Skip to content
  • Über uns
  • Impressum
  • Datenschutzerklärung
  • Twitter
  • Instagram
  • LinkedIn

JourBlog

Das Journalismus-Metablog – Kuratiert vom DFJV

Tag: 9. Oktober 2025

Jan Böhmermann räumt Fehler bei Termin-Planung von Chefket-Konzert ein.

Björn Czieslik9. Oktober 2025

Nicht die beste Idee: Satiriker Jan Böhmermann räumt beim Gespräch mit Kultur­staats­minister Wolfram Weimer am Abend in Berlin ein, dass

Weiterlesen...

Faktencheck-Verbund GADMO will neue Zielgruppen erreichen.

Björn Czieslik9. Oktober 2025

Sichtbarkeitschecker: Der deutsch-österreichische Faktencheck-Verbund GADMO will mit dem neuen Claim “Wissen, was Fakt ist” sowie neuen Formaten und Kanälen ein

Weiterlesen...

Zitat: Für Thomas Gottschalk gehören Glück und Erfolg nicht zwingend zusammen.

Björn Czieslik9. Oktober 2025

“Im Grunde rennt man erst dem Erfolg hinterher, und dann rennt man dem Glück hinterher, hat aber auf dem Weg

Weiterlesen...

Zahl des Tages: Zahl der Journalisten in Österreich sinkt.

Björn Czieslik9. Oktober 2025

Zahl des Tages: Weniger als 5.000 haupt­berufliche Journalisten gibt es heute noch in Österreich, sagt Medien­forscher Andy Kaltenbrunner der

Weiterlesen...

Familie Mohn ist laut “Manager Magazin”-Liste die reichste deutsche Medien-Familie.

Björn Czieslik9. Oktober 2025

Money, Money, Mohny: Mit einem geschätzten Vermögen von 7,2 Mrd Euro rangiert die Familie Mohn, die hinter Bertelsmann steht,

Weiterlesen...

Beitragsnavigation

Neuere Beiträge
Ausgewählte Blogs
Altpapier Medien-Watchblog
BILDblog
DFJV News
Digitale Gesellschaft
Dirk von Gehlen - Digitale Notizen
Fachjournalist
Fit für Journalismus
G! gutjahrs blog
Jakblog
kress
Kolleg-Blog
Lousy Pennies
Meedia
Meier meint
Netzpolitik
onlinejournalismus.de
PR Doktor
Thomas Gigold
torial Blog
turi2
Vocer
Oktober 2025
M D M D F S S
 12345
6789101112
13141516171819
20212223242526
2728293031  
« Sep.   Nov. »
(C) 2016 - 2018 Deutscher Fachjournalisten-Verband.
Boston Theme by FameThemes

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen

FAF deciding on filters on post to be syndicated:

Koalitionsvertrag Baden-Württemberg: Kameras sollen prüfen, wer und wie brav du bist

Array ( [post_title] => Koalitionsvertrag Baden-Württemberg: Kameras sollen prüfen, wer und wie brav du bist [post_content] =>

Grün-Schwarz will in Baden-Württemberg als erstem Bundesland doppelte KI-Videoüberwachung ausrollen: Kameras, die Menschen auf verdächtiges Verhalten überprüfen und sie gleichzeitig

Kameras an einer Hausfassade.
Gesichtserkennung analysieren. In Mannheim und zwei weiteren Städten soll das Pilotprojekt starten.

Kameras an einer Hausfassade.
Die "intelligente" Videoüberwachung in Mannheim soll ausgeweitet werden.

Gestern haben Cem Özdemir und Manuel Hagel den grün-schwarzen Koalitionsvertrag für Baden-Württemberg vorgestellt. Hier sollen demnach erstmals in Deutschland Kameras eingesetzt werden, die sowohl das Verhalten der Abgebildeten analysieren und bewerten, als auch deren Gesichter vermessen, um per Gesichtserkennung herauszufinden, ob sie von polizeilichem Interesse sind.

Die Verhaltenskontrolle wird bereits seit acht Jahren in Mannheim trainiert. Das Modellprojekt soll nun räumlich ausgeweitet werden, auf zwei weitere, bislang ungenannte Städte. Auch der Umfang wird erweitert, denn zusätzlich zur Verhaltenserkennungs-Technologie sollen künftig auch Objekte und Gesichter von den Kameras erkannt werden.

Live-Gesichtserkennung läuft in Deutschland bislang nur in Frankfurt am Main hinter öffentlichen Überwachungskameras. Die Software vermisst jedes Gesicht im Erfassungsbereich und schlägt Alarm, sobald es einem gesuchten Gesicht sehr ähnlich ist. Gesucht wird damit nach Terrorist*innen, nach vermissten Menschen, nach Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung. Analysiert und mit den Polizeidatenbanken abgeglichen wird aber jedes Gesicht, das die Kameras aufnehmen.

Zusätzlich zur Echtzeit-Fernidentifizierung wollen Grüne und CDU der Polizei in Baden-Württemberg auch die Suche nach bestimmten Gesichtern im Internet erlauben. Auf Bundesebene gibt es aktuell ebenfalls Bestrebungen, das Tool einzuführen. Damit können Beamt*innen beispielsweise Menschen auf Social Media finden, etwa auf Bildern, die Vereine oder Arbeitgeber ins Netz stellen. Selbst auf Totalaufnahmen von Großveranstaltungen könnten Personen gefunden werden. Wenn die Verhaltensanalyse in einer der Pilotstädte eine Straftat detektiert, kann damit theoretisch auch die tatverdächtige Person retrograd identifiziert werden.

„Schonung der Grundrechte“

Für die Echtzeit-Fernidentifizierung und die Gesichtersuchmaschine muss die Koalition das Polizeigesetz von Baden-Württemberg ändern. Dabei hatte Grün-Schwarz das erst Ende vergangenen Jahres getan. Damals hatte die Landesregierung der Polizei Datenanalyse nach Palantir-Art erlaubt, die diese ohnehin schon lange betrieb. Außerdem genehmigten die alten und neuen Koalitionspartner der Polizei auch das KI-Training mit den persönlichen Daten von Bürger*innen sowie die Weitergabe dieser an externe Stellen.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Nun soll also eine neue Polizeigesetznovelle kommen, die auch Echtzeit-Fernidentifizierung ermöglicht. Niedersachsen, Sachsen und Schleswig-Holstein sind ebenfalls daran, Gesetzesgrundlagen dafür einzuführen. Die Technologie ist in Sicherheitsbehörden ziemlich beliebt, genauso wie der Verhaltensscanner, der in Mannheim trainiert wird. Vergangenes Jahr hat ihn Hamburg übernommen, Berlin folgt wohl als nächstes, Hessen, Niedersachsen, Sachsen, Schleswig-Holstein und Thüringen haben bereits Rechtsgrundlagen dafür oder arbeiten daran.

