verweigert

25. August 2021

In vier Staaten Europas dürfen Geheimdienste massenhaft Kommunikationsdaten sammeln und auswerten, darunter der deutsche BND. Darüber berichtet heute netzpolitik.org und schreibt: Wegen eines Urteils des Europäischen Gerichtshofs für Menschenrechte (EGMR) gelten dafür neue Regeln. Die Bundesregierung verweigert aber weiterhin die Antwort, ob sie aufgrund des Urteils einen Handlungsbedarf beim BND-Gesetz sieht.

BND-Zentrale in Berlin. Zaunansicht.

Die Bundesregierung grübelt schon seit Monaten, ob sie einen Handlungsbedarf sieht, der wegen eines höchstrichterlichen Urteils des Europäischen Gerichtshofs für Menschenrechte (EGMR) vom 25. Mai dieses Jahres entstanden sein könnte. Im Juni versprach das Bundesinnenministerium, das Urteil werde „derzeit intensiv geprüft und ausgewertet“. Man stimme sich auch mit den „betroffenen Ressorts“ ab. Nun teilt das Ministerium mit, dass es auch noch weiter zu prüfen gedenkt. Das geht aus einer Antwort auf eine parlamentarische Anfrage (pdf) hervor, die wir veröffentlichen.

Es geht inhaltlich um die Einhegung der Befugnisse der Geheimdienste bei der Massenüberwachung der Kommunikation, insbesondere die des aktuell wieder in starker Kritik stehenden Bundesnachrichtendienstes (BND). Der hatte die Notwendigkeit, dass er weiterhin ohne Anlass enorme Datenmengen einsammeln müsse, immer wieder gerade auch am Beispiel Afghanistan zu begründen versucht. Dass aber die weitreichenden Befugnisse des Geheimdienstes in der aktuellen Afghanistan-Krise irgendwie hilfreich gewesen seien, behaupten nicht einmal mehr diejenigen, die sich sonst stets für mehr technische Überwachungsmaßnahmen und die anlasslose strategische Überwachung starkmachen.

Das BND-Gesetz gibt dem deutschen Auslandsgeheimdienst die Befugnis, massenhaft Kommunikationsdaten zu sammeln und auszuwerten. Das Urteil des EGMR legt für diese Massenüberwachung und für deren Beaufsichtigung neue Anforderungen fest. Wie es schon das Bundesverfassungsgericht in seinem Urteil zum BND-Gesetz aus dem Jahr 2020 festgestellt hatte, so fordert auch der Straßburger Gerichtshof, dass Geheimdiensten klare Schranken bei der Überwachung von Journalisten auferlegt werden.

Da das Urteil des EGMR zwar gegen die britische Regierung und den dortigen Geheimdienst GCHQ erging, aber auch alle anderen Staaten der Europäischen Menschenrechtskonvention bindet, war bereits kurz nach der Entscheidung der Großen Kammer des Gerichtshofs bei der Bundesregierung eine Reaktion erfragt worden. Auf eine erneute schriftliche Frage des Abgeordneten und stellvertretenden Fraktionsvorsitzenden der Grünen, Konstantin von Notz, am 10. August 2021 gab für das Innenministerium Hans-Georg Engelke nun eine weitere wenig aussagekräftige Antwort:

Die Prüfung innerhalb der Bundesregierung ist noch nicht abgeschlossen.“

Der Staatssekretär verweist ansonsten nur auf seine vorherige Antwort vom Juni (pdf).

Konstantin von Notz (Grüne). – Alle Rechte vorbehalten Stephan Pramme

Der Grüne von Notz, der auch stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums für die Geheimdienste ist, bemerkt dazu:

„Zehn Jahre nach den Enthüllungen von Edward Snowden hat der Europäische Gerichtshof für Menschenrechte die britischen und schwedischen Gesetzesgrundlagen für weitgehend illegal erklärt und weiteren Reformbedarf bei der Kontrolle geheimdienstlicher Überwachungsmaßnahmen aufgezeigt. Aufgabe der Bundesregierung wäre es, das Urteil schnellstmöglich hinsichtlich zu ziehender gesetzgeberischer Konsequenzen zu analysieren. Solche hätten bereits im Rahmen der Reform der Aufsicht über den BND gezogen werden können und müssen. Darauf hatten auch die Sachverständigen in der Anhörung des Innenausschusses hingewiesen.“

Stattdessen spiele die Bundesregierung aber weiter auf Zeit, so von Notz:

„Offenkundig plant sie keine gesetzgeberischen Konsequenzen mehr in dieser Wahlperiode zu ziehen. Anders ist es kaum zu erklären, dass sie trotz mehrfacher Nachfragen rund ein knappes Viertel Jahr nach dem Urteil noch immer zu ziehende Konsequenzen prüft.“

Neben Großbritannien sind Frankreich, Schweden und eben Deutschland von dem Urteil des Gerichtshofs deswegen in besonderer Weise betroffen, da diese europäischen Staaten eine geheimdienstliche Massenüberwachung der Kommunikation per Gesetz erlauben. Hierzulande regelt das BND-Gesetz diese sogenannte „strategische Ausland-Ausland-Fernmeldeaufklärung“. Es musste wegen des Urteils des Bundesverfassungsgerichts überarbeitet und verbessert werden, da es in Teilen verfassungswidrig war.

Doch auch die in diesem Jahr erfolgte Reform des BND-Gesetzes steht in der Kritik. So sieht von Notz darin nur eine „unzureichende Neuregelung der Kontrolle der Arbeit der Nachrichtendienste“. Wegen der „Verweigerungshaltung der amtierenden Großen Koalition“ dürfte aus seiner Sicht dann erst eine neue Bundesregierung nach der Bundestagwahl vor der Aufgabe stehen, gesetzgeberisch auf das Urteil zu reagieren.

Keines der Länder mit geheimdienstlicher Massenüberwachung kann übrigens auf hilfreiche Erkenntnisse in der Afghanistan-Krise verweisen, obgleich nicht nur der BND, sondern auch etwa der mit Abstand größte der Geheimdienste, das britische GCHQ, den Militäreinsatz am Hindukusch seit Jahren als Begründung für die Notwendigkeit der Massenüberwachung der Kommunikation heranzieht.

(Quelle: Constanze Kurz auf netzpolitik.org; CC BY-NC-SA 4.0.)

Im Onlineshop von Lidl gelten neue Regeln. Das Unternehmen gibt nun auch Namen und E-Mailadressen an Werbeplattformen wie Facebook weiter, sofern man nicht widerspricht. Die zuständige Datenschutzbehörde sieht die Rechtslage etwas anders.

Onlineshop-Kund:innen des Discountunternehmens Lidl haben kürzlich eine E-Mail bekommen: Betreff: „Aktualisierung unserer Datenschutzbestimmungen“. Wer diese E-Mail nicht gelesen hat, für den gelten die Änderungen jetzt trotzdem. Denn sie beinhaltete einen Link zum Widerrufen, nicht aber, um den neuen Bedingungen zuzustimmen.

Ist eine Nicht-Antwort also schon eine Einwilligung? Da Lidl Deutschland in Stuttgart sitzt, ist die Datenschutzbehörde Baden-Württembergs unter Leitung von Stefan Brink zuständig. Auf Nachfrage von netzpolitik.org hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) den Fall angeschaut und kommt zu dem Schluss: „Die Möglichkeit des Widerspruchs reicht nicht.“ Nutzer:innen müssten sich aktiv für eine Weitergabe ihrer Daten entscheiden.

Bei der Änderung in den Datenschutzbestimmungen geht es um die Verwendung von personalisierten Daten zu Werbezwecken auf anderen Plattformen wie Facebook:

Wenn Sie mit uns einen Vertrag abgeschlossen haben, nutzen wir die Information zu Ihrem Einkauf in unserem Online-Shop gemeinsam mit Daten zu Ihrer Identifizierung (Name und Kontaktdaten einschließlich Ihrer E-Mail-Adresse), um Ihnen in Sozialen Netzwerken, wie z.B. http://www.facebook.de, oder anderen Werbeplattformen für Sie individualisierte Werbung zu unseren Lidl-Angeboten anzuzeigen. Die Betreiber der sozialen Netzwerke und der anderen Werbeplattformen erhalten dabei neben pseudonymisierten Informationen zu Ihrer Identifizierung lediglich den Auftrag zum Ausspielen bestimmter Werbung.

