Nicht alles, was das Jahr 2023 prägt, war auch wichtig. Und manche Dinge, die wichtig waren, haben zu wenig Aufmerksamkeit bekommen.
Während viele über jeden Ausfall von Elon Musk berichteten, haben wir uns vorrangig mit den leiseren und relevanteren Dingen beschäftigt: Wie läuft es mit der Digitalisierung der Verwaltung? Wer will unsere Nutzer:innenrechte einschränken und wie können wir sie ausbauen? Und was machen eigentlich all die vielen netzpolitischen Vorhaben der Ampel-Regierung, von denen man kaum etwas hört?
Wir haben für euch die größten Themenblöcke des Jahres zusammengestellt. Die Sammlung ist gewiss unvollständig. Also fühlt euch eingeladen, zu ergänzen, was aus eurer Sicht die digitale Welt im scheidenden Jahr besonders geformt hat.
Chatkontrolle in Rat und Parlament
Die Chatkontrolle war 2023 das große netzpolitische Thema. Bei uns sind im vergangenen Jahr dazu die meisten Artikel erschienen. Bemerkenswert ist nicht nur, wie außergewöhnlich breit der Widerstand gegen dieses Überwachungsprojekt ist. Sondern wir konnten auch offenlegen, wie tief die EU-Innenkommissarin Ylva Johansson bei diesem Thema in Lobbytätigkeiten verstrickt ist.
Bei den Plänen zur Chatkontrolle ging es darum, Verschlüsselung anzugreifen. Und immer deutlicher zeigt sich, dass die Absichtserklärung, auf diese Weise Kinder zu schützen, vorgeschoben ist. Von Anfang an war der Sicherheitsapparat maßgeblich in der Planung involviert. Den Rest besorgte das als Wohltätigkeitsorganisation getarnte Start-Up Thorn, das nicht nur überproportional an der Ausarbeitung der Chatkontrolle beteiligt war, sondern auch über einen direkten Zugang zu Johansson verfügte.
Im Laufe des Jahres wurde dann offenkundig, dass weder der EU-Rat noch das Parlament mit dem Entwurf der Kommission mitgehen würden. Im Rat herrscht bis heute Uneinigkeit, das Parlament formulierte eine eigene Verhandlungsposition, die sich in vielerlei Hinsicht von Johanssons Überwachungsträumen unterscheidet.
Aktuell steht die Chatkontrolle auf der Kippe. Die Kommission will die freiwillige Chatkontrolle verlängern, offenbar um Zeit zu gewinnen. Da ein neuer Anlauf nach der Europawahl nicht ausgeschlossen ist, bleiben wir an dem Thema dran. Vermutlich wird uns die Chatkontrolle – ähnlich wie die Vorratsdatenspeicherung – als untotes Überwachungsinstrument noch auf Jahre begleiten.
Jährlich grüßt die Vorratsdatenspeicherung
Anfang des Jahres hatten wir geschrieben, dass der Konflikt zwischen Bundesinnenministerin Nancy Faeser (SPD) und Justizminister Marco Buschmann (FDP) über die Zukunft der Vorratsdatenspeicherung schwelt. Daran hat sich während des gesamten Jahres nach außen hin nichts geändert.
Der Quick-Freeze-Vorschlag aus dem Justizministerium liegt weiterhin auf Eis, die Innenministerin warb derweil in den vergangenen Monaten emsig für die anlasslose Speicherung von IP-Adressen. Und auch der Bundestag diskutierte ein paar Mal über das Thema. Bei den Gerichtsurteilen gegen die Vorratsdatenspeicherung – zuletzt erging im September eines vom Bundesverwaltungsgericht – haben wir aufgehört mitzuzählen.
Immerhin kündigte Nancy Faeser Anfang Dezember eine schnelle Einigung im Kabinett an. Wir bleiben gespannt und verfolgen das Thema auch im neuen Jahr.