Bislang hat sich noch niemand getraut, beide Technologien auf einmal einzusetzen. Die Datenschutzbedenken sind bei beiden allein schon sehr hoch. In Baden-Württemberg gibt es nun aber scheinbar keine Scheu mehr. „KI-Videoschutz kann für mehr Sicherheit bei gleichzeitiger Schonung der Grundrechte sorgen“, schreiben Grüne und CDU in ihrem Koalitionsvertrag.

Dass es bei den drei Standorten bleibt, an denen die Koalition die multiple KI-Überwachung pilotieren will, ist vermutlich eher unrealistisch. Bereits vor der Wahl hatten sich Özdemir und Hagel dazu bekannt, den Einsatz von Videoüberwachungskameras entgrenzen zu wollen. Für den Einsatz soll keine erhöhte Kriminalitätsbelastung mehr nötig sein, die Kommunen sollen freihändig darüber entscheiden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

[post_date_gmt] => 2026-05-07 10:25:53 [post_date] => 2026-05-07 12:25:53 [post_modified_gmt] => 2026-05-07 10:25:53 [post_modified] => 2026-05-07 12:25:53 [post_status] => publish [comment_status] => closed [ping_status] => closed [guid] => https://netzpolitik.org/?p=519028 [meta] => Array ( [enclosure] => Array ( [0] => https://cdn.netzpolitik.org/wp-upload/2026/05/IMG_20250922_111654_238-scaled-e1778143128951.jpg 206313 image/jpeg ) [syndication_source] => netzpolitik.org [syndication_source_uri] => https://netzpolitik.org [syndication_source_id] => https://netzpolitik.org/feed [rss:comments] => https://netzpolitik.org/2026/koalitionsvertrag-baden-wuerttemberg-kameras-sollen-pruefen-wer-und-wie-brav-du-bist/#respond [wfw:commentRSS] => https://netzpolitik.org/2026/koalitionsvertrag-baden-wuerttemberg-kameras-sollen-pruefen-wer-und-wie-brav-du-bist/feed/ [syndication_feed] => https://netzpolitik.org/feed [syndication_feed_id] => 7 [syndication_permalink] => https://netzpolitik.org/2026/koalitionsvertrag-baden-wuerttemberg-kameras-sollen-pruefen-wer-und-wie-brav-du-bist/ [syndication_item_hash] => cd0ba83352ba5eb91e4c059fdd520079 ) [post_type] => post [post_author] => 506 [tax_input] => Array ( [category] => Array ( ) [post_tag] => Array ( ) [post_format] => Array ( ) ) )

Decide filter: Returning post, everything seems orderly :Koalitionsvertrag Baden-Württemberg: Kameras sollen prüfen, wer und wie brav du bist

Array ( [post_title] => Koalitionsvertrag Baden-Württemberg: Kameras sollen prüfen, wer und wie brav du bist [post_content] =>

Grün-Schwarz will in Baden-Württemberg als erstem Bundesland doppelte KI-Videoüberwachung ausrollen: Kameras, die Menschen auf verdächtiges Verhalten überprüfen und sie gleichzeitig

Kameras an einer Hausfassade.
Gesichtserkennung analysieren. In Mannheim und zwei weiteren Städten soll das Pilotprojekt starten.

Kameras an einer Hausfassade.
Die "intelligente" Videoüberwachung in Mannheim soll ausgeweitet werden.

Gestern haben Cem Özdemir und Manuel Hagel den grün-schwarzen Koalitionsvertrag für Baden-Württemberg vorgestellt. Hier sollen demnach erstmals in Deutschland Kameras eingesetzt werden, die sowohl das Verhalten der Abgebildeten analysieren und bewerten, als auch deren Gesichter vermessen, um per Gesichtserkennung herauszufinden, ob sie von polizeilichem Interesse sind.

Die Verhaltenskontrolle wird bereits seit acht Jahren in Mannheim trainiert. Das Modellprojekt soll nun räumlich ausgeweitet werden, auf zwei weitere, bislang ungenannte Städte. Auch der Umfang wird erweitert, denn zusätzlich zur Verhaltenserkennungs-Technologie sollen künftig auch Objekte und Gesichter von den Kameras erkannt werden.

Live-Gesichtserkennung läuft in Deutschland bislang nur in Frankfurt am Main hinter öffentlichen Überwachungskameras. Die Software vermisst jedes Gesicht im Erfassungsbereich und schlägt Alarm, sobald es einem gesuchten Gesicht sehr ähnlich ist. Gesucht wird damit nach Terrorist*innen, nach vermissten Menschen, nach Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung. Analysiert und mit den Polizeidatenbanken abgeglichen wird aber jedes Gesicht, das die Kameras aufnehmen.

Zusätzlich zur Echtzeit-Fernidentifizierung wollen Grüne und CDU der Polizei in Baden-Württemberg auch die Suche nach bestimmten Gesichtern im Internet erlauben. Auf Bundesebene gibt es aktuell ebenfalls Bestrebungen, das Tool einzuführen. Damit können Beamt*innen beispielsweise Menschen auf Social Media finden, etwa auf Bildern, die Vereine oder Arbeitgeber ins Netz stellen. Selbst auf Totalaufnahmen von Großveranstaltungen könnten Personen gefunden werden. Wenn die Verhaltensanalyse in einer der Pilotstädte eine Straftat detektiert, kann damit theoretisch auch die tatverdächtige Person retrograd identifiziert werden.

„Schonung der Grundrechte“

Für die Echtzeit-Fernidentifizierung und die Gesichtersuchmaschine muss die Koalition das Polizeigesetz von Baden-Württemberg ändern. Dabei hatte Grün-Schwarz das erst Ende vergangenen Jahres getan. Damals hatte die Landesregierung der Polizei Datenanalyse nach Palantir-Art erlaubt, die diese ohnehin schon lange betrieb. Außerdem genehmigten die alten und neuen Koalitionspartner der Polizei auch das KI-Training mit den persönlichen Daten von Bürger*innen sowie die Weitergabe dieser an externe Stellen.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Nun soll also eine neue Polizeigesetznovelle kommen, die auch Echtzeit-Fernidentifizierung ermöglicht. Niedersachsen, Sachsen und Schleswig-Holstein sind ebenfalls daran, Gesetzesgrundlagen dafür einzuführen. Die Technologie ist in Sicherheitsbehörden ziemlich beliebt, genauso wie der Verhaltensscanner, der in Mannheim trainiert wird. Vergangenes Jahr hat ihn Hamburg übernommen, Berlin folgt wohl als nächstes, Hessen, Niedersachsen, Sachsen, Schleswig-Holstein und Thüringen haben bereits Rechtsgrundlagen dafür oder arbeiten daran.

Bislang hat sich noch niemand getraut, beide Technologien auf einmal einzusetzen. Die Datenschutzbedenken sind bei beiden allein schon sehr hoch. In Baden-Württemberg gibt es nun aber scheinbar keine Scheu mehr. „KI-Videoschutz kann für mehr Sicherheit bei gleichzeitiger Schonung der Grundrechte sorgen“, schreiben Grüne und CDU in ihrem Koalitionsvertrag.