Auf Anfrage von netzpolitik.org teilt Lidl Deutschland mit, dass sich das Unternehmen aus seiner Sicht mit den Änderungen an die Datenschutzgrundverordnung (DSGVO) halte und begründet das so:

„Die Datenverarbeitung zum Ausspielen von Werbung in einem sozialen Netzwerk ist auf Grundlage des berechtigten Interesses von Lidl an der Durchführung von Direktwerbung zulässig und damit auch nicht einwilligungsbedürftig. Wir haben die Nutzer vorab über die Änderungen informiert. Sie können gegen diese Datenverarbeitung jederzeit Widerspruch einlegen. Der Hinweis darauf sowie ein Link zur Ausübung des Widerspruchsrechts findet sich zudem in unseren Datenschutzbestimmungen.“

Der LfDI kommt jedoch zu einer anderen Einschätzung: „Ein solches berechtigtes Interesse liegt zwar vor, kann nach der notwendigen Abwägung mit den Rechten der App-Nutzenden aber nicht als Rechtsgrundlage für die Übermittlung von Nutzerdaten an z.B. Facebook herangezogen werden.“

Es sei zu überprüfen, „ob die Übermittlung von Namen, Kontaktdaten einschließlich E-Mailadressen, an Facebook und andere ungenannte ‚Werbeplattformen‘ erforderlich ist. Außerdem müsse eine Abwägung mit den Rechten der Nutzenden stattfinden. Bei dieser Interessenabwägung komme man „regelmäßig zum Schluss, dass auf Basis des berechtigten Interesses eine solche Übermittlung nicht möglich ist.“

Daher bleibe als Rechtsgrundlage grundsätzlich nur „die vorherige, informierte, freiwillige, aktiv und separat von anderen Erklärungen abgegebene Einwilligung der betroffenen Personen.“

Wenn es sich lediglich um Datenschutzhinweise handelt, reiche aus, dass Informationen ohne Einwilligung einfach nur zur Verfügung gestellt werden. Solche Datenschutzhinweise könnten aber keine neue Rechtsgrundlage abbilden, so die Datenschutzbehörde. Genau das sei aber „stets notwendig“, wenn es – wie in diesem Fall – um die Verarbeitung personenbezogener Daten geht.

Damit folgt die Baden-Württembergische Datenschutzbehörde in diesem Fall der Linie des Bayerischen Landesamtes für Datenschutzaufsicht, das bereits 2017 erklärt hatte, dass die Custom-Audience-Funktion bei Facebook grundsätzlich eine Zustimmung erfordere. So nennt Facebook seine Funktion, mit der Unternehmen Informationen über ihre Kund:innen bereitstellen, damit die Plattform diesen gezielte Werbung der Unternehmen ausspielt. Die Idee dahinter: Punktgenau jene erreichen, die eh schon mal im eigenen Shop eingekauft haben.

Dafür laden die teilnehmenden Unternehmen eine Liste mit den Kontaktdaten ihrer Onlineshop-Kund:innen bei Facebook hoch. „Vor der Verwendung versieht Facebook diese Informationen mit einem Hash“, also einer Art kryptografischem Fingerabdruck, der unverwechselbar einem Kundenprofil zugeordnet werden kann, beschreibt der Konzern das Vorgehen. Dann gleicht er die Kundenlisten mit existierenden Facebook-Profilen ab, sodass den Profilen mit Übereinstimmungen personalisierte Werbung für den jeweiligen Onlineshop angezeigt wird.

Sind die Daten damit ausreichend geschützt? Auch die Umwandlung der persönlichen Daten in Hashwerte vor dem Abgleich anonymisiere die Daten nicht, sagte 2019 die bayerische Datenschutzbeauftragte Kristin Benedikt in einem Interview mit netzpolitik.org. Schließlich gebe es mittlerweile viele Möglichkeiten, Hashwerte wieder zurückzurechnen und die dahinterstehenden Informationen erkenntlich zu machen.

Lidl teilt die Daten laut seiner neuen Bestimmungen neben Facebook mit „anderen Werbeplattformen“, die das Unternehmen in den Datenschutzbedingungen nicht weiter benennt. Erst auf unsere Anfrage teilt Lidl mit, dass es für personalisierte Werbung auch mit Google und den beiden Online-Vermarktern United Internet Media und Addition/Active Agent zusammenarbeitet. United Internet betreibt unter anderem die Portale 1&1, web.de und GMX.

Der LfDI Baden-Württembergs ist der Meinung, dass in den Datenschutzbestimmungen grundsätzlich alle Empfänger personenbezogener Daten genannt werden müssten. „Ebenso muss informiert werden, welche Daten genau für welche Zwecke (auch die Zwecke der Plattformen) verarbeitet werden.“

Nun werde man auf Lidl zugehen, um die Rechtslage zu besprechen, heißt es von der Datenschutzbehörde aus Stuttgart. „Über weitere Maßnahmen werden wir im Anschluss entscheiden.“


Der Bundestag hat die beiden Staatstrojaner-Gesetze angenommen. Das neue Verfassungsschutz-Recht erlaubt allen 19 deutschen Geheimdiensten die „Quellen-TKÜ plus“. Was die Große Koalition als Sicherheitsgewinn feiert, schafft neue Sicherheitsrisiken und ist möglicherweise verfassungswidrig.

Der Bundestag hat gestern mit einer Mehrheit von 355 Stimmen aus CDU/CSU und SPD das Gesetz zur Anpassung des Verfassungsschutzrechts angenommen. Es erlaubt allen 19 Geheimdiensten Geräte wie Smartphones oder Computer mit Staatstrojanern zu hacken. Alle Oppositionsparteien haben das Gesetz zuvor heftig kritisiert und dagegen gestimmt. Aus dem namentlichen Abstimmungsergebnis wird deutlich, dass auch fünf Mitglieder der SPD-Fraktion gegen das Gesetz stimmten, drei enthielten sich. 34 Abgeordnete der Regierungsparteien gaben keine Stimme ab, darunter auch die SPD-Abgeordnete  Daniela de Ridder (Bad Bentheim).

Bereits am Dienstagabend hatte sich die Große Koalition auf einen Änderungsantrag geeinigt. Mit dem Gesetz bekommen die Verfassungsschutzämter auf Bundes- und Länderebene, der Militärische Abschirmdienst und der Bundesnachrichtendienst die Erlaubnis, Geräte zu hacken um Kommunikation auszulesen.

Außerdem verpflichtet das Gesetz Internet-Provider, bei der Installation von Schadsoftware zu helfen. Andere Telekommunikationsanbieter wie Messenger- oder E-Maildienste sind davon ausgenommen. Die G-10-Kommission soll um sechs Richter:innen verstärkt die Fälle kontrollieren, in denen Staatstrojaner zum Einsatz kommen.

Die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), auch „kleiner Staatstrojaner“ genannt, bedeutet, dass Behörden Schadsoftware auf Geräten installieren und ab diesem Zeitpunkt laufende Kommunikation überwachen. Der große Staatstrojaner, die „Online-Durchsuchung“, leitet nicht nur laufende, sondern auch gespeicherte Daten aus – zum Beispiel ältere Chatnachrichten, die vor der Installation der Schadsoftware gesendet und empfangen wurden.

Bei der nun beschlossenen Verfassungsschutzrechts-Novelle handelt es sich um einen Kompromiss aus kleinem und großem Staatstrojaner: die „Quellen-TKÜ plus“. Diese ermöglicht den Zugriff auf laufende Kommunikation plus die Kommunikation, die vor Installation der Schadsoftware, aber nach Anordnung der Überwachungsmaßnahme stattgefunden hat.

Ursprünglich wollte Innenminister Horst Seehofer mit seinem ersten Gesetzentwurf im März 2019 den großen Staatstrojaner für BND und Verfassungsschutz durchsetzen. Damals stieß das noch auf heftige Kritik beim Koalitionspartner SPD. Die Parteivorsitzende Saskia Esken sagte, sie lehne Staatstrojaner ab, die SPD werde das Vorhaben der Union nicht unterstützen.

Der zweite Gesetzentwurf des Innenministeriums im Juni 2019 sah dann den kleinen Staatstrojaner vor – aber für alle 19 Geheimdienste. Und die Kritik der SPD verstummte mehr und mehr: Im Oktober 2020 setzte sich das Innenministerium mit seinem Vorschlag durch und die Koalition einigte sich, alle Geheimdienste mit Staatstrojanern auszustatten.

Viele Sachverständige und Jurist:innen schätzen die Quellen-TKÜ als verfassungswidrig ein, da sie weit in die Grundrechte eingreift. Die Gesellschaft für Freiheitsrechte erwägt, gegen die Regelung zu klagen. Gegen andere Gesetze, die den Einsatz von Staatstrojanern erlauben, laufen bereits Verfahren vor dem Bundesverfassungsgericht.

Auch die Organisation Reporter ohne Grenzen kündigte gestern an, mit dem Berliner Rechtsanwalt Prof. Niko Härting Verfassungsbeschwerde einzulegen. Sie sieht die Pressefreiheit und den digitalen Quellenschutz durch das Gesetz bedroht. „Einen so massiven Angriff auf die Vertraulichkeit journalistischer Recherchen und die Anonymität von Quellen dürfen wir nicht hinnehmen“, so Geschäftsführer Christian Mihr.