Staaten hacken mit Staatstrojanern
Mitte des Jahres beendete ein Ausschuss des EU-Parlaments seine Untersuchungen zum wohl größten Staatstrojaner-Skandal der EU. Es ging um den Einsatz von Pegasus und anderen Trojanern in den Mitgliedstaaten. Diese werden aber nicht nur gegen Terrorist:innen oder andere eingesetzt, die schwere Straftaten im Sinn haben. Sondern teils auch gegen Oppositionelle, Anwältinnen und Medienschaffende.
Im Fokus der Untersuchungen standen Ungarn, Polen und Griechenland. Doch das sind längst nicht die einzigen EU-Länder, die staatliche Spähsoftware von privaten Herstellern kauften. An vielen Stellen prallte die Aufklärung am Schweigen der Staaten ab. Wir verfolgten die Arbeit des Ausschusses eng und veröffentlichten Protokolle aller Sitzungen.
Am Ende präsentierten die Parlamentarier:innen ihre Ergebnisse in einem Abschlussbericht. Sie forderten zwar kein Moratorium, aber zumindest eine strengere Regulierung für den Einsatz von Staatstrojanern. Bindend sind ihre Samthandschuh-Empfehlungen allerdings nicht.
Die EU-Kommission tat daraufhin nichts, die Abgeordneten sind sauer. Manche fordern einen zweiten Untersuchungsausschuss. Doch ob das etwas ändern würde?
Fest steht: In Deutschland hackt die Polizei alle elf Tage mit Staatstrojanern. Das Justizministerium hat zwar einen Gesetzentwurf vorgelegt, dass die Polizei Staatstrojaner etwas seltener nutzen dürfen soll – aber auch hier blockiert das Innenministerium.
Immerhin hat die Staatsanwaltschaft nach unserer Strafanzeige Manager von FinFisher angeklagt. Und wir verklagen das BKA zum dritten Mal wegen eines Staatstrojaner-Vertrags, diesmal zu NSO Pegasus.
KI-Verordnung mit großen Schlupflöchern
Beim Thema Künstliche Intelligenz standen im zurückliegenden Jahr vor allem zwei Aspekte im Fokus: die KI-Verordnung der EU und der Hype generative KI wie ChatGPT.
Nach zähen Verhandlungen haben sich EU-Parlament und Rat Anfang Dezember auf die Endfassung der KI-Verordnung geeinigt. Der Kompromiss sieht etliche Schlupflöcher vor. Auch wenn damit Forderungen nach weitergehenden Ausnahmen für Sicherheitsbehörden abgewehrt wurden, gibt es an der Einigung nur wenig zu feiern. Verbesserungen, die das Parlament noch ein halbes Jahr zuvor beschlossen hatte, wurden im Laufe der Aushandlungen verwässert oder gar abgeräumt.
Nun ist zu befürchten, dass die KI-Verordnung den Einsatz biometrischer Gesichtserkennung europaweit etablieren wird. Damit droht noch mehr Massenüberwachung und das Ende der Anonymität im öffentlichen Raum. Auch sogenanntes Predictive Policing – also der Versuch, aus vorhandenen polizeilichen Daten Vorhersagen abzuleiten – soll fortan erlaubt sein, wenn auch mit Einschränkungen. Und im Namen der „nationalen Sicherheit“ wird es wohl ebenfalls große Schlupflöcher geben.
Immerhin sollen sogenannte Basismodelle fortan strenger reguliert werden, auch wenn die Regierungen von Frankreich, Deutschland und Italien im Vorfeld deutlich weniger Regeln gefordert hatten. Basismodelle sind KI-Systeme, die für verschiedene Zwecke eingesetzt werden können. Zu ihnen zählt auch ChatGPT. Nachdem OpenAI das Programm im November vergangenen Jahres der Öffentlichkeit verfügbar machte, begann ein regelrechtes Hype-Theater – mit absurd utopischen, vor allem aber dystopischen Anklängen, die an Blockbuster aus Hollywood erinnerten.