Dass es bei den drei Standorten bleibt, an denen die Koalition die multiple KI-Überwachung pilotieren will, ist vermutlich eher unrealistisch. Bereits vor der Wahl hatten sich Özdemir und Hagel dazu bekannt, den Einsatz von Videoüberwachungskameras entgrenzen zu wollen. Für den Einsatz soll keine erhöhte Kriminalitätsbelastung mehr nötig sein, die Kommunen sollen freihändig darüber entscheiden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

[post_date_gmt] => 2026-05-07 10:25:53 [post_date] => 2026-05-07 12:25:53 [post_modified_gmt] => 2026-05-07 10:25:53 [post_modified] => 2026-05-07 12:25:53 [post_status] => publish [comment_status] => closed [ping_status] => closed [guid] => https://netzpolitik.org/?p=519028 [meta] => Array ( [enclosure] => Array ( [0] => https://cdn.netzpolitik.org/wp-upload/2026/05/IMG_20250922_111654_238-scaled-e1778143128951.jpg 206313 image/jpeg ) [syndication_source] => netzpolitik.org [syndication_source_uri] => https://netzpolitik.org [syndication_source_id] => https://netzpolitik.org/feed [rss:comments] => https://netzpolitik.org/2026/koalitionsvertrag-baden-wuerttemberg-kameras-sollen-pruefen-wer-und-wie-brav-du-bist/#respond [wfw:commentRSS] => https://netzpolitik.org/2026/koalitionsvertrag-baden-wuerttemberg-kameras-sollen-pruefen-wer-und-wie-brav-du-bist/feed/ [syndication_feed] => https://netzpolitik.org/feed [syndication_feed_id] => 7 [syndication_permalink] => https://netzpolitik.org/2026/koalitionsvertrag-baden-wuerttemberg-kameras-sollen-pruefen-wer-und-wie-brav-du-bist/ [syndication_item_hash] => cd0ba83352ba5eb91e4c059fdd520079 ) [post_type] => post [post_author] => 506 [tax_input] => Array ( [category] => Array ( ) [post_tag] => Array ( ) [post_format] => Array ( ) ) )

FAF deciding on filters on post to be syndicated:

Correctiv-Recherche: Europol betreibt mutmaßlich illegale Datenanalyseplattformen

Array ( [post_title] => Correctiv-Recherche: Europol betreibt mutmaßlich illegale Datenanalyseplattformen [post_content] =>

Die europäische Polizeibehörde Europol hat offenbar jahrelang eine Schatten-IT betrieben. Mitarbeitende sollen damit widerrechtlich große Mengen an personenbezogenen Daten durchsucht

Ein schwarzes Loch über dem Europol-Gebäude.
ausgewertet haben. Dennoch will die EU-Kommission Europol nun mit deutlich mehr Budget und Personal ausstatten.

Ein schwarzes Loch über dem Europol-Gebäude.
Europol betrieb offenbar ein „Schwarzes Loch“ für unregulierte Datenanalyse. – Alle Rechte vorbehalten: Gebäude: IMAGO/IP3press, Schwarzes Loch: BoliviaInteligente/unsplash.com, Montage: netzpolitik.org

Die europäische Polizeibehörde Europol hat offenbar umfangreiche Mengen sensibler Daten auf einer Schatten-IT gesammelt und ausgewertet. Darunter Ausweisdokumente, Telefonverbindungen, Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Das zeigt eine gemeinsame Recherche von Correctiv, Computer Weekly und Solomon.

„Sie schützen das Gesetz – und brechen es“, zitiert Correctiv einen der anonym bleibenden Europol-Insider, die im Text vorkommen. Internen Dokumenten, geleakten E‑Mails sowie Insiderinformationen von Whistleblower:innen zufolge haben Europol-Mitarbeitende diese Daten entgegen bestehender Sicherheitsvorkehrungen und Datenschutzbeschränkungen abrufen können. Es sei nicht nachvollziehbar, wer zu welchem Zeitpunkt auf die Daten zugegriffen, sie geändert oder gelöscht habe.

Die Veröffentlichung der Recherche fällt für Europol in eine politisch sensible Phase. Noch in diesem Jahr will die EU-Kommission voraussichtlich ein Gesetz einbringen, das Europol in eine „wirklich operative Polizeibehörde“ umwandeln soll. Dafür will die Kommission das Personal und das Budget der Behörde verdoppeln.

Europol habe laut der Recherche zwar einige Datenschutzprobleme öffentlich gemacht. Doch weite Teile ihrer Schatten-IT hat die Behörde mutmaßlich vor dem Europäischen Datenschutzbeauftragten geheimgehalten – darunter ein irreguläres System namens „Pressure Cooker“, mit der Europol offenbar geltende EU-Gesetze umging. Das System ist möglicherweise noch heute im Einsatz.

Das „Schwarze Loch“ für die unregulierte Datenanalyse

Auslöser dafür, die Schatten-IT zu entwickeln, waren die Terroranschläge unter anderem auf das Bataclan-Theater in Paris im November 2015. Damals gründete Europol die Task Force „Fraternité“, der EU-Mitgliedstaaten große Datenmengen zuspielte. Europols Cybercrime-Einheit übernahm daraufhin das sogenannte Computerforensik-Netzwerk (CFN), das im Jahr 2012 mit der Absicht eingerichtet worden war, digitales Beweismaterial zu sammeln.

Obwohl Europol das CFN gemeinsam mit der eigenen IT-Abteilung verwalten sollte, entzog sich das Netzwerk bald jener Aufsicht. Innerhalb weniger Jahre habe sich das CFN weit über seinen ursprünglichen Zweck hinaus entwickelt. Ein ehemaliger hochrangiger Europol-Mitarbeiter bezeichnet es laut der Correctiv-Recherche als „Schwarzes Loch“ für die unregulierte Datenanalyse.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Bis 2019 hätten sich im CFN rund 2.000 Terabyte an Daten angesammelt – fast 420-mal so viele Daten wie die reguläre Kriminaldatenbank von Europol enthielt. In mindestens einem Fall – dem Projekt „Focal Point Travellers“ – sollen sie auch vom US-amerikanischen Inlandsgeheimdienst FBI stammen.

„Europol-Analysten konnten so riesige Mengen an personenbezogenen Daten durchforsten, darunter auch Informationen, die sie nicht hätten speichern dürfen, und diese für kriminalistische Analysen zweckentfremden“, heißt es bei Correctiv.