Kritik an den Staatstrojanern vereint auch internationale Tech-Konzerne wie Google und Facebook mit zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club, die sich in einem offenen Brief gegen diese Form von Überwachung wehren.

Die Unionsfraktion begründet den Einsatz von Staatstrojanern damit, dass man den Verfassungsschutz so auf den Stand der Technik bringe. „Als die Leute sich noch mit Rauchzeichen oder Topfschlagen verständigt haben, da konnte jeder mithören“, so der CDU Abgeordnete Mathias Middelberg (Osnabrück) in der Aussprache im Bundestag. Die Quellen-TKÜ plus sei einfach „die Anpassung an technische Verhältnisse“ und wichtig, um Terrorismus abzuwehren und die innere Sicherheit zu verbessern.

Es sei „ein guter Tag für die Sicherheit in Deutschland“, meinte der CSU-Abgeordnete Michael Kuffer im Bundestag. „Ein massives Sicherheitsproblem, was sie hier veranstalten“, nannte es der Grünen-Abgeordnete Konstantin von Notz. Auch Stephan Thomae von der FDP warnte vor dem Sicherheitsrisiko, das Staatstrojaner mit sich bringen.

Um Staatstrojaner zu installieren, müssen Behörden IT-Sicherheitslücken auf Geräten ausnutzen. Es entsteht also ein Anreiz, bekannte Sicherheitslücken offen zu halten. Und das kann der inneren Sicherheit mehr schaden als nützen.

Dieses Problem kennt die SPD-Parteivorsitzende Esken. Sie schrieb noch am Tag vor der Abstimmung, dass sie die beschlossenen Mittel falsch findet, denn sie „schaden der Idee demokratischer Netze und unser aller Sicherheit.“ Sie stimmte aber im Bundestag nicht dagegen, sondern gab gar keine Stimme zu dem Gesetz ab. Die Jugendorganisation der SPD versuchte kurz vor der Abstimmung mit einem offenen Brief, die Bundestagsfraktion von ihrer Zustimmung zum Gesetz abzuhalten.

Vergeblich: Kurz vor dem Ende der Legislaturperiode haben SPD und Union gleich zweimal grünes Licht für Staatstrojaner gegeben. Denn auch für die Bundespolizei hat die Große Koalition den Einsatz von Staatstrojanern in dieser vorletzten Sitzungswoche des Bundestags ausgeweitet. Die Polizei darf die Überwachungsmethoden schon anwenden, wenn noch gar keine Straftat begangen wurde.


Ein Beitrag von (CC netzpolitik.org)

Fazze gegen Biontech

31. Mai 2021

Die Woche beginnt, aber nehmt Euch bitte ein paar Augenblicke für diesen @netzpolitk-Text:

Eine Londoner Agentur bietet nämlich Influencer:innen auf der ganzen Welt Geld an, damit sie falsche Behauptungen über den Impfstoff von Biontech/Pfizer verbreiten. Mehrere beißen an und veröffentlichen Videos. Recherchen von netzpolitik.org und dem ARD-Magazin Kontraste zeigen: Hinter der Kampagne steckt eine Werbefirma, die vor allem in Russland operiert.

Eine Scheinfirma mit besten Verbindungen nach Russland macht Stimmung gegen den Impfstoff von Biontech/Pfizer – aber weshalb?
Eine Scheinfirma mit besten Verbindungen nach Russland macht Stimmung gegen den Impfstoff von Biontech/Pfizer – aber weshalb? (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Hakan Nural

Sein Video vom Freitag beginnt Ashkar Techy noch mit einem Zusammenschnitt aus lustigen Instagram-Filmchen, auf einmal ist das Bild schwarz. „Leute, bitte überspringt das jetzt nicht, ich habe etwas Wichtiges zu sagen“, wird eingeblendet. Dann überbringt der indische YouTuber seinen 500.000 Follower:innen von seinem Gaming-Stuhl aus eine Botschaft, die dramatisch klingt: Die Sterblichkeitsrate von Menschen, die den Impfstoff von Biontech und Pfizer erhalten haben, sei um ein Vielfaches höher als die von Menschen, die mit Astrazeneca geimpft wurden. Dazu blendet er eine Tabelle ein, die der Überschrift zufolge Impftote in Ländern auf der ganzen Welt auflistet.

Auch Everson Zoio, ein Influencer aus Brasilien, teilt am Donnerstag die scheinbare Schocknachricht. Er lässt sich dabei mit einer Sonnenbrille am Steuer eines Autos filmen und beruft sich auf einen Artikel, dessen Titel behauptet, ein Impfstoff könne einen schneller töten als das Coronavirus, und dazu eine schaurige Statistik präsentiert.

Die jungen Männer trennen 15.000 Kilometer, aber es ist kein Zufall, dass sie nun beide über dieses Thema sprechen. Ashkar Techy und Everson Zoio haben denselben Werbekunden. Bei den Videos vergangene Woche arbeiten sie nicht zum ersten Mal für ihn, aber so brisant wie diesmal war es wohl noch nie. Diesmal sind sie Teil einer weltweiten Desinformationskampagne. Sie ist ein Angriff auf den Ruf des in Deutschland entwickelten Impfstoffs von Biontech/Pfizer. Um ihr Ziel zu erreichen, haben geheime Auftraggeber Influencer:innen auf der ganzen Welt Geld angeboten – auch in Frankreich und in Deutschland.

Gemeinsame Recherchen von netzpolitik.org und dem ARD-Magazin Kontraste zeigen nun, wie sie dabei vorgegangen sind. Wir konnten den geschützten Bereich auf der Website einer Londoner PR-Agentur einsehen, die penible Anweisungen für die Verbreitung der Behauptungen erteilte. Ihre Spur führt zu einer Scheinfirma mit besten Verbindungen nach Russland. Deutsche Sicherheitsbehörden nehmen den Fall offenbar ernst.

Die Umsetzung der Kampagne beginnt mit einer E-Mail. Verfasser ist ein Mitarbeiter von Fazze, der Agentur in Großbritannien. Der Mann schreibt auf Englisch, er engagiere sich in einer Informationskampagne über Coronavirus-Impfstoffe. Ein Datenleck habe eine signifikante Anzahl von Todesfällen nach der Impfung von Pfizer gezeigt. Wie viel es wohl kosten würde, einen Link zu teilen?

Empfänger dieser E-Mail, wie sie offenbar an zahlreiche Influencer:innen ging, ist auch der Journalist Mirko Drotschmann, bekannt für seinen YouTube-Kanal „MrWissen2go“ mit rund 1,5 Millionen Abonnent:innen. „Ich war überrascht darüber, wie plump diese Anfrage war“, sagt er. „Man hat gemerkt, dass die Agentur sich überhaupt nicht über die Person informiert hat, die sie angeschrieben hat.“ Es passiere immer wieder, dass Influencer dubiose Anfragen erhielten. „Aber dass man Geld angeboten bekommt, um Falschnachrichten zu verbreiten, ist eine völlig neue Dimension.“

Drotschmann hat kein Interesse daran, sich auf das dubiose Angebot einzulassen, aber er ist neugierig geworden. Er twittert einen Screenshot der E-Mail und stellt eigene Nachforschungen, erkundigt sich, wer die Influencerkampagne bezahle. Aber der Mitarbeiter will keine Auskunft darüber geben, er schreibt, es handele sich dabei um eine „streng vertrauliche“ Information.

Spielanleitung für Desinformation

Wer die Verbreitung von Desinformation zurückverfolgen will, hat vor allem ein Problem: Kampagnen fallen in der Regel erst auf, wenn sie bereits Auswirkungen haben. Weil Spuren verwischt wurden, bleibt ihr Ursprung meistens im Verborgenen, wer eine Falschbehauptung gestreut hat, höchstens ansatzweise nachvollziehbar. Im Fall der Fazze-Kampagne ist das anders.

Auf der Website von Fazze gibt es einen geschützten Bereich, Zugang erhält nur, wer ein Passwort kennt. netzpolitik.org und Kontraste konnten diese Unterseite einsehen, wie sie auch eingeloggten Influencer:innen angezeigt wird. Sie enthält eine umfangreiche Anleitung, wie die YouTuber:innen vorgehen sollen, wenn sie die Desinformation teilen.

„Verwenden Sie keine Wörter wie ‚Werbung‘, ‚gesponsertes Video‘ usw. in Ihren Beiträgen, Geschichten und Videos!“, heißt es etwa – ein Vorgehen, das in Deutschland klar gegen die Kennzeichnungspflicht von Werbung verstoßen würde.