Den Hype befeuerten ausgerechnet jene Unternehmen, die mit der sogenannten KI viel Geld verdienen wollen. Denn bei all dem Theaterdonner gerät aus dem Blick, dass die Technologie zu ökonomischen Machtverschiebungen, mehr Ausbeutung im globalen Süden sowie neuen Geschäftsmodellen der Überwachung führt.
Digitalstrategie: Leuchttürme ohne Strahlkraft
Gut zwei Jahre ist die Ampel-Regierung nun im Amt. Zur Halbzeit hat sie mit Blick auf ihre im August 2022 verabschiedete Digitalstrategie allerdings wenig vorzuweisen. Dabei hatte sich die Ampel das Thema Digitalisierung von Beginn an übergroß auf die Fahnen geschrieben. Und es mangelte nicht an Willensbekundungen.
Doch die Liste der unerfüllten Versprechen ist weiterhin lang. So wird das im Koalitionsvertrag versprochene Digitalbudget wohl nicht kommen. Und die 18 Leuchtturmprojekte, mit denen die Regierung das Land bis zum Jahr 2025 modernisieren wollte, haben deutlich an Strahlkraft eingebüßt.
Als Erfolge verbuchte Volker Wissing (FDP) auf dem Digitalgipfel in Jena vor allem die Bund-ID, das Deutschlandticket und iKFZ. Allerdings wurde der BundID-Erfolg mit einem Taschenspielertrick und auf Kosten des Datenschutzes erkauft, die Zukunft des Deutschlandtickets ist schon wieder ungewiss. Und bei zwei Drittel aller Zulassungsstellen hat das Kraftfahrt-Bundesamt erst vor wenigen Tagen die digitale Anmeldung von Kraftfahrzeugen gesperrt – wegen Sicherheitsmängeln.
Bereits zur Jahresmitte zeigte sich der Beirat Digitalstrategie Deutschland zutiefst gefrustet über die schleppende Zusammenarbeit mit der Regierung. Die Mitglieder vermissen eine „verbindende Klammer“ und eine Gesamtstrategie, wofür sie unter anderem das Digitalministerium und das „Silo-Denken zwischen den einzelnen Ministerien“ verantwortlich machen. Ob und in welcher Form der Beirat über das erste Jahr hinaus tagen und beraten wird, ist derzeit noch offen. Denn die Sitze in dem Gremium sind auf ein Jahr begrenzt, und bisher wurden die Mitglieder nicht für ein weiteres Jahr berufen.
Nur 2,5 Prozent Verwaltungsdigitalisierung
Auch bei der Verwaltungsdigitalisierung läuft es überaus langsam: Zwar hat das Bundeskabinett im Mai den Gesetzentwurf für ein Onlinezugangsgesetz 2.0 beschlossen. Es soll das Onlinezugangsgesetz (OZG) aus dem Jahr 2017 reformieren.
Das OZG verpflichtet Bund, Länder und Kommunen dazu, insgesamt knapp 600 Verwaltungsleistungen für Bürger:innen, Unternehmen und Organisationen online zur Verfügung zu stellen. Die im Gesetz enthaltene Frist von Ende 2022 ist längst verstrichen, von den digitalen Verwaltungsdienstleistungen steht aktuell nur ein Bruchteil bereit.
Immerhin will das Bundesinnenministerium im kommenden Jahr nun 15 priorisierte OZG-Leistungen bereitstellen – und zwar „möglichst flächendeckend und vollständig digital (Ende-zu-Ende)“. Das sind sage und schreibe 2,5 Prozent der einst anvisierten Ziele. Ob aber selbst das gelingt, ist fraglich: Denn es fehlen Vorgaben, Zuständigkeiten und Fristen. Letztlich erfolgt die Verwaltungsdigitalisierung damit weiterhin auf der Schmalspur entlang zahlreicher Baustellen.