Datenschutzbeauftragter schlug Alarm

Im Jahr 2019, ein Jahr nachdem die EU-Datenschutzgesetze in Kraft getreten waren, schlug der hauseigene Datenschutzbeauftragte von Europol, Daniel Drewer, intern Alarm. Er warnte die drei stellvertretenden Europol-Direktoren, dass im CFN rund 99 Prozent aller Europol-Daten verarbeitet würden. Laut der Recherche reichen die Sicherheitslücken und Versäumnisse von der „ineffektiven Zuweisung von Sicherheitsrollen und ‑verantwortlichkeiten“ über eine „unzureichende Verwaltung privilegierter Zugriffsrechte“ bis hin zur „Nichteinhaltung der Europol-Sicherheitsvorschriften“. Sollte Europol nicht reagieren, warnte Drewer, könnte ein Verbot des CFN das gesamte operative Geschäft von Europol lahmlegen.

Die Direktorin Catherine De Bolle informierte daraufhin im April 2019 den Europäischen Datenschutzbeauftragten. Nach einer jahrelangen Auseinandersetzung ordnete die Datenschutzbehörde schließlich an, die rechtswidrig gespeicherten Daten zu löschen. Erst im Februar 2026 teilte die Aufsichtsbehörde der Gemeinsamen Parlamentarischen Kontrollgruppe, ein Aufsichtsausschuss für Europol aus europäischen und nationalen Abgeordneten, mit, die fast zehnjährige Prüfung des CFN einzustellen – obwohl Europol zentrale Sicherheitsvorkehrungen noch immer nicht umgesetzt hatte.

„Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagt Birgit Sippel (SPD) auf Anfrage von netzpolitik.org. Sie ist Europaabgeordnete und Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. „Die Daten unschuldiger Menschen wurden gespeichert und analysiert, ohne dass nachvollziehbar war, wer darauf zugegriffen oder Einträge verändert hat. Das untergräbt das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung.“

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Obwohl Europol sich jahrelang der Kontrolle entziehen konnte, will die Kommission der Behörde nun mehr operative Befugnisse übertragen, sagt die Bürgerrechtsorganisation European Digital Rights gegenüber netzpolitik.org. „Es ist dringend erforderlich, dass die EU ihre Pläne überdenkt und Europol tatsächlich für seine rechtswidrigen Praktiken zur Rechenschaft zieht.“

Kocht der „Pressure Cooker“ noch?

Es ist derzeit unklar, ob etwa der „Pressure Cooker“ (zu Deutsch: Schnellkochtopf) weiterhin in Betrieb ist. Damit wird offenbar ein System bezeichnet, in dem operative Daten schnell und ohne Beschränkungen durch EU-Recht gespeichert und analysiert werden können.

Laut Europol sei der „Pressure Cooker“ lediglich eine interne Bezeichnung für das „Internet Facing Operational Environment“ (IFOE), das rechtskonform betrieben werde. Als Europol im Jahr 2025 die „IFOE-Quick Response Area“ dem Europäischen Datenschutzbeauftragten zur Konsultation vorlegte, warnte die Aufsichtsbehörde vor „einer vollwertigen Parallelumgebung zur regulären Betriebsumgebung von Europol“.

Der Europäische Datenschutzbeauftragte erklärte gegenüber Correctiv, er sehe „die Gefahr, dass Europol-Mitarbeiter ‚Angeltouren’ unternehmen könnten, also personenbezogene Daten sammeln, die für laufende strafrechtliche Ermittlungen irrelevant sind – und so Grundrechte verletzen“.

Wie solche Systeme trotz Inspektionen durch den Datenschutzbeauftragten lange Zeit verborgen blieben, beschreibt ein Europol-Insider. Demnach seien die Inspektionen „keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen“, sondern vielmehr ein „höfliches Gespräch“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

[post_date_gmt] => 2026-05-07 09:21:39 [post_date] => 2026-05-07 11:21:39 [post_modified_gmt] => 2026-05-07 09:21:39 [post_modified] => 2026-05-07 11:21:39 [post_status] => publish [comment_status] => closed [ping_status] => closed [guid] => https://netzpolitik.org/?p=518716 [meta] => Array ( [enclosure] => Array ( [0] => https://cdn.netzpolitik.org/wp-upload/2026/05/black_hole_europol.png 7130961 image/jpeg ) [syndication_source] => netzpolitik.org [syndication_source_uri] => https://netzpolitik.org [syndication_source_id] => https://netzpolitik.org/feed [rss:comments] => https://netzpolitik.org/2026/correctiv-recherche-europol-betreibt-mutmasslich-illegale-datenanalyseplattformen/#respond [wfw:commentRSS] => https://netzpolitik.org/2026/correctiv-recherche-europol-betreibt-mutmasslich-illegale-datenanalyseplattformen/feed/ [syndication_feed] => https://netzpolitik.org/feed [syndication_feed_id] => 7 [syndication_permalink] => https://netzpolitik.org/2026/correctiv-recherche-europol-betreibt-mutmasslich-illegale-datenanalyseplattformen/ [syndication_item_hash] => 8f3b603abc28c3f9e94fe4105a316009 ) [post_type] => post [post_author] => 530 [tax_input] => Array ( [category] => Array ( ) [post_tag] => Array ( ) [post_format] => Array ( ) ) )

Decide filter: Returning post, everything seems orderly :Correctiv-Recherche: Europol betreibt mutmaßlich illegale Datenanalyseplattformen

Array ( [post_title] => Correctiv-Recherche: Europol betreibt mutmaßlich illegale Datenanalyseplattformen [post_content] =>

Die europäische Polizeibehörde Europol hat offenbar jahrelang eine Schatten-IT betrieben. Mitarbeitende sollen damit widerrechtlich große Mengen an personenbezogenen Daten durchsucht

Ein schwarzes Loch über dem Europol-Gebäude.
ausgewertet haben. Dennoch will die EU-Kommission Europol nun mit deutlich mehr Budget und Personal ausstatten.

Ein schwarzes Loch über dem Europol-Gebäude.
Europol betrieb offenbar ein „Schwarzes Loch“ für unregulierte Datenanalyse. – Alle Rechte vorbehalten: Gebäude: IMAGO/IP3press, Schwarzes Loch: BoliviaInteligente/unsplash.com, Montage: netzpolitik.org

Die europäische Polizeibehörde Europol hat offenbar umfangreiche Mengen sensibler Daten auf einer Schatten-IT gesammelt und ausgewertet. Darunter Ausweisdokumente, Telefonverbindungen, Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Das zeigt eine gemeinsame Recherche von Correctiv, Computer Weekly und Solomon.

„Sie schützen das Gesetz – und brechen es“, zitiert Correctiv einen der anonym bleibenden Europol-Insider, die im Text vorkommen. Internen Dokumenten, geleakten E‑Mails sowie Insiderinformationen von Whistleblower:innen zufolge haben Europol-Mitarbeitende diese Daten entgegen bestehender Sicherheitsvorkehrungen und Datenschutzbeschränkungen abrufen können. Es sei nicht nachvollziehbar, wer zu welchem Zeitpunkt auf die Daten zugegriffen, sie geändert oder gelöscht habe.

