstellen, scheitert die anschließende Auswertung häufig an chronischem Personalmangel und technischem Rückstau. Das Landgericht Köln hat dieser Praxis nun in einem aktuellen Beschluss (Az.: 323 Qs 69/25) deutliche Grenzen gesetzt. Die Richter entschieden, dass eine zweieinhalbjährige Einbehaltung von Smartphones und Tablets zur Durchsicht unverhältnismäßig ist, wenn die Verzögerung allein auf staatliche Organisationsmängel zurückzuführen ist.

Der Fall nahm seinen Anfang im März 2023, als die Wohnung des Beschwerdeführers durchsucht wurde. Dem Mann wurde vorgeworfen, über die Plattform G. eine Videodatei mit Darstellungen sexuellen Kindesmissbrauchs versendet zu haben. Der Tatverdacht wog durchaus schwer, da der genutzte Account mit dem Klarnamen, der Telefonnummer und dem Geburtsdatum des Mannes verknüpft war. Zudem räumte der Beschuldigte während der Durchsuchung ein, den Clip als vermeintliches Spaßvideo auf seinem Handy zu besitzen. Insgesamt stellten die Beamten 51 Datenträger sicher, darunter zahlreiche Mobiltelefone der Marken Samsung und Wiko sowie ein Acer-Tablet und zwei Festplatten.

Was dann folgte, wirkt wie eine Chronik der bürokratischen Überlastung. Über Monate hinweg korrespondierten die Staatsanwaltschaft und die zuständige Kreispolizeibehörde über den Stand der Auswertung. Trotz einer vergleichsweise geringen Datenmenge von lediglich 56 Gigabyte und der Tatsache, dass der Beschuldigte seine PIN-Codes freiwillig herausgegeben hatte, passierte wenig. Eine erste kursorische Suche mittels Künstlicher Intelligenz lieferte zwar Hinweise auf pornografisches Material, jedoch keine Treffer für "kinder- oder jugendpornografische" Inhalte. Das konkrete Tatvideo konnte weder über Dateinamen noch über Hashwerte auf den Geräten gefunden werden.

Immer wieder bat die Polizei um Fristverlängerungen. Mal lag es an der Priorisierung von Haftsachen oder Verfahren der organisierten Kriminalität, mal an personellen Veränderungen oder der allgemeinen Belastung der Dienststelle. Im September 2025 – volle 30 Monate nach der Sicherstellung – war die eigentliche Auswertung noch immer nicht gestartet. Für das Landgericht Köln war damit der Punkt erreicht, an dem das staatliche Strafverfolgungsinteresse hinter die Grundrechte des Betroffenen zurücktreten muss.

Die Richter stellen in ihrer mittlerweile veröffentlichten Begründung unmissverständlich klar, dass die Befugnis zur Durchsicht von Datenträgern nicht uferlos ist. Zwar gebe es keine starren gesetzlichen Fristen für die Dauer einer Beschlagnahme. Aber jede Maßnahme müsse dem Gebot der Verhältnismäßigkeit genügen. Besonders scharf rügt die Kammer, dass sich strukturelle Defizite innerhalb der Justiz nicht zu Lasten eines Beschuldigten auswirken dürften. Es sei unerheblich, ob die Behörden die Personalnot selbst verschuldet haben oder nicht. Ein anhaltender Überlastungszustand dürfe nicht dazu führen, dass die verfassungsrechtlich gebotene Beschleunigung des Verfahrens ignoriert wird.

Zudem sah das Gericht keinen Grund für den weiteren Verbleib der Hardware in der Asservatenkammer. Da die Polizei bereits eine vollständige Datensicherung vorgenommen hatte, war der Zugriff auf die Beweismittel für die Ermittler ohnehin gesichert. Die physischen Geräte hingegen unterlägen einem ständigen Wertverlust, was den Eingriff in das Eigentumsrecht des Besitzers mit jedem Monat schwerwiegender mache. Auch das Argument einer möglichen späteren Einziehung der Geräte nach einer Verurteilung ließen die Richter nicht gelten, da eine solche auch vollstreckt werden könne, wenn sich die Geräte wieder in der Hand des Besitzers befänden.

Da der Beschwerdeführer zudem nicht einschlägig vorbestraft war, stuften die Richter die Schwere des Vorwurfs und die zu erwartende Strafe als moderat ein. In der Gesamtschau aller Faktoren hob das Landgericht den Bestätigungsbeschluss des Amtsgerichts Köln auf und ordnete die sofortige Herausgabe der Mobiltelefone, des Tablets und der Festplatten an. Lediglich ein ebenfalls sichergestellter Schlagring verbleibt bei den Behörden, da dieser für das Verfahren wegen der Videodatei keine Rolle spielte und für ihn kein spezieller Herausgabeantrag vorlag. Die Kosten des Beschwerdeverfahrens muss der Steuerzahler tragen.