Digitale Identitäten für die panoptische Überwachung
Noch düsterer sieht es beim „Ökosystem digitale Identitäten“ aus. Das Vorhaben gilt gleich nach dem Ausbau des Glasfasernetzes als zweitwichtigstes digitales Leuchtturmprojekt der Ampel. Zu Recht: Denn eine praxistaugliche Identifizierung im Internet ist eine entscheidende Voraussetzung für die Digitalisierung. Verantwortet wird das Projekt von Bundesinnenministerin Nancy Faeser (SPD).
Erst vor einem Monat hatte Claudia Plattner, neue Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, noch eindringlich gemahnt: „Wir können es uns nicht leisten, das Thema digitale Identitäten sterben zu lassen!“ Doch die Smart eID für das Smartphone liegt nun bis auf Weiteres auf Eis – weil die Haushaltsmittel dafür fehlen.
Die EU ist bei dem Thema derweil einen großen Schritt weiter. EU-Parlament und Rat haben sich Anfang November auf die eIDAS-Reform geeinigt. Bis zum Herbst 2026 müssen somit alle 27 EU-Mitgliedstaaten ihren Bürger:innen eine „European Digital Identity Wallet“ anbieten, mit der diese sich dann on- wie offline und in fast allen Lebensbereichen ausweisen können. Geht es nach der Kommission, sollen bis 2030 alle EU-Bürger:innen über eine eigene digitale Identität verfügen.
Bürgerrechtsgruppen und Datenschützer:innen warnen allerdings davor, dass Staaten durch die Wallet eine „panoptische Vogelperspektive“ erhielten. Besonders umstritten ist Artikel 45 der Verordnung. Er verpflichtet Browseranbieter dazu, bestimmte qualifizierte Zertifikate zu akzeptieren. Dies würde es staatlichen Behörden ermöglichen, den Internetverkehr auszuspähen. Darüber hinaus befürchten Datenschützer:innen, dass die Wallet zu Überidentifizierung führen könnte und damit das Recht auf anonyme Nutzung digitaler Dienste weiter aushöhlt.
Im Februar 2024 stimmt das EU-Parlament final über die Verordnung ab, die dann frühestens im nächsten Frühjahr in Kraft treten könnte. Es besteht nur wenig Hoffnung, dass bis dahin noch einige der offenen Schlupflöcher geschlossen werden können.
Gesundheitsdigitalisierung ist mehr als das E-Rezept
Die Digitalisierung des Gesundheitswesens war 2023 sowohl in Deutschland als auch in der EU ein aktuelles Thema. Hierzulande hakt es seit vielen Jahren, etwa bei der elektronischen Patientenakte (ePA). Die ist immerhin seit rund zwanzig Jahren im Gespräch und sollte schon ganz oft und dann wirklich durchstarten. Mittlerweile ist sie auch da, doch kaum jemand nutzt sie.
Karl Lauterbach hat für dieses Problem eine zündende Idee: Statt einer elektronischen Akte vorab zuzustimmen, sollen Versicherte künftig ausdrücklich widersprechen, wenn sie die ePA nicht haben wollen. Verordnetes Vertrauen sozusagen. Und weil viele das vermutlich nicht tun, ist das Akzeptanzproblem für den Minister gelöst und die Daten können fließen. Dafür brachte er das Digitalgesetz auf den Weg, im Paket mit dem Gesundheitsdatennutzungsgesetz.
Das regelt die Nutzung der Gesundheitsdaten für Forschungszwecke, die im Forschungsdatenzentrum zusammengeführt werden. Gerade bei solch einem Vorhaben sollte die Sicherheit der Daten an erster Stelle gehen. Doch leider blieb die IT-Sicherheit bis zuletzt nur eine ungeliebte Randnotiz.
Noch wilder geht es im Europäischen Gesundheitsdatenraum (EHDS) zu. Er soll auf der einen Seite die Versorgung verbessern, etwa wenn Versicherte in einem anderen EU-Land zur Ärztin müssen, die dann gleich auf ihre Daten zugreifen kann. Auf der anderen Seite geht es auch hier wieder um Daten für die Forschung, auch für die kommerzielle.