Die Veröffentlichung der Recherche fällt für Europol in eine politisch sensible Phase. Noch in diesem Jahr will die EU-Kommission voraussichtlich ein Gesetz einbringen, das Europol in eine „wirklich operative Polizeibehörde“ umwandeln soll. Dafür will die Kommission das Personal und das Budget der Behörde verdoppeln.

Europol habe laut der Recherche zwar einige Datenschutzprobleme öffentlich gemacht. Doch weite Teile ihrer Schatten-IT hat die Behörde mutmaßlich vor dem Europäischen Datenschutzbeauftragten geheimgehalten – darunter ein irreguläres System namens „Pressure Cooker“, mit der Europol offenbar geltende EU-Gesetze umging. Das System ist möglicherweise noch heute im Einsatz.

Das „Schwarze Loch“ für die unregulierte Datenanalyse

Auslöser dafür, die Schatten-IT zu entwickeln, waren die Terroranschläge unter anderem auf das Bataclan-Theater in Paris im November 2015. Damals gründete Europol die Task Force „Fraternité“, der EU-Mitgliedstaaten große Datenmengen zuspielte. Europols Cybercrime-Einheit übernahm daraufhin das sogenannte Computerforensik-Netzwerk (CFN), das im Jahr 2012 mit der Absicht eingerichtet worden war, digitales Beweismaterial zu sammeln.

Obwohl Europol das CFN gemeinsam mit der eigenen IT-Abteilung verwalten sollte, entzog sich das Netzwerk bald jener Aufsicht. Innerhalb weniger Jahre habe sich das CFN weit über seinen ursprünglichen Zweck hinaus entwickelt. Ein ehemaliger hochrangiger Europol-Mitarbeiter bezeichnet es laut der Correctiv-Recherche als „Schwarzes Loch“ für die unregulierte Datenanalyse.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Bis 2019 hätten sich im CFN rund 2.000 Terabyte an Daten angesammelt – fast 420-mal so viele Daten wie die reguläre Kriminaldatenbank von Europol enthielt. In mindestens einem Fall – dem Projekt „Focal Point Travellers“ – sollen sie auch vom US-amerikanischen Inlandsgeheimdienst FBI stammen.

„Europol-Analysten konnten so riesige Mengen an personenbezogenen Daten durchforsten, darunter auch Informationen, die sie nicht hätten speichern dürfen, und diese für kriminalistische Analysen zweckentfremden“, heißt es bei Correctiv.

Datenschutzbeauftragter schlug Alarm

Im Jahr 2019, ein Jahr nachdem die EU-Datenschutzgesetze in Kraft getreten waren, schlug der hauseigene Datenschutzbeauftragte von Europol, Daniel Drewer, intern Alarm. Er warnte die drei stellvertretenden Europol-Direktoren, dass im CFN rund 99 Prozent aller Europol-Daten verarbeitet würden. Laut der Recherche reichen die Sicherheitslücken und Versäumnisse von der „ineffektiven Zuweisung von Sicherheitsrollen und ‑verantwortlichkeiten“ über eine „unzureichende Verwaltung privilegierter Zugriffsrechte“ bis hin zur „Nichteinhaltung der Europol-Sicherheitsvorschriften“. Sollte Europol nicht reagieren, warnte Drewer, könnte ein Verbot des CFN das gesamte operative Geschäft von Europol lahmlegen.

Die Direktorin Catherine De Bolle informierte daraufhin im April 2019 den Europäischen Datenschutzbeauftragten. Nach einer jahrelangen Auseinandersetzung ordnete die Datenschutzbehörde schließlich an, die rechtswidrig gespeicherten Daten zu löschen. Erst im Februar 2026 teilte die Aufsichtsbehörde der Gemeinsamen Parlamentarischen Kontrollgruppe, ein Aufsichtsausschuss für Europol aus europäischen und nationalen Abgeordneten, mit, die fast zehnjährige Prüfung des CFN einzustellen – obwohl Europol zentrale Sicherheitsvorkehrungen noch immer nicht umgesetzt hatte.

„Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagt Birgit Sippel (SPD) auf Anfrage von netzpolitik.org. Sie ist Europaabgeordnete und Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. „Die Daten unschuldiger Menschen wurden gespeichert und analysiert, ohne dass nachvollziehbar war, wer darauf zugegriffen oder Einträge verändert hat. Das untergräbt das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung.“

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Obwohl Europol sich jahrelang der Kontrolle entziehen konnte, will die Kommission der Behörde nun mehr operative Befugnisse übertragen, sagt die Bürgerrechtsorganisation European Digital Rights gegenüber netzpolitik.org. „Es ist dringend erforderlich, dass die EU ihre Pläne überdenkt und Europol tatsächlich für seine rechtswidrigen Praktiken zur Rechenschaft zieht.“

Kocht der „Pressure Cooker“ noch?

Es ist derzeit unklar, ob etwa der „Pressure Cooker“ (zu Deutsch: Schnellkochtopf) weiterhin in Betrieb ist. Damit wird offenbar ein System bezeichnet, in dem operative Daten schnell und ohne Beschränkungen durch EU-Recht gespeichert und analysiert werden können.

Laut Europol sei der „Pressure Cooker“ lediglich eine interne Bezeichnung für das „Internet Facing Operational Environment“ (IFOE), das rechtskonform betrieben werde. Als Europol im Jahr 2025 die „IFOE-Quick Response Area“ dem Europäischen Datenschutzbeauftragten zur Konsultation vorlegte, warnte die Aufsichtsbehörde vor „einer vollwertigen Parallelumgebung zur regulären Betriebsumgebung von Europol“.

Der Europäische Datenschutzbeauftragte erklärte gegenüber Correctiv, er sehe „die Gefahr, dass Europol-Mitarbeiter ‚Angeltouren’ unternehmen könnten, also personenbezogene Daten sammeln, die für laufende strafrechtliche Ermittlungen irrelevant sind – und so Grundrechte verletzen“.