Was Fazze von den Influencer:innen verlangt, ist ein Aufruf, ihre Follower:innen in den sozialen Medien gezielt in die Irre zu führen: „Tun Sie so, als hätten Sie die Leidenschaft und das Interesse an diesem Thema. Präsentieren Sie das Material als Ihre eigene, unabhängige Sichtweise.“

Echte Zahlen, aber eine falsche Darstellung

Im Zentrum der Kampagne steht eine Tabelle, die vermeintlich die Zahl der Impftoten abbildet. In Deutschland sollen umgerechnet auf eine Million Dosen 29,9 Menschen infolge einer Impfung mit Biontech/Pfizer gestorben sein, 6,5 Menschen durch Astrazeneca. Das Problem daran: Die Zahlen sind echt, aber ihre Darstellung ist falsch.

Das Paul-Ehrlich-Institut (PEI) bezeichnet die Tabelle, wie Fazze sie verbreitet hat, gegenüber netzpolitik.org und Kontraste als grob irreführend. Die Zahlen für Deutschland, die offensichtlich auf öffentlich zugänglichen Daten des PEI von Anfang April beruhen, sagen in Wahrheit gar nicht aus, wie viele Menschen durch eine Impfung gestorben sind, wie es in der Überschrift behauptet wird, sondern lediglich, wie viele Menschen innerhalb von 40 Tagen nach der Impfung gestorben sind.

Ein Zusammenhang zwischen den Impfungen und den Todesfällen ist damit unbelegt, obgleich die Fazze-Kampagne einen solchen als Tatsache darstellt. Hinzu kommt, dass die nach einer Impfung Verstorbenen im Schnitt älter als 80 Jahre waren – also altersbedingt ein deutlich erhöhtes Risiko hatten, aus natürlichen Gründen zu sterben.

„Gäbe es einen Hinweis auf eine erhöhte Sterblichkeit nach Impfung mit einem Impfstoff und damit ein Sicherheitssignal, würde dieses nachverfolgt und untersucht“, schreibt das PEI uns.

Dennoch nutzt Fazze diese aus dem Zusammenhang gerissenen Daten, um nun auch jungen Menschen Angst vor einer Impfung zu machen. In den Tagen vor der E-Mail des Fazze-Mitarbeiters wurde die Tabelle auf einer Reihe von Plattformen hochgeladen, darunter Reddit und Medium. Die dafür verwendeten Benutzerkonten sind offenbar erst kurz davor erstellt worden, sie tragen bizarre Namen wie „Heuristic Leavitt“ oder „Keith Farrow George Koch“. In ihren englischsprachigen Beiträgen verweisen die Autor:innen auf weitere Artikel, die ihre Darstellung stützen sollen, in Wahrheit aber Teil desselben Netzwerks sind.

In einem der Texte wird dazu aufgerufen, unter keinen Umständen den Impfstoff von Pfizer zu nehmen. Ein anderer nimmt Bezug auf die vermeintliche Herkunft der Daten: ein angebliches Datenleck bei Astrazeneca. Das Unternehmen distanziert sich von dieser Behauptung. „Wir verurteilen auf das Schärfste jede Initiative, die darauf abzielt, das Vertrauen in Impfstoffe zu untergraben“, so eine Sprecherin.

Doch Fazze legt nach. Den vermeintlichen Täter setzen die Verfasser:innen mit einem Superhelden gleich. „Der Hacker ist wie ein freundlicher Nachbar, ein Spiderman im World Wide Web.“

Spiderman im World Wide Web

Auch Ashkar Techy und Everson Zoio werden diese Beiträge mit der Impftoten-Tabelle später verlinken. „Sagen Sie, dass diese Information in der berühmten französischen Publikation ‚Le Monde‘ veröffentlicht wurde“, lautet dennoch die Anweisung.

Der Verweis auf die Zeitung soll die Desinformation womöglich glaubwürdiger machen. Fazze hat den Artikel als Quelle verlinkt, aber nur wer Französisch versteht, merkt: Der Text hat nichts mit den angeblich gerade bei Astrazeneca geleakten Zahlen zu tun, sondern ist bereits im Januar erschienen.

Der Text beruht auf Dokumenten, die bei einem Hackerangriff auf die Europäische Arztneimittelagentur (EMA) in Amsterdam am 9. Dezember erbeutet wurden. Einem Bericht von WDR und BR zufolge gehen niederländische Ermittlungsbehörden davon aus, dass ein staatlicher Akteur die Attacke verübt hat – mit einem geheimdienstlichen oder militärischen Hintergrund.

„Le Monde“ zufolge zeigen die Dateien, unter welchem Druck die EMA gestanden habe, den Impfstoff von Biontech und Pfizer zuzulassen. Ende Dezember waren sie im Darknet in einem russischen Hacking-Forum aufgetaucht. Die Überschrift des dortigen Beitrags ließ wenig Zweifel an der Motivation hinter der Veröffentlichung. Reißerisch war da die Rede von angeblichen „Beweisen für den Big-Data-Scam der Impfstoffe von Pfizer!“

Doch die bei der EMA geleakten Dokumente, die netzpolitik.org und Kontraste vorliegen, enthalten keine solchen Beweise. In einer Pressemitteilung gab die EMA zudem an, die Angreifer:innen hätten das Material nur teilweise veröffentlicht und es so ausgewählt, dass es dazu geeignet sei, das Vertrauen in die Impfstoffe zu untergraben.

Augenscheinlich sollte der Eindruck erweckt werden, beim Impfstoff von Biontech/Pfizer gebe es massive Probleme. Damit deutet einiges darauf hin, dass die unbekannten EMA-Angreifer:innen ein ähnliches Ziel verfolgt haben könnten wie der Auftraggeber der Kampagne, für die Fazze jetzt Influencer:innen engagiert hat.

Eine Fassade aus Backstein

Die Agentur hat ihren Sitz laut Angaben auf ihrer Website in einem Backsteinbau im Londoner Stadtteil Fitzrovia (Foto lks.). An der Adresse sind im britischen Handelsregister weit über hundert Firmen gelistet, doch Fazze ist keine davon. Offenbar ist die vorgebliche Firma noch nicht einmal angemeldet.

Ein Mann namens Vyacheslav Usoltsev, der im Karrierenetzwerk LinkedIn als Geschäftsführer der Agentur auftritt, ließ eine Anfrage von netzpolitik.org und Kontraste unbeantwortet. Nach eigener Darstellung arbeitet Usoltsev von Moskau aus. Auch alle vier Firmenkunden, die Fazze auf der Website eingeloggten Influencer:innen als potenzielle Auftraggeber präsentiert, haben erkennbare Bezüge zu Russland. Es handelt sich dabei um Unternehmen aus dem Technologiebereich sowie Plattformen, die den Handel mit einer Form von Finanzderivaten anbieten, wie er in Deutschland verboten wäre.

Vieles spricht dafür, dass Fazze lediglich eine Fassade ist, die verdecken soll, wer wirklich hinter mitunter fragwürdigen Influencerkampagnen steckt. Mehrere Internetdomains, über welche die Agentur ihre Geschäfte betreibt, gehören laut einer Datenbank des IT-Sicherheitsunternehmens RiskIQ eigentlich einer anderen Firma mit dem Namen AdNow.

Recherchen von netzpolitik.org und Kontraste ergeben zudem, dass auch E-Mails, die an Fazze adressiert sind, zu AdNow umgeleitet wurden. Der angebliche Fazze-Geschäftsführer Vyacheslav Usoltsev hat seinem LinkedIn-Profil zufolge in der Vergangenheit für AdNow gearbeitet. Und selbst beim genannten Fazze-Sitz in Fitzrovia gibt es eine Überschneidung: 2014 wurde hier AdNow gegründet.

Niemand, der gefunden werden will

Auf seiner Firmenwebsite schreibt AdNow, das Unternehmen sei das Produkt von Nerds, die ein neues „natives Werbeformat“ entwickelt hätten. Der Ansatz nativer Werbung ist es, möglichst nicht als Werbung wahrgenommen zu werden – statt klassischer Anzeigen preisen etwa Artikel oder Videos ein bestimmtes Produkt an. Es ist eine ähnliche Herangehensweise, wie sie auch Fazze bei der Desinformationskampagne verfolgt: Wer die Videos der Influencer:innen schaut, soll am besten gar nicht merken, dass es sich dabei um bezahlte Botschaften handelt.

Gründer und Geschäftsführer von AdNow sind zwei Männer und wieder scheint einer von beiden Wurzeln in Russland zu haben: Stanislav Fesenko. Bis 2017 lebte der heute 39-Jährige dem britischen Handelsregister zufolge in Moskau, dann meldete er eine Adresse in Budapest. Fesenko ist dem Anschein nach niemand, der gefunden werden will. Kaum etwas ist über seine Biografie bekannt, umso mehr hingegen über seine Geschäfte.