Hier stellt sich ebenfalls die Frage, wie viele Rechte Patient:innen erhalten, um selbst über ihre Daten zu bestimmen. Endgültig geklärt ist das nicht. Zuletzt einigte sich das EU-Parlament immerhin noch auf Widerspruchsrechte für Versicherte, auch wenn diese recht weich ausfallen. Was am Ende bei den Verhandlungen zwischen Kommission, Rat und Parlament herauskommt, wird das nächste Jahr zeigen.
Die Schwesterngesetze zu digitalen Diensten und Märkten
2023 würde das Jahr der Umsetzung des Digitale-Dienste-Gesetzes werden, soviel stand fest. Um festzustellen, wer unter die extra-strengen EU-Regeln für sehr große Plattformen fällt, mussten die Online-Anbieter die Hosen herunterlassen und sagen, wie viele Nutzer:innen sie in der EU haben. Gerade Pornoseiten haben versucht, sich möglich klein zu rechnen.
Während die Aufsicht über die sehr großen Plattformen und Suchmaschinen maßgeblich von der EU-Kommission ausgeht, mussten für die restlichen Dienste noch nationale Regelungen her. Wer soll für die Aufsicht zuständig sein? Wie läuft die Zusammenarbeit zwischen verschiedenen Behörden ab? Wie hält man es mit dem Bußgeld? Denn ohne wirksame Plattformaufsicht bringen all die lang verhandelten Regeln nur wenig.
Deutschland kam hier eine ganze Weile nicht aus dem Knick, auch wenn schon früh klar war, dass die zentrale Koordinierung bei der Bundesnetzagentur liegen wird. Doch wer daneben noch eine Rolle spielen soll, sorgte offenbar für Uneinigkeit. Kurz vor Jahresende kam dann endlich ein Kabinettsentwurf, der bereits Anfang 2024 schnellstmöglich durch den Bundestag gehen soll. Denn ab Februar gelten auch für die nicht-ganz-so-sehr-großen Dienste die neuen Regeln der EU.
Was dem Digitale-Dienste-Gesetz die sehr großen Onlinedienste sind, sind dem Digitale-Märkte-Gesetz die Torwächter: IT-Riesen mit vielen Nutzer:innen, die zentrale Plattformdienste anbieten. Sie sollen ihre Marktmacht künftig nicht mehr allzu unkontrolliert ausnutzen können, so das Vorhaben der EU. Seit September steht fest, wer zu den ganz großen Torwächtern gehört: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft.
Diese Konzerne müssen den Nutzer:innen fortan mehr Freiheiten bei der Installation von Software und Apps einräumen und dürfen ihre eigenen Produkte nicht länger bevorzugen. Außerdem dürfen sie personenbezogene Daten aus unterschiedlichen Konzernprodukten nicht mehr zusammenführen und auch die Interoperabilität der großen Messenger wird zur Pflicht.
Was kommt 2024 auf uns zu?
Wir wissen natürlich nicht, welche Überraschungen das nächste Jahr birgt. Doch bei einigen Themen sind wir sicher, dass sie uns auch 2024 weiter begleiten werden. Zu diesen zählt die Chatkontrolle. Zum einen, weil die freiwillige Chatkontrolle sowohl verlängert als auch vor Gericht verhandelt wird. Zum anderen, weil in der EU im Sommer Wahlen anstehen und im Anschluss ein neuer Anlauf erfolgen könnte, die Massenüberwachung zu beschließen.
Vor den Wahlen soll auch der Trilog zum Europäischen Gesundheitsdatenraum zu einem Ergebnis kommen. In Deutschland werden parallel dazu die neuen Digitalisierungsregeln aus dem Hause Lauterbach umgesetzt. Wir werden dann zum ersten Mal mit einem E-Rezept in der Apotheke stehen. Und wir werden erfahren, welches Sicherheitskonzept der ePA zugrundeliegt.