Stefan Krempl 

Gefährliche Einflüsterer: Wie KI-Modelle subtil die Meinung von Nutzern manipulieren

Forscher warnen in einer Studie vor den blinden Flecken im AI Act der EU und fordern strengere Regeln gegen die schleichende Verzerrung des öffentlichen Diskurses durch ChatGPT & Co.

Die Algorithmen hinter modernen Sprachmodellen wie ChatGTP, Gemini oder Claude sind längst keine bloßen Werkzeuge mehr, sondern haben sich zu mächtigen Gatekeepern der Informationsgesellschaft entwickelt. Ob als Chatbot auf dem Smartphone oder als Entscheidungshilfe im Berufsalltag – die großen Sprachmodelle (LLMs) greifen immer tiefer in die Meinungsbildung ein. Doch dieser Einfluss geschieht oft im Verborgenen und ist weitaus weniger neutral, als viele Nutzer vermuten. Eine aktuelle Studie von Stefan Schmid vom Weizenbaum-Institut und Adrian Kuenzler von der University of Hong Kong verdeutlicht im Fachjournal Communications of the ACM, dass diese Systeme eine ernsthafte Bedrohung für den demokratischen Diskurs darstellen können. Die Analyse zeigt, dass die aktuelle europäische Gesetzgebung, allen voran der viel diskutierte AI Act der EU, den subtilen Gefahren der algorithmischen Kommunikation bisher kaum gewachsen ist.

Das Kernproblem liegt laut der Untersuchung in der Natur der Daten begründet. Da Sprachmodelle mit gigantischen Mengen bestehender Texte trainiert werden, spiegeln sie zwangsläufig die darin enthaltenen Vorurteile und gesellschaftlichen Hierarchien wider. Diese sogenannten Biases sind keine technischen Fehler, sondern systemimmanente Merkmale, die bestimmte Weltbilder und Wertevorstellungen transportieren und verfestigen. Stefan Schmid warnt eindringlich davor, dass die Wahrscheinlichkeit hoch ist, dass diese Modelle politische Meinungen und sogar das Wahlverhalten von Bürgerinnen und Bürgern auf eine Weise beeinflussen, die für den Einzelnen kaum greifbar ist. Diese unterschwellige Manipulation erweist sich als besonders tückisch, da sie die öffentliche Debatte nicht mit dem Holzhammer, sondern durch stetige, fast unmerkliche Filterung und Verstärkung bestehender Einstellungen verändert.

In ihrer Untersuchung nehmen die Autoren insbesondere den Digital Services Act (DSA) und die KI-Verordnung unter die Lupe. Ihr Fazit fällt ernüchternd aus: Zwar zielen die Gesetze darauf ab, offensichtliche Schäden zu begrenzen. Doch die schleichende Erosion des Meinungsklimas bleibt weitgehend unberücksichtigt. Während sich die Regulierung auf greifbare Risiken wie Desinformation oder Diskriminierung konzentriert, wird die systemische Macht der Algorithmen, die Perspektivenvielfalt im digitalen Raum einzuengen, vernachlässigt. Verschärft wird diese Situation durch die enorme Marktdominanz weniger großer Tech-Konzerne. Wenn nur eine Handvoll Unternehmen darüber entscheidet, welche Informationen wie aufbereitet werden, droht eine gefährliche Monopolisierung der Wahrheit, die alternative Sichtweisen systematisch an den Rand drängt.

Um dieser Entwicklung entgegenzuwirken, fordern die Wissenschaftler einen Kurswechsel in der Regulierungspolitik. Ein rein defensiver Ansatz, der nur auf die Vermeidung von Fehlern setzt, reiche bei weitem nicht aus. Stattdessen schlagen Schmid und Kuenzler einen ganzheitlichen Rahmen vor, der über die bloße Inhaltsmoderation hinausgeht. Ein effektiver Schutz der Demokratie müsse auch das Wettbewerbsrecht einschließen, um die Vormachtstellung der KI-Giganten zu brechen. Zudem seien transparente Lieferketten für Trainingsdaten und ein verantwortungsvolles Technologie-Design unerlässlich. Nur wenn die Architektur dieser Systeme von Grund auf auf Vielfalt und Neutralität ausgelegt ist und eine strenge staatliche Aufsicht die Einhaltung dieser Prinzipien kontrolliert, kann die schleichende Manipulation durch die künstliche Intelligenz wirksam gestoppt werden.

Stefan Krempl

Datenhunger am Wohnungsmarkt: Was Vermieter wirklich wissen dürfen

Eine neue Orientierungshilfe der Datenschutzbeauftragten klärt auf, welche Mieterdaten zu welchem Zeitpunkt des Bewerbungsprozesses erhoben werden dürfen.