Seit Jahren taucht sein Name in Verbindung mit einer Reihe von Firmen auf, die im Werbegeschäft tätig oder in den Handel mit Finanzderivaten verwickelt sind. Vor Jahren versuchte er sich als Entwickler eines Videospiels, wie man einem Beitrag in einem Internetforum entnehmen kann. Zuletzt war er laut in einer Domaindatenbank hinterlegten Angaben in die Arbeit einer Beratungsfirma verwickelt, die aus Ungarn heraus Menschen mit russischem Pass eine Aufenthaltsgenehmigung in der EU beschaffen wollte – für 10.000 Euro pro Kopf.

Viele von Fesenkos Firmenwebsites sind noch immer abrufbar, gelistet sind dort auch Telefonnummern, die in den meisten Fällen eine russische Ländervorwahl haben. Ruft man dort an, nimmt niemand ab oder der Anschluss wurde längst abgeschaltet. Als bei AdNow doch einmal jemand den Hörer abnimmt, wird aufgelegt, sobald wir Fesenkos Namen nennen.

Auf Fragen, die wir ihm per E-Mail schicken, antwortet der AdNow-Chef nicht. Damit lässt er offen, ob der geheime Auftraggeber der Desinformationskampagne zu Biontech/Pfizer wie schon die übrigen bekannten Fazze-Kunden aus Russland kommt.

Eine Kampagne wie aus dem Lehrbuch

Es wäre nicht das erste Mal, dass aus Russland Zweifel an westlichen Impfstoffen befeuert werden. Das Land hat mit „Sputnik V“ seinen eigenen Impfstoff entwickelt (Foto lks), kommt mit der Verabreichung der Dosen aber nur langsam voran. Ein offizieller „Sputnik V“-Account auf Twitter schießt seit geraumer Zeit gegen die westliche Konkurrenz, auch mit bezahlten Anzeigen. Wie der BR berichtete, ist an der Kampagne hinter diesem Twitter-Account ein Investmentfonds beteiligt, der dem russischen Staat gehört.

Am 23. April twitterte „Sputnik V“ etwas, das der Fazze-Kampagne auf den ersten Blick erstaunlich ähnelt: Eine eigene Studie habe gezeigt, dass es signifikant mehr Todesfälle nach einer Impfung mit Biontech/Pfizer gebe als mit Astrazeneca. Unheilvoll fragten die Verfasser:innen, ob „die EU-Medien“ dies noch immer verschweigen könnten.

Fazze erteilte Influencer:innen die Anweisung: „Sagen Sie, dass die Mainstream-Medien dieses Thema ignorieren.“

Felix Kartte von der Initiative Reset zufolge ist es schwierig, zu beurteilen, ob der Kreml hinter der Fazze-Kampagne stehe. Sie entspreche jedoch geradezu lehrbuchartig Taktiken, die man während der Pandemie beobachtet habe. Häufig konzentriere sich Russland auf Themen, die das Potenzial hätten, Angst zu schüren und Gesellschaften zu spalten. „Es ist überhaupt nicht unüblich, dass der Kreml PR-Agenturen beauftragt. Ein Grund dafür ist, dass das die Zuordnung schwieriger macht – und der Kreml selbst seine eigene Autorenschaft gut verschleiern kann.“

Der außenpolitische Sprecher der Grünen-Fraktion im Bundestag Omid Nouripour sieht einen eindeutigen Nutznießer derartiger Kampagnen. „Das Schlechtreden der Impfstoffe im Westen unterminiert das Vertrauen in unsere Demokratien und soll das Vertrauen in die Impfstoffe Russlands erhöhen und da gibt es nur eine Seite, die etwas was davon hat und das ist der Kreml.“

Behörden sind alarmiert

Das Bundesinnenministerium (BMI) ist auf den Fall aufmerksam geworden. Dort beschäftigt man sich mit sogenannten hybriden Bedrohungen, unter welche die mögliche Einflussnahme fremder Staaten fällt. Nach Informationen von netzpolitik.org und Kontraste haben die Sicherheitsbehörden damit begonnen, zu den Hintergründen der Desinformationskampagne zu ermitteln.

Auch in Frankreich hat der Fall Wellen geschlagen, auch dort hatte Fazze mehrere Influencer:innen kontaktiert – unter anderem den YouTuber Léo Grasset, der eine E-Mail der Agentur öffentlich machte. Ein angehender Arzt, der einen großen Instagram-Account betreibt, gibt an, er sei ebenfalls kontaktiert worden. 2000 Euro seien ihm für eine Teilnahme an der Kampagne geboten worden, schrieb er auf Twitter.

Nachdem französische Medien über den Fall berichtet hatten, äußerte sich Gesundheitsminister Olivier Véran. Gegenüber dem Fernsehsender BMFTV bezeichnete er das Vorgehen als „armselig, gefährlich und verantwortungslos“.

Der brasilianische YouTuber Everson Zoio hat sein Video stillschweigend gelöscht, schriftliche Fragen von netzpolitik.org und Kontraste zu seiner Beteiligung an der Kampagne beantwortete er nicht. Auch der indische Influencer Ashkar Techy hat reagiert. Sein Video mit den lustigen Instagram-Filmchen ist nun exakt 60 Sekunden kürzer, die ach so wichtige Botschaft an seine Abonnent:innen hat er einfach rausgeschnitten. Wahrgenommen haben dürften sie früheren Abrufzahlen zufolge dennoch Hunderttausende.


„…Karl-Heinz T., Parteimitglied, hat gerade Bauland gekauft“

Die Aktivistin Lilith Wittmann hat in der vergangenen Woche mehrere gravierende Sicherheitslücken in Wahlkampf-Apps gefunden. Im Interview erzählt sie, wie einfach sie tausende Datensätze mit Informationen zu Alter, Geschlecht und politischer Meinung finden konnte und was sie daran am meisten bestürzt. Übrigens: Die CDU hat ihre Wahlkampf-App erstmal offline genommen.

Haustürdaten werden in Wahlkampf-Apps gespeichert
Hinter welcher Tür steckt welche politische Meinung? Das dürfen die Apps eigentlich nicht erfassen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Stahl

Schon zur Bundestagswahl 2017haben verschiedene Parteien eigene Apps für den Haustürwahlkampf eingesetzt. Darin können Wahlkampfhelfer:innen beispielsweise eintragen, an wie vielen Türen sie schon geklingelt haben und an wie vielen ihnen geöffnet wurde. In der App „CDU-connect“ ließen sich auch weitere Informationen wie Alter, Geschlecht und politische Gesinnung speichern. Seit vergangener Woche ist die App offline. Die Aktivistin und Hackerin Lilith Wittmann hatte mehrere Sicherheitslücken gefunden, die es genauso auch bei den baugleichen Wahlkampf-Apps der CSU, der Österreichischen Volksparteiund der Schweizer CVP gab.

Allein durch die Lücke in der CDU-App standen Wittmann zufolge über 100.000 Datensätze zu besuchten Personen sowie die Daten von über 18.000 Wahlkampfhelfer:innen und mehr als 1.000 potenzielle Unterstützer:innen seit vier Jahren relativ ungeschützt im Netz. Im Interview hat sie uns von den Hintergründen ihrer Recherche erzählt und erklärt, warum sie den Wahlkampf mit Daten so bedenklich findet.

„Ich hätte nicht erwartet, dass es so einfach ist“

netzpolitik.org: Die größte Sicherheitslücke, die du in der CDU-Connect-App gefunden hast, ermöglichte es dir, über die Programmierschnittstelle auf die Datensätze zu gespeicherten Hausbesuchen zuzugreifen. Warst du überrascht, als du das gemerkt hast?

Lilith Wittmann: Ich hätte nicht erwartet, dass es so einfach ist, über die Objektdatenbank an die Daten zu kommen, die dort eigentlich gar nicht gedacht waren. Als ich…

[weiter bei netzpolitk.org]

Apples neue AirTags sollen beim Finden verlorengegangener Gegenstände helfen. Kritiker:innen bemängeln jedoch mangelhaften Datenschutz und Sicherheit. Das Produkt biete zu wenig Schutz gegen einen möglichen Einsatz als Überwachungsinstrument.

Eine Hand vor rot-schwarzem Hintergrund, die ein AirTag hält.
AirTags dienen zur Lokalisierung von Gegenständen, würden jedoch auch Tracking von Personen ermöglichen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Onur Binay

Apple-Nutzer:innen können seit kurzem AirTags als Zubehör für das iPhone kaufen. Wer ein iPhone besitzt, kann das kleine Gadget beispielsweise an Handtasche oder Rucksack befestigen. Mithilfe der App „Wo ist?“ können Nutzer:innen auf einer Karte verlorengegangene Gegenstände ausfindig machen. Laut Apple seien die Standortdaten anonymisiert und mit einem „Höchstmaß an Schutz der Privatsphäre“ versehen. Man habe bei dem Entwurf des Produkts sorgfältig darauf geachtet, wie man Datenschutz richtig umsetzen könne, sagte Apple iPhone Marketing-Managerin Kaiann Drance.