Wie solche Systeme trotz Inspektionen durch den Datenschutzbeauftragten lange Zeit verborgen blieben, beschreibt ein Europol-Insider. Demnach seien die Inspektionen „keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen“, sondern vielmehr ein „höfliches Gespräch“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

[post_date_gmt] => 2026-05-07 09:21:39 [post_date] => 2026-05-07 11:21:39 [post_modified_gmt] => 2026-05-07 09:21:39 [post_modified] => 2026-05-07 11:21:39 [post_status] => publish [comment_status] => closed [ping_status] => closed [guid] => https://netzpolitik.org/?p=518716 [meta] => Array ( [enclosure] => Array ( [0] => https://cdn.netzpolitik.org/wp-upload/2026/05/black_hole_europol.png 7130961 image/jpeg ) [syndication_source] => netzpolitik.org [syndication_source_uri] => https://netzpolitik.org [syndication_source_id] => https://netzpolitik.org/feed [rss:comments] => https://netzpolitik.org/2026/correctiv-recherche-europol-betreibt-mutmasslich-illegale-datenanalyseplattformen/#respond [wfw:commentRSS] => https://netzpolitik.org/2026/correctiv-recherche-europol-betreibt-mutmasslich-illegale-datenanalyseplattformen/feed/ [syndication_feed] => https://netzpolitik.org/feed [syndication_feed_id] => 7 [syndication_permalink] => https://netzpolitik.org/2026/correctiv-recherche-europol-betreibt-mutmasslich-illegale-datenanalyseplattformen/ [syndication_item_hash] => 8f3b603abc28c3f9e94fe4105a316009 ) [post_type] => post [post_author] => 530 [tax_input] => Array ( [category] => Array ( ) [post_tag] => Array ( ) [post_format] => Array ( ) ) )

FAF deciding on filters on post to be syndicated:

Europäische Kommission: In der Alterskontroll-App schlägt ein Herz von Google

Array ( [post_title] => Europäische Kommission: In der Alterskontroll-App schlägt ein Herz von Google [post_content] =>

Die Alterskontroll-App der EU- Kommission nutzt ein Verfahren von Google-Entwicklern. IT-Fachleute warnen vor Abhängigkeiten und Datenschutzrisiken – auch mit Blick

Eine Person im Kaputzenpulli sitzt mit dem Rücken zum Betrachter und schaut aufs Smartphone.
die geplante EUDI-Wallet.

Eine Person im Kaputzenpulli sitzt mit dem Rücken zum Betrachter und schaut aufs Smartphone.
Wie können Nutzer:innen ihr Alter bestätigen, ohne allzu viele persönliche Daten preiszugeben? – Gemeinfrei-ähnlich freigegeben durch unsplash.com: Jon Tyson

Mit einer Handy-App sollen Menschen in der EU schon bald ihr Alter gegenüber Online-Diensten nachweisen können. Noch gibt es diese App nicht. Die EU-Kommission hat aber Code für Komponenten und Spezifikationen bereitgestellt, aus dem Entwickler:innen eigene Versionen der App bauen und auf den Markt bringen sollen. Die Alterskontroll-App könne ein weltweiter „Goldstandard“ werden, so die Hoffnung der Kommission.

Doch bei der App hat sich die Kommission für ein Verfahren zweier Software-Entwickler entschieden, die für den US-Konzern Google arbeiten. Die Technologie ist Open Source. Doch eine ebenfalls offene Alternative, die seit Jahren gut erforscht und nicht an ein kommerzielles Unternehmen gebunden ist, lehnte die Kommission ab.

Sicherheitsexpert:innen kritisieren die Entscheidung, weil die von der Kommission gewählten Verfahren weniger effizient und risikobehaftet seien. Außerdem fordern sie, Standards zu nutzen, die Abhängigkeiten von einzelnen Anbietern vermeiden. Nur so ließen sich bestimmte Funktionen und ein hohes Datenschutzniveau sicherstellen.

Der datensparsame Null-Wissen-Beweis

Die Alterskontroll-App ist quasi ein Vorläufer der geplanten EUDI-Wallet, die Ende 2026 EU-weit starten soll. Mit der App sollen Nutzer:innen gegenüber Online-Plattformen nachweisen können, dass sie ein bestimmtes Mindestalter erreicht haben.

Um ausschließlich die erforderliche Information – Mindestalter ja oder nein – zu offenbaren, lässt sich ein sogenannter Zero Knowledge Proof (ZKP) nutzen, zu Deutsch: Null-Wissen-Beweis. Das erlaubt eine datensparsame Verifizierung, ohne die zugrundeliegenden Daten der Nutzer:innen wie etwa das genaue Alter preiszugegeben.

Damit die Authentisierung sicher erfolgen kann, braucht es digitale Signaturen. Sie sichern weite Teile des Internets und die meisten digitalen Transaktionen ab, indem sie etwa – vergleichbar mit einer handschriftlichen Unterschrift – mathematisch beweisen, dass eine Nachricht von einem bestimmten Absender stammt.

Beweisen, dass es einen Beweis gibt

Bei der Alterskontroll-App wird das Attribut, das eine Person älter als X Jahre ist, vom sogenannten „Attestation Provider“ signiert. Diese Aufgabe können Banken, Mobilfunkanbieter oder staatliche Behörden übernehmen. Sie bestätigen so als vertrauenswürdige Stelle die Echtheit von Altersbestätigungen digital und geben diese an die App aus.

Allerdings gibt es noch ein Problem zu lösen: Wäre diese Bestätigung, die bei einem Altersnachweis mitgeliefert wird, immer gleich, lassen sich damit verschiedene Nachweisaktionen bei unterschiedlichen Behörden, Händlern oder Plattformen miteinander verknüpfen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Das sollen „Anonymous Credentials“ verhindern, zu Deutsch: „anonyme Anmeldedaten“. Hier werden bei jeder Altersübermittlung neue, einmalige Beweise erzeugt, die an verschiedene Dienste, die den Nachweis prüfen, weitergegeben werden. Damit belegen Nutzer:innen, dass sie eine gültige Signatur für ihren Altersnachweis haben – ohne den Nachweis selbst oder die Signatur preiszugeben. Dank dieser wechselnden Beweise können die sogenannten Verifier nicht erkennen, dass es sich um dieselbe Person handelt – selbst wenn sie die Beweise untereinander vergleichen.

Zwei konkurrierende kryptografische Verfahren

Damit der Zero Knowledge Proof mit der Alterskontroll-App gelingt, kommen mehrere kryptografische Verfahren für Anonymous Credentials grundsätzlich infrage.

Aus Sicht vieler Kryptografen wäre etwa BBS ein etabliertes Verfahren. Es ist nach den Erfindern Dan Boneh, Xavier Boyen und Hovav Shacham benannt, wurde 2004 entwickelt und 2013 als ISO-Standard aufgenommen. BBS gilt als gut erforscht, ist allerdings bisher kaum im Praxiseinsatz.

Ein alternatives Verfahren baut auf ECDSA-Signaturen auf. Der „Elliptic Curve Digital Signature Algorithm“ ist als kryptografisches Verfahren weit verbreitet. Es wurde allerdings nicht dafür gebaut, um ZKP zu erstellen. Um einen Null-Wissen-Beweis auf Basis einer ECDSA-Signatur erzeugen zu können, braucht es technisch aufwendige Anpassungen. Im Vergleich zu BBS-basierten Verfahren gelten daher ECDSA-basierte Anonymous Credentials in der Fachwelt als langsamer und komplexer.