Wer heute in deutschen Großstädten eine Wohnung sucht, muss sich oft "nackt" machen. Bevor überhaupt der erste Schlüssel im Schloss dreht, fordern Vermieter häufig umfassende Dossiers an: Gehaltsnachweise, Schufa-Auskünfte, Informationen zum Familienstand oder gar Details zu etwaigen Vorstrafen und dem aktuellen Beschäftigungsverhältnis. In einem Markt, der von Wohnungsmangel geprägt ist, geben viele Suchende diese sensiblen Informationen bereitwillig preis, um ihre Chancen nicht zu gefährden. Doch die rechtliche Grenze zwischen berechtigtem Informationsinteresse und unzulässiger Datensammelwut ist oft fließend. Um hier Klarheit zu schaffen, haben die Datenschutzbeauftragten von Bund und Ländern ein gemeinsames Regelwerk veröffentlicht, das als verbindliche Richtschnur für den gesamten Vermietungsprozess dienen soll.

Unter der Federführung der nordrhein-westfälischen Datenschutzbeauftragten Bettina Gayk entstand ein zehnseitiges Papier, das den Wildwuchs bei der Datenerhebung eindämmen soll. Die Kernbotschaft ist so simpel wie wirkungsvoll: Transparenz schützt vor Konflikten. Wenn beide Seiten genau wissen, welche Abfragen rechtlich zulässig sind, lässt sich Streit bereits im Vorfeld vermeiden. Das Dokument zeigt zudem, dass die deutschen Aufsichtsbehörden bei wirtschaftlich relevanten Themen zunehmend mit einer Stimme sprechen, um bundesweit einheitliche Standards zu etablieren.

Das Fundament der neuen Orientierungshilfe bildet das Prinzip der Erforderlichkeit. Jede Datenerhebung muss daraufhin geprüft werden, ob sie für die Durchführung des Mietvertrags zwingend notwendig ist oder ob ein berechtigtes Interesse des Vermieters besteht, dem keine überwiegenden Schutzinteressen der Mietinteressenten entgegenstehen. Ein entscheidender Aspekt für alle Wohnungssuchenden ist dabei die Erkenntnis, dass unzulässige Fragen rechtlich nicht beantwortet werden müssen – oder im Zweifelsfall sogar falsch beantwortet werden dürfen, ohne dass dies später den Mietvertrag gefährdet.

Die Experten teilen den Vermietungsvorgang in drei zeitliche Phasen ein. Dabei gilt der Grundsatz, dass die Zulässigkeit von Datenabfragen mit dem Fortschritt des Prozesses zunimmt. In der ersten Phase, dem reinen Besichtigungstermin, ist der Datenhunger der Vermieter streng zu zügeln. Zu diesem frühen Zeitpunkt ist es in der Regel unzulässig, bereits detaillierte Angaben zu den wirtschaftlichen Verhältnissen zu verlangen. Erst wenn eine Person ernsthaftes Interesse bekundet und erklärt, die Wohnung tatsächlich anmieten zu wollen, öffnet sich das Zeitfenster für tiefergehende Fragen. In dieser zweiten Phase müssen dann beispielsweise Informationen über ein eventuell eröffnetes Insolvenzverfahren preisgegeben werden, da dies die Zahlungsfähigkeit direkt betrifft.

Die intensivste Prüfung erfolgt schließlich in der dritten Phase, wenn die finale Auswahl auf eine bestimmte Person gefallen ist. Erst jetzt dürfen konkrete Nachweise über die Bonität verlangt werden. Doch auch hier setzt der Datenschutz klare Grenzen: Vermieter dürfen lediglich die Nachweise einfordern, die für den Abschluss des Vertrags absolut notwendig sind. Die oft verlangte umfassende Selbstauskunft von Auskunfteien, die häufig eine Fülle an Zusatzinformationen enthält, überschreitet diesen Rahmen. Eine einfache Bestätigung, dass keine negativen Einträge vorliegen, reicht meist aus.

Dass dieser Leitfaden bitter nötig ist, zeigen die Erfahrungen aus der Praxis. Vor-Ort-Kontrollen der niedersächsischen Datenschutzaufsicht bei Immobilienunternehmen im Jahr 2024 offenbarten erhebliche Mängel. Die Prüfer stießen regelmäßig auf die unzulässige Archivierung von Ausweiskopien oder auf Mieterselbstauskünfte, die weit über das gesetzlich erlaubte Maß hinausgingen. Denis Lehmkemper, der niedersächsische Beauftragte für den Datenschutz, betont daher, dass die neue Orientierungshilfe eine wertvolle Unterstützung bietet, um die Rechte der Mietinteressenten in einem oft ungleichen Machtverhältnis zu wahren. Neben der Erhebung regelt das Papier auch die Löschung: Sobald ein Bewerber abgelehnt wurde, müssen dessen Daten zeitnah vernichtet werden, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Stefan Krempl