Dennoch gibt es Kritik an den Sicherheitsmaßnahmen des neuen Produktes. Denn AirTags erlaubten durch ihre Design-Mängel „günstiges, effektives Stalking“, schreibt die Washington Post. Auch das National Network to End Domestic Violence (NNEDV) sieht in AirTags ein „besorgniserregendes Überwachungstool“, das Täter:innen für die heimliche Verfolgung von Partner:innen missbrauchen könnten. Einem deutschen Sicherheitsforscher mit dem Pseudonym Stack Smashing ist es nach eigenen Angaben sogar gelungen, den AirTag zu hacken und die Software zu manipulieren.

Sicherheitsmaßnahmen weisen Lücken auf

Zwar hat Apple Funktionen wie Alarm-Ton und Benachrichtigung in sein neues Produkt implementiert, um potentielle Opfer vor Stalking zu warnen. Jedoch seien diese Maßnahmen laut Washington-Post-Journalist Geoffrey Fowler leicht zu umgehen. Er ließ sich für einen Test eine Woche lang mit einem im Rucksack platzierten AirTag begleiten. Mithilfe der zugehörigen App und vom Gadget ausgehenden Bluetooth-Signalen habe der mit dem AirTag verbundene Nutzer über eine Karte einsehen können, wo sich Fowler befindet. Bei Bewegung reichte die Lokalisierung bis auf etwa einen halben Block. Dabei sollten laut Apple vom AirTag gesendete, häufig wechselnde Bluetoothsignalkennungen eine unerwünschte Standortverfolgung verhindern.

Auch andere Anti-Stalking-Maßnahmen seien unzureichend. Ein kurzer und nicht sehr lauter Alarm-Ton sei ertönt, nachdem der AirTag drei Tage lang vom Besitzer getrennt war. Fowler schreibt: „Drei Tage zu warten, um ein Opfer zu alarmieren, ermöglicht eine Menge Stalking.“ Was zumindest im Falle von Stalking helfe, sei die jeweilige Seriennummer des AirTags. Apples Marketing-Managerin Drance erklärt im Interview mit Fast Company, dass man bei Verdacht damit zumindest nach geltender US-Rechtslage für eine strafrechtliche Verfolgung die Identität von Täter:innen mithilfe der Apple ID feststellen könne, mit der auch der AirTag verbunden ist. Auch in Deutschland ist gerade im Netz immer noch eines der Hauptprobleme die Identifikation von Täter:innen, um diese vor Gericht zu bringen.

Stalkende Partner:innen nicht bedacht

In einem Interview mit dem Medium Fast Company erläutert Corbin Streett, Technologie-Sicherheitsexperte von NNEDV, Apple habe zwar die Möglichkeit des Stalking durch eine fremde Person auf der Straße bedacht, jedoch nicht zu Hause. Da der Alarm-Ton nur angeht, wenn der AirTag drei Tage lang nicht in der Nähe des zugehörigen iPhones ist, könnten Täter:innen zu Hause den Alarm-Countdown jede Nacht neu setzen. In der App können Alarme zudem ohne PIN- oder Passworteingabe einfach deaktiviert werden. Zusätzlich seien nicht alle Maßnahmen für Android-Nutzer:innen verfügbar. Eine schriftliche Warnmeldung bekommen beispielsweise nur iPhone-Nutzer:innen, die mindestens iOS 14.5 nutzen.

Streett betont daher, Apple hätte mit Google zusammenarbeiten können, um zumindest die gleichen Sicherheitsstandards für alle Nutzer:innen von AirTags zu garantieren. Auf die Frage von netzpolitk.org, ob Apple bereits an den Datenschutz- und Sicherheitsmaßnahmen arbeitet, antwortete das Unternehmen bisher nicht.

In Deutschland hat die Bundesregierung den Stalkingparagrafen vor kurzem verschärft, um auch Fälle von digitalem Stalking besser erfassen zu können. Allerdings landen nach wie vor viele Fälle nicht vor Gericht, weil Täter:innen nicht ermittelt werden können. Gerade zu den Formen digitaler Gewalt und zur Anzahl betroffener Personen gibt es hierzulande so gut wie keine Erkenntnisse. In der Kriminalstatistik wird zwar Stalking erfasst, Cyberstalking ist jedoch kein eigener Straftatbestand. Expert:innen gehen zudem von einer hohen Dunkelziffer aus. Verbände und Politikerinnen wie Anke Domscheit-Berg fordern daher seit einiger Zeit mehr Forschung und Studien zu dem Thema.


Ein Beitrag auf netzpolitk.org von , Creative Commons BY-NC-SA 4.0.

stümperhafter Einkauf

25. April 2021

Ralf Rottmann („@falf“ ist ehemaliger Tech-Startup-Gründer, Angel Investor und hat eine Leidenschaft für netzpolitische Themen. Es ist ein vehementer Kritiker von Luca und betreibt auf luca.denken.io eine Übersicht der Nutzung durch die Gesundheitsämter. Er wirft in einem Gastbeitrag auf netzpolitk.org den Bundesländern stümperhaften Einkauf vor.

Die meisten Bundesländer haben bereits Verträge mit Luca unterschrieben. Ralf Rottmann fragt, warum sie für eine Jahreslizenz der App bereits vorab und pauschal Millionen von Euro an das junge Unternehmen zahlen – statt auf nutzungsabhängige Preismodelle zu bestehen, wie sie in der Branche üblich sind.

Dank kräftiger Werbung durch den prominenten Investor Smudo konnte das frisch gegründete Start-up culture4life binnen wenigen Monaten über 20 Millionen Euro an Steuergeldern von unterschiedlichen Bundesländern einsammeln.

Zu Beginn dieser Woche versandte die culture4life GmbH einen elektronischen Rundbrief. Dafür nutzten die Luca-Macher den US-amerikanischen Dienst Mailjet. Bis zu 6.000 E-Mails pro Monat kosten dort nichts. Bis zu 30.000 gibt es ab 8 Euro im Monat.

Beim Einkauf von IT-Dienstleistungen setzt Luca konsequent auf nutzungsabhängige Preismodelle, die entlang der Strategie des „pay as you grow“ als Software-as-a-Service (SaaS) bezeichnet werden. Die Kundin wird erst dann zur Kasse gebeten, wenn der Service auch wirklich nennenswert genutzt wird.

Umso verwunderlicher ist es, dass Luca die Vorteile aus dem eigenen, bedarfsgerechten Einkauf von Ressourcen und Dienstleistungen nicht an die Steuerzahler weitergibt. Nicht nur verwunderlich, sondern in höchstem Maße ärgerlich ist, dass die Einkäufer in den Bundesländern dieses Modell nicht hart eingefordert haben.

Die Sorglosigkeit, mit der Steuergelder in der Causa Luca zum Kauf von Lizenzen verwendet werden, erklärt die immer lauter werdenden Zweifel an der Einhaltung von Vergaberichtlinien.

SaaS-Modelle sind beim Einkauf von IT-Diensten inzwischen aus gutem Grund Standard:

Nutzungsabhängige Preismodelle verteilen das Risiko gleichermaßen auf Verkäuferin und Käufer. Ist der Käufer mit einem Dienst erfolgreich, partizipiert auch der Verkäufer anteilig. Bleibt der Service, zum Beispiel mangels Qualität, aufgrund gravierender Sicherheitsprobleme, bei fehlendem tatsächlichem Nutzen oder einfach nur aufgrund einer Fehleinschätzung eines Marktes weitestgehend ungenutzt, stehen dem keine hohen Vorabinvestitionen auf Käuferseite gegenüber. Das Start-up Luca hat jedoch das gesamte Investitionsrisiko einseitig auf die Steuerzahler verteilt. Das bedeutet auch: Je weniger Luca sich durchsetzt, umso höher der Profit für die Investoren, weil sie umso weniger tatsächliche Leistung erbringen und einkaufen müssen.

Zum guten Ton in jeder Einkaufsverhandlung gehört es, nach direkten Kontakten zu Referenzkunden zu fragen. Doch gerade junge Start-ups können oft keine lange Liste erfolgreicher Projekte aus der Vergangenheit vorweisen. Kauft man also die sprichwörtliche „Katze im Sack“, versteht es sich nahezu von selbst, dazu nicht auch noch übermäßig in Vorleistung zu gehen. Verständlich, dass Luca keine Erfahrungswerte ins Feld führen kann. Unverständlich, dass man dem Vertriebsteam vollständig blind und in vorauseilendem Gehorsam folgt.