Kommission hat sich für ECDSA-Signaturen entschieden

Dennoch hat sich die Kommission bei ihrer Alterskontroll-App für ECDSA-basierte Anonymous Credentials entschieden. Laut dem technischen Blaupausen-Dokument hatte die Kommission zuvor fünf Optionen geprüft, drei von ihnen basieren auf BBS. „Unter diesen erscheinen ‚ECDSA Anonymous Credentials’ aufgrund ihrer Kompatibilität mit bestehenden Anmeldeformaten und Ausstellungsabläufen am vielversprechendsten“, schreibt die Kommission.

Anja Lehmann hält das für einen riskanten Ansatz. Sie ist Professorin am Hasso-Plattner-Institut der Universität Potsdam und forscht unter anderem zur datensparsamen Authentisierung in digitalen Wallets. „Nach außen wirkt der ECDSA-basierte Ansatz einfach, gerade weil er kompatibel mit bestehenden Systemen ist“, sagt Lehmann gegenüber netzpolitik.org. „Aber um diese Kompatibilität zu erreichen, braucht man ein kryptographisches Verfahren mit rund 20.000 Zeilen Code.“ Das sei langfristig eine große Herausforderung etwa für die Sicherheit und Standardisierung von kryptografischen Verfahren.

Auch Carmela Troncoso sieht die Entscheidung der Kommission kritisch: „Googles Ansatz ist neu, und obwohl er auf bekannter Kryptografie basiert, ist er noch nicht ausreichend erforscht“, sagt die IT-Sicherheitsexpertin vom Max-Planck-Institut für Sicherheit und Privatsphäre. „BBS ist hingegen eine etablierte Methode, um anonyme Zugangsdaten zu erzeugen, die wissenschaftlich gründlich untersucht wurde. Das ist ihr Hauptvorteil gegenüber Googles Verfahren.“

Beide IT-Sicherheitsfachleute gehören einer internationalen Gruppe von Kryptograf:innen an, die die EU-Kommission bereits im Juni 2024 dafür kritisierte, für die EUDI-Wallet veraltete Verschlüsselungsverfahren einsetzen zu wollen. Das Problem ließe sich nur beheben, wenn grundlegend andere kryptografische Lösungen wie BBS zum Einsatz kommen, lautete damals die Empfehlung der Kryptograf:innen.

Digitale Unabhängigkeit – mit Google?

Aus Sicht von Lehmann und Troncoso sprechen auch organisatorische Gründe gegen das Google-Verfahren. Entscheidet man sich für eine Lösung, die so komplex ist, dass die unterliegende Krypto-Bibliothek nur von sehr wenigen Fachleuten weiterentwickelt werden kann, begebe man sich in eine unnötige Abhängigkeit, warnt Lehmann. „Die Bibliothek bestimmt maßgeblich darüber, welche Funktionalität und welches Datenschutzniveau unterstützt wird“, sagt sie.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Dass die Technologie Open Source ist, verspricht aus Sicht von Carmela Troncoso nicht per se viel mehr Spielraum. „Google entscheidet darüber, was wie authentisiert und wie das angepasst werden kann“, sagt Troncoso. „Will man die hochgradig optimierten ZKP-Bibliotheken verändern, ist besonderes Fachwissen erforderlich, über das derzeit vor allem Google verfügt.“ Daher warnt Troncoso davor, „Google zum Herzen der europäischen Identitätsinfrastruktur zu machen“.

Die Kommission teilt diese Sorge offenkundig nicht. Auf Nachfrage von netzpolitik.org definiert sie digitale Souveränität als „operative Kontrolle“ etwa über Spezifikationen und die rechtlichen Rahmenbedingungen. Die ECDSA-basierten Verfahren erfüllten hier viele Anforderungen: Es gebe Open-Source-Implementierungen, eine unabhängige Sicherheitsüberprüfung durch die Internet Security Research Group und einen Standardisierungsprozess.

Tatsächlich ist ECDSA als Signaturverfahren standardisiert – „allerdings nicht das Anonymous-Credentials-Verfahren, das darauf aufbaut“, ordnet Anja Lehmann ein. Für BBS-Signaturen gebe es bereits seit 2013 einen ISO-Standard und auch eine aktuelle IRTF Standardisierung. Zwar decke der Standard nur ein einzelnes signiertes Attribut ab, eine Erweiterung auf mehrere Attribute sei aus kryptographischer Sicht aber trivial, so die Sicherheitsexpertin.

Mögliche Weichenstellung für die EUDI-Wallet

Ob die EU-Kommission mit ihrer Wahl für Google bei der Alterskontroll-App auch eine Weichenstellung für die EUDI-Wallet gewählt hat, wird sich vermutlich in den kommenden Monaten zeigen.

Eine Entscheidung will die Kommission nach einer Aussage erst dann treffen, wenn die technischen Arbeiten, die fortlaufende Überprüfung durch die European Cybersecurity Certification Group und die Konformitätswerkzeuge vorangeschritten sind. „Es wurde noch kein Termin festgelegt“, so ein Kommissionssprecher gegenüber netzpolitik.org.

Auch einen Vortrag von Paolo De Rosa will die Kommission nicht als Hinweis auf eine vorzeitige Richtungsentscheidung verstehen. De Rosa ist „EUDI-Wallet-CTO“ der EU-Kommission. Ende März präsentierte er gemeinsam mit Abhi Shelat die EUDI-Wallet auf einer IT-Sicherheitskonferenz in San Francisco. Shelat ist Co-Autor des ECDSA-basierten Anonymous-Credentials-Ansatzes und Entwickler bei Google.

Es gehöre zur Arbeitsweise der Kommission, direkt mit Forschenden zusammenzuarbeiten und mit ihnen „auf Augenhöhe“ Vorträge zu halten, schreibt die Kommission.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

[post_date_gmt] => 2026-05-07 06:07:58 [post_date] => 2026-05-07 08:07:58 [post_modified_gmt] => 2026-05-07 06:07:58 [post_modified] => 2026-05-07 08:07:58 [post_status] => publish [comment_status] => closed [ping_status] => closed [guid] => https://netzpolitik.org/?p=518752 [meta] => Array ( [enclosure] => Array ( [0] => https://cdn.netzpolitik.org/wp-upload/2026/05/jon-tyson-i7ZXmllhFfg-unsplash.jpg 412092 image/jpeg ) [syndication_source] => netzpolitik.org [syndication_source_uri] => https://netzpolitik.org [syndication_source_id] => https://netzpolitik.org/feed [rss:comments] => https://netzpolitik.org/2026/europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google/#comments [wfw:commentRSS] => https://netzpolitik.org/2026/europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google/feed/ [syndication_feed] => https://netzpolitik.org/feed [syndication_feed_id] => 7 [syndication_permalink] => https://netzpolitik.org/2026/europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google/ [syndication_item_hash] => Array ( [0] => 15dabd3a961170ca77248a94a88666ae [1] => 0e8298d44965b69f873aa7bcb9b32019 ) ) [post_type] => post [post_author] => 450 [tax_input] => Array ( [category] => Array ( ) [post_tag] => Array ( ) [post_format] => Array ( ) ) [post_name] => europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google )

Decide filter: Returning post, everything seems orderly :Europäische Kommission: In der Alterskontroll-App schlägt ein Herz von Google

Array ( [post_title] => Europäische Kommission: In der Alterskontroll-App schlägt ein Herz von Google [post_content] =>

Die Alterskontroll-App der EU- Kommission nutzt ein Verfahren von Google-Entwicklern. IT-Fachleute warnen vor Abhängigkeiten und Datenschutzrisiken – auch mit Blick

Eine Person im Kaputzenpulli sitzt mit dem Rücken zum Betrachter und schaut aufs Smartphone.
die geplante EUDI-Wallet.