Die Ampel-Regierung hat darüber hinaus auch noch eine Menge zu tun – zumindest, wenn es nach dem Koalitionsvertrag geht: Wie wird die Einigung zur Vorratsdatenspeicherung aussehen? Was passiert bei der Überwachungsgesamtrechnung? Wie siehts aus mit dem Schwachstellenmanagement? Was macht der Bundestag mit dem Bundespolizeigesetz und wie wird die Plattformaufsicht ab Februar genau umgesetzt? Und wie stehts eigentlich mit der nächsten Amtszeit des Bundesdatenschutzbeauftragten? Ulrich Kelber würde ja gerne weitermachen, aber im Bundestag geht es gerade nur stockend voran.
Dazu kommen hoffentlich bald reformierte Hackerparagafen, und aus den Eckpunkten zur digitalen Gewalt sollte irgendwann auch noch ein Gesetzestext werden. Zudem erwarten wir ein Reparaturgesetz aus dem Umweltministerium, das sich unmittelbar auf uns als Nutzer:innen digitaler Geräte auswirken könnte.
Doch abgesehen davon, was Regierungen und Parlamente regeln – Netzpolitik ist immer auch Gesellschaftspolitik. Wir freuen uns darauf, auch das zu begleiten, was außerhalb der Sitzungssäle passiert. Welche zukunftsorientierten Initiativen für eine lebenswerte digitale Gesellschaft werden uns im nächsten Jahr beeindrucken? Mit welchen kreativen und politischen Mitteln kämpfen Menschen gegen die Klimakrise und für das gute Leben für alle? Und wo werden der Zivilgesellschaft Steine in den Weg gelegt, die es wegzuräumen gilt? Bei all diesen Themen schauen wir hin, versprochen.
Guter Rückblick! Eine Ergänzung zum Abschnitt „Was kommt 2024 auf uns zu?“: Aus Dokumenten zur Going Dark-Arbeitsgruppe wissen wir, dass bis Mitte 2024 Vorschläge zu den Themen Vorratsdatenspeicherung, Verschlüsselung und Anonymität vorliegen sollen. https://www.patrick-breyer.de/vorratsdatenspeicherung-und-aushoehlung-von-verschluesselung-expertengruppe-soll-bis-mitte-2024-vorschlaege-fuer-ausweitung-von-ueberwachung-vorlegen/
Ganz offensichtlich handelt es sich hier um Aufträge, die gleich ins Arbeitsprogramm der nächsten EU-Kommission aufgenommen werden sollen.
Spontan fällt mir als Ergänzung nur die
EU Medienfreiheitsverordnung
ein, für mich eine Konsequenz aus dem Pegasus-Untersuchungsausschuss, und aus der Verschlechterung der Pressefreiheit allgemein in der EU: in Eurem Artikel dazu stand, dass Reporter-ohne-Grenzen (RSF) „jubelt“ – und zumindest ich habe mich wirklich gefreut, dass die „Ausnahme: nationale Sicherheit“, die vom Rat kam, nun wieder herausgestrichen wurde. Dass also die EU-Ebene das Recht bekommt, DIREKT mitzuhelfen dabei, Journalisten und ihre Quellen vor Repression zu schützen, damit verbinde ich Hoffnung.
P.S. : und vielleicht änder der aktuelle Bundesjustizminister Buschmann auch den Strafgesetzbuch § zum „Landesverrat“ ?
https://www.bmj.de/SharedDocs/Meldungen/DE/2023/0703_Fritz_Bauer.html
(denn der Gewinner des Fritz-Bauer-Preises 2023, Dr. Robert Brockhaus, hat ja zu Transparenz versus Geheimschutz eine Arbeit geschrieben, die, wenn man sie umsetzte, sogar Edward Snowden und seine Nachfolger bei uns unbeschwert und frei leben ließe!)