Nutzungsabhängige Preismodelle unterstreichen das Vertrauen des Anbieters in die eigene Lösung. Verkäufer, die ihre Lizenzen gerne vollständig im Voraus bezahlen lassen, lösen bei geübten Einkäufern Alarmsirenen aus. Wer unabhängig vom tatsächlichen Nachweis des Wertes eines angebotenen Dienstes zügig und schnell Kasse machen will, glaubt wahrscheinlich selbst nicht an die Versprechen auf den eigenen PowerPoint-Folien. Zum guten Ton gehören in solchen Fällen dann zumindest längere Erprobungszeiträume, für die keine hohen Kosten anfallen. Von Luca sind öffentlich keinerlei Vereinbarungen zu kostenlosen Testphasen für die einkaufenden Bundesländer bekannt. Das Unternehmen kassiert anscheinend gern zügig per Vorkasse ohne Skonto.

SaaS zwingt den Anbieter zur transparenten Dokumentation der tatsächlichen Nutzung. Hängt der wirtschaftliche Erfolg des Verkäufers direkt am messbaren Mehrwert der geschaffenen Lösung, ist dieser intrinsisch motiviert, über die Nutzung kontinuierlich Auskunft zu erteilen. Alle IT-Systeme – auch solche, die vorgeben, Ende-zu-Ende-Verschlüsselung umzusetzen – liefern dazu verwendbare Metriken. Während die Schnittstellen des Luca-Systems eine verschwindend geringe Nutzung durch die Gesundheitsämter vermuten lassen (der Autor scraped diese Metriken von den Luca-APIs und tabelliert sie hier), hält sich der Anbieter selbst bedeckt. Fragen zu Anzahl der Check-ins, Anzahl und Verteilung von Kontaktverfolgungsanfragen und deren jeweiligem Erfolg oder nach der tatsächlich messbaren Effizienzsteigerung bei den Gesundheitsämtern beantwortet Luca nicht. Das wirft die Frage auf: Was gibt es zu verbergen?

In den 80er und 90er Jahren hörte man als Argument für vorab zu bezahlende Unternehmenslizenzen vom Verkauf häufig, damit würden anteilig die hohen Anfangsinvestitionen abgegolten. Selbst wenn man Luca eine geringfügige Vorleistung zugesteht – an Luca arbeiteten in dem 2020 gegründete Unternehmen nach eigenen Angaben erst seit einigen Wochen mehr als ein Dutzend Entwickler:innen – rechtfertigen sie in keiner Weise die steuerfinanzierte Investition nördlich der 20 Millionen Euro. Gleichzeitig macht das Luca-System bei unabhängigen Prüfungen und im Testbetrieb bei weitem nicht den Eindruck, bereits fertig zu sein.

Von Luca selbst ist bekannt, dass Vorleistungen konsequent in elastischen Preismodellen eingekauft werden. Dank des stümperhaften IT-Einkaufs durch einige Bundesländer wird das Geschäft für Luca also genau dann besonders profitabel, wenn es tatsächlich kaum jemand nutzt. In zahlreichen Bundesländern ist das Kind bereits in den Brunnen gefallen. Kaufen weitere Bundesländer Luca nutzungsunabhängig ein, darf man das durchaus als fahrlässig bezeichnen.


Ein Beitrag auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.

 

dubios

1. April 2021

Die AfD-Landtagsfraktion in Mecklenburg-Vorpommern nimmt die Dienste einer dubiosen Briefkastenfirma aus London in Anspruch, die auch verdeckt in die Kampagne gegen eine Landesverfassungsrichterin verwickelt ist. Die Fraktionen der Linken und der SPD fordern Aufklärung, der Verfassungsschutz prüft den Fall.

Die AfD-Fraktion im mecklenburg-vorpommerschen Landtag steht wegen ihrer Nähe zu der Beratungsfirma zweier Österreicher in der Kritik. Eine Recherche von netzpolitik.org hatte ergeben, dass sie New Network Communications (NNC) engagiert hat. Politisch heikel macht die Verbindung vor allem, dass die Agentur mit angeblichem Sitz in Großbritannien auch die rechte Desinformationswebsite „Unser Mitteleuropa“ betreibt.

In seinen Artikeln hetzt das Portal gegen Geflüchtete und verbreitet Zweifel am Klimawandel und an Coronaimpfungen. Der Rechtsextremismusforscher Andreas Peham vom Dokumentationsarchiv des österreichischen Widerstands sagte, „Unser Mitteleuropa“ sei „an der Grenze zum Neonazismus angesiedelt“. Die AfD-Fraktion im Landtag von Schwerin nimmt die Dienste der Betreiberfirma trotzdem in Anspruch.

„Der Schulterschluss zwischen der hiesigen AfD-Fraktion und einer ominösen Briefkastenfirma, welche zum Ziel hat, Unwahrheiten in die Welt zu setzten, wäre nicht überraschend“, sagte Simone Oldenburg, Vorsitzende der Linksfraktion, gegenüber netzpolitik.org. „Desinformation und alternative Wahrheiten gehören auch ins Repertoire der AfD-Landtagsfraktion.“

Der Vorsitzende der CDU-Fraktion Wolfgang Waldmüller sagte, er könne eine Verbindung zwischen der AfD-Fraktion und NNC zwar nicht einschätzen, eine solche würde allerdings niemanden wundern. „Jedermann weiß, dass die AfD Rechtsradikale beziehungsweise Rechtsextremisten in ihren Reihen hat. Bekannt ist auch, dass die AfD und ihr nahe stehende Personen im Internet sehr umfangreiche Aktivitäten entfalten.“

Auch eine geschäftliche Verbindung zwischen den Betreibern von „Unser Mitteleuropa“ und der AfD-Fraktion sei nicht verwunderlich, so Julian Barlen, Sprecher für Strategien gegen Rechtsextremismus der SPD-Fraktion. „Ziel der Seite „Unser Mitteleuropa“ ist es, verschiedene rechtspopulistische bis rechtsextreme Strömungen auf einen Nenner zu bringen.“

Fest steht, dass sich die AfD-Fraktion von der Beratungsfirma ihre Website gestalten ließ. Ob es wirklich dabei blieb, ist nicht bekannt. Doch es gibt Anzeichen, dass die Verbindung zwischen NNC und der Fraktion über bloßes Webdesign hinaus gehen könnte.

Eine inhaltliche Auswertung ergab, dass „Unser Mitteleuropa“ AfD-Anliegen aus Mecklenburg-Vorpommern in seinen Artikeln auffällig häufig thematisiert. Zudem betreibt NNC nach Recherchen von netzpolitik.org verdeckt eine Kampagnenwebsite, die Barbara Borchardt, Richterin am Landesverfassungsgericht, scharf angreift und Verschwörungserzählungen verbreitet.

Die AfD-Fraktion und ihr Vorsitzender Nikolaus Kramer wollten auf Anfrage nicht beantworten, ob dies in ihrem Auftrag geschieht. Auch ließen sie offen, wie viel Geld die Fraktion den Hintermännern von „Unser Mitteleuropa“ bezahlt habe und ob sie dafür auf Fraktionsmittel zurückgegriffen habe.

Die Vorsitzende der Linksfraktion Simone Oldenburg fordert Aufklärung. „Sollten Steuergelder gezielt in anonyme Hetzkampagnen fließen, wäre das ein Fall für den Landesrechnungshof und muss entsprechend geahndet werden.“

Der SPD-Politiker Julian Barlen sagte, bereits der leiseste Verdacht, dass die AfD-Fraktion NNC unterstütze, müsse ausgeräumt werden. „Die AfD-Fraktion Mecklenburg-Vorpommern sollte Medienanfragen dementsprechend nicht ignorieren, sondern offenlegen, wie viel Steuergeld auf das Konto der NNC Ltd. geflossen ist.“

Offenbar beschäftigt sich nun auch der Geheimdienst mit „Unser Mitteleuropa“ und seinen Hintermännern. Eine Sprecherin des Landesinnenministeriums teilte auf Anfrage mit, der Landesverfassungsschutz prüfe den „mitgeteilten Sachverhalt“ im Hinblick auf „sicherheitsgefährdende oder geheimdienstliche Tätigkeiten im Geltungsbereich des Grundgesetzes für eine fremde Macht“.

In einigen Fällen hat „Unser Mitteleuropa“ auch Pressemitteilungen von AfD-Organen außerhalb Mecklenburg-Vorpommerns unverändert übernommen, als handelte es sich bei diesen um unabhängige journalistische Berichterstattung. Wie netzpolitik.org nachvollziehen konnte, bewarb das Portal zudem eine Pressemitteilung in Form einer bezahlten Anzeige auf Facebook, die von der Bundesgeschäftsstelle der Partei verfasst worden war. Diese hat auf unsere Anfrage nicht reagiert.

Die beiden Eigentümer der Betreiberfirma NNC wollten unsere Fragen nicht beantworten. Einer der beiden Männer arbeitete vergangene Woche noch als Pressereferent im österreichischen Klimaschutzministerium. Er wurde dort seither freigestellt.

(Ein netzpolitik.org-Beitrag von

Umbau

11. Februar 2021

In Europa sollte der Privatsphäre-Standard im Netz durch ein neues Gesetz deutlich steigen. Doch einige EU-Staaten bauten die dringend notwendige Reform zugunsten von Google und Facebook um. EU-Staaten verwässern so das digitale Briefgeheimnis. Die Reform soll die Datenschutzgrundverordnung (DSGVO) vollenden und Nutzer/innen im Netz vor den neugierigen Augen von Staaten und Firmen schützen. Den Gesetzesvorschlag für die ePrivacy-Verordnung machte die Kommission bereits 2017, doch blockierten bislang die EU-Staaten.

Nun hat sich der Rat der EU-Staaten auf eine Position geeinigt, was den Weg zu Verhandlungen über den finalen Text öffnet. Dort dürfte es zu Krach zwischen den EU-Staaten und den Verhandler/innen des EU-Parlaments kommen.

Die neue EU-Verordnung soll es Nutzer/innen im Netz ermöglichen, Tracking besser zu kontrollieren. Ausspähen von Nutzer/innen über Cookies sollte ohne Einwilligung verboten werden und starker Schutz der Privatsphäre müsse zur Standardeinstellung in Browsern werden. Kommunikation über Messengerdienste wie WhatsApp müsse rechtlich gleich gut vor kommerzieller Auswertung geschützt sein wie herkömmliche Anrufe und SMS, fordert das EU-Parlament. Effekt der Regeln sollte eine Art digitales Briefgeheimnis sein.

Doch die EU-Staaten unter der Führung der portugiesischen Ratspräsidentschaft halten nun mit einem Entwurf dagegen, der Schlüsselpassagen deutlich abschwächt und Raum für invasives Tracking offenlässt. Tech-Konzerne wie Google und Facebook könnten damit weiter massiv Nutzer:innendaten abschöpfen.

Eine breite Mehrheit der EU-Staaten unterstützte den portugiesischen Vorschlag, Deutschland und Österreich enthielten sich laut Bericht des Insidermediums Politico.eu.

Der neue Entwurf des Rates erlaubt es, Metadaten von Nutzenden ohne deren ausdrückliche Einwilligung zu verarbeiten. Stattdessen sollen mit der Verarbeitung „kompatible Gründe“ ausreichen (Artikel 6c). Dieser Gummiparagraph würde es WhatsApp und Telefonanbietern gleichermaßen ermöglichen, die Gewohnheiten von Nutzenden für Werbezwecke auszuspähen.

Ermöglicht wird durch neue Formulierungen auch, dass weiterhin durch Cookies persönliche Daten für Werbezwecke gesammelt werden. Während ursprünglich die ePrivacy-Verordnung Cookie-Tracking stark einschränken sollte, gibt Artikel 8 des neuen Entwurfs nun grünes Licht.

Komplett gestrichen sind hingegen die Möglichkeit für Nutzer:innen, ihre Einwilligung in die Verarbeitung ihrer persönlichen Daten jederzeit zu widerrufen. Ebenso fehlt ein Artikel aus den Entwürfen von Kommission und Parlament, der Einwilligungs-Management über den Browser ermöglichen und starken Schutz der Privatsphäre zur Standardeinstellung machen sollte.

Zwar gibt es auch im neuen Entwurf der EU-Staaten klare Verbesserungen für den Schutz der Privatsphäre, für alle Bestimmungen soll allerdings eine Ausnahme für nationale Sicherheit und Verteidigung gelten. Damit kann die Verordnung keinen Schutz vor Massenüberwachung durch Geheimdienste bieten.

Auf den Entwurf der EU-Staaten folgte umgehend Kritik. „Aus Verbrauchersicht ist die Position der EU-Mitgliedsstaaten ein Skandal“, sagte Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv). Die Position der EU-Staaten bleibe deutlich hinter früheren Entwürfen zurück, was eine Schwächung des Datenschutzes und der Vertraulichkeit der Kommunikation darstelle.

Einen finalen Text müssen nun die EU-Staaten mit Kommission und Parlament aushandeln. Wortführerin der Abgeordneten ist die SPD-Politikerin Birgit Sippel. Sie lässt wissen, dass sie wenig vom Entwurf des Rates hält. Dieser zeige, „dass die Aushöhlungsversuche der Industrie während der vergangenen Jahre Früchte getragen haben“ – eine Anspielung auf das Lobbying von Tech-Konzernen und der Verlagsbranche.

Sippel möchte möglichst rasch mit den Verhandlungen starten, möchte dabei aber keine faulen Kompromisse eingehen. „Einen Wettlauf nach unten und eine Untergrabung des aktuellen Schutzniveaus bei Datenschutz und Privatsphäre werde ich aber in keinem Fall akzeptieren.“

Bemerkenswerterweise hat heute am gleichen Tag die Bundesregierung den Entwurf für ein neues Datenschutzgesetz für den Bereich der digitalen Kommunikation beschlossen. Im Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) wird mit mehr als zehn Jahren Verspätung eine Tracking-Regelung der ePrivacy-Richtlinie aus dem Jahr 2009 umgesetzt.

Die Richtlinie ist die immer noch gültige Vorgängerin der nun angestrebten ePrivacy-Verordnung. Schon die Richtlinie besagt, dass Tracking ausschließlich nach expliziter Einwilligung der Nutzer:innen erfolgen darf. Das wurde im deutschen Recht bislang nie umgesetzt, Entscheidungen des Europäischen Gerichtshofes zwingen die Bundesregierung nun zum Handeln. Ausgerechnet jetzt könnte die Neuregelung auf EU-Ebene nach dem Willen des Rates nun eine Schwächung des Tracking-Schutzes bringen.


Ein Beitrag von Alexander FantaCC BY-NC-SA 4.0., auf netzpolitik.org

„Frontex-Files“

6. Februar 2021

Der längst vermutete, militärisch-grenzpolizeiliche Komplex der „Grenzagentur“ genannten, praktisch nicht parlamentarisch kontrollierten EU-Behörde Frontex ist jetzt belegt. Nach Anfragen auf der Grundlage der Informationsfreiheitsregeln der EU hat Frontex über hundert Präsentationen herausgegeben, in denen zum großen Teil Firmen ihre militärischen Technologien zur Sicherung europäischer Außengrenzen bewerben. Einsätze zur Migrationsabwehr erfolgen mit Drohnen, Satelliten, hochauflösenden Kameras und Radargeräten, Muster- und Verhaltenserkennung sowie bleifreier Munition.

Mit "Industrietagen" will sich Frontex militärische Überwachungstechnik zunutze machen.

Mit „Industrietagen“ will sich Frontex militärische Überwachungstechnik zunutze machen, die Agentur gibt dafür in den kommenden Jahren mehrere Milliarden Euro aus. – Alle Rechte vorbehalten Airborne Technologies

Das ZDF Magazin Royale veröffentlichte gestern Abend diese „Frontex Files“: Ein Konvolut aus mehr als Hundert Präsentationen, die ein paar Dutzend Hersteller von Überwachungstechnologie in den vergangenen vier Jahren bei der EU-Grenzagentur gehalten haben. Frontex lädt regelmäßig zu sogenannten „Industrietagen“, bei denen sich die Firmen mit Innenministerien und Grenztruppen austauschen. Vonseiten der Behörden nimmt daran aus Deutschland meist die Bundespolizei teil, manchmal aber auch das Bundesverwaltungsamt, das für den technischen Betrieb von migrationsbezogenen Informationssystemen zuständig ist.

Die Dokumente stammen aus Informationsfreiheitsanfragen, zutage gefördert haben sie Luisa Izuzquiza, die unter anderem bei Corporate Europe Observatory in Brüssel arbeitet, sowie die beiden Rechercheurinnen Margarida Silva und Myriam Douo. Mit der Plattform FragDenStaat wird Izuzquiza von Frontex nach einer verlorenen Klage vor dem Europäischen Gerichtshof auf die Erstattung von Anwaltskosten in Höhe von 24.000 Euro verklagt. Die Agentur sollte Auskunft geben, welche seegehenden Einheiten sie zur Migrationsabwehr im Mittelmeer einsetzt. Mit den Namen der Schiffe wollten die Aktivist*innen nachverfolgen, ob diese an illegalen Zurückschiebungen nach Libyen beteiligt sind. Jetzt liegen auf den Servern von Frag den Staat die „Frontex Files“.

Das Budget von Frontex ist…

[weiter bei Netzpolitik.org]