Eine Person im Kaputzenpulli sitzt mit dem Rücken zum Betrachter und schaut aufs Smartphone.
Wie können Nutzer:innen ihr Alter bestätigen, ohne allzu viele persönliche Daten preiszugeben? – Gemeinfrei-ähnlich freigegeben durch unsplash.com: Jon Tyson

Mit einer Handy-App sollen Menschen in der EU schon bald ihr Alter gegenüber Online-Diensten nachweisen können. Noch gibt es diese App nicht. Die EU-Kommission hat aber Code für Komponenten und Spezifikationen bereitgestellt, aus dem Entwickler:innen eigene Versionen der App bauen und auf den Markt bringen sollen. Die Alterskontroll-App könne ein weltweiter „Goldstandard“ werden, so die Hoffnung der Kommission.

Doch bei der App hat sich die Kommission für ein Verfahren zweier Software-Entwickler entschieden, die für den US-Konzern Google arbeiten. Die Technologie ist Open Source. Doch eine ebenfalls offene Alternative, die seit Jahren gut erforscht und nicht an ein kommerzielles Unternehmen gebunden ist, lehnte die Kommission ab.

Sicherheitsexpert:innen kritisieren die Entscheidung, weil die von der Kommission gewählten Verfahren weniger effizient und risikobehaftet seien. Außerdem fordern sie, Standards zu nutzen, die Abhängigkeiten von einzelnen Anbietern vermeiden. Nur so ließen sich bestimmte Funktionen und ein hohes Datenschutzniveau sicherstellen.

Der datensparsame Null-Wissen-Beweis

Die Alterskontroll-App ist quasi ein Vorläufer der geplanten EUDI-Wallet, die Ende 2026 EU-weit starten soll. Mit der App sollen Nutzer:innen gegenüber Online-Plattformen nachweisen können, dass sie ein bestimmtes Mindestalter erreicht haben.

Um ausschließlich die erforderliche Information – Mindestalter ja oder nein – zu offenbaren, lässt sich ein sogenannter Zero Knowledge Proof (ZKP) nutzen, zu Deutsch: Null-Wissen-Beweis. Das erlaubt eine datensparsame Verifizierung, ohne die zugrundeliegenden Daten der Nutzer:innen wie etwa das genaue Alter preiszugegeben.

Damit die Authentisierung sicher erfolgen kann, braucht es digitale Signaturen. Sie sichern weite Teile des Internets und die meisten digitalen Transaktionen ab, indem sie etwa – vergleichbar mit einer handschriftlichen Unterschrift – mathematisch beweisen, dass eine Nachricht von einem bestimmten Absender stammt.

Beweisen, dass es einen Beweis gibt

Bei der Alterskontroll-App wird das Attribut, das eine Person älter als X Jahre ist, vom sogenannten „Attestation Provider“ signiert. Diese Aufgabe können Banken, Mobilfunkanbieter oder staatliche Behörden übernehmen. Sie bestätigen so als vertrauenswürdige Stelle die Echtheit von Altersbestätigungen digital und geben diese an die App aus.

Allerdings gibt es noch ein Problem zu lösen: Wäre diese Bestätigung, die bei einem Altersnachweis mitgeliefert wird, immer gleich, lassen sich damit verschiedene Nachweisaktionen bei unterschiedlichen Behörden, Händlern oder Plattformen miteinander verknüpfen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Das sollen „Anonymous Credentials“ verhindern, zu Deutsch: „anonyme Anmeldedaten“. Hier werden bei jeder Altersübermittlung neue, einmalige Beweise erzeugt, die an verschiedene Dienste, die den Nachweis prüfen, weitergegeben werden. Damit belegen Nutzer:innen, dass sie eine gültige Signatur für ihren Altersnachweis haben – ohne den Nachweis selbst oder die Signatur preiszugeben. Dank dieser wechselnden Beweise können die sogenannten Verifier nicht erkennen, dass es sich um dieselbe Person handelt – selbst wenn sie die Beweise untereinander vergleichen.

Zwei konkurrierende kryptografische Verfahren

Damit der Zero Knowledge Proof mit der Alterskontroll-App gelingt, kommen mehrere kryptografische Verfahren für Anonymous Credentials grundsätzlich infrage.

Aus Sicht vieler Kryptografen wäre etwa BBS ein etabliertes Verfahren. Es ist nach den Erfindern Dan Boneh, Xavier Boyen und Hovav Shacham benannt, wurde 2004 entwickelt und 2013 als ISO-Standard aufgenommen. BBS gilt als gut erforscht, ist allerdings bisher kaum im Praxiseinsatz.

Ein alternatives Verfahren baut auf ECDSA-Signaturen auf. Der „Elliptic Curve Digital Signature Algorithm“ ist als kryptografisches Verfahren weit verbreitet. Es wurde allerdings nicht dafür gebaut, um ZKP zu erstellen. Um einen Null-Wissen-Beweis auf Basis einer ECDSA-Signatur erzeugen zu können, braucht es technisch aufwendige Anpassungen. Im Vergleich zu BBS-basierten Verfahren gelten daher ECDSA-basierte Anonymous Credentials in der Fachwelt als langsamer und komplexer.

Kommission hat sich für ECDSA-Signaturen entschieden

Dennoch hat sich die Kommission bei ihrer Alterskontroll-App für ECDSA-basierte Anonymous Credentials entschieden. Laut dem technischen Blaupausen-Dokument hatte die Kommission zuvor fünf Optionen geprüft, drei von ihnen basieren auf BBS. „Unter diesen erscheinen ‚ECDSA Anonymous Credentials’ aufgrund ihrer Kompatibilität mit bestehenden Anmeldeformaten und Ausstellungsabläufen am vielversprechendsten“, schreibt die Kommission.

Anja Lehmann hält das für einen riskanten Ansatz. Sie ist Professorin am Hasso-Plattner-Institut der Universität Potsdam und forscht unter anderem zur datensparsamen Authentisierung in digitalen Wallets. „Nach außen wirkt der ECDSA-basierte Ansatz einfach, gerade weil er kompatibel mit bestehenden Systemen ist“, sagt Lehmann gegenüber netzpolitik.org. „Aber um diese Kompatibilität zu erreichen, braucht man ein kryptographisches Verfahren mit rund 20.000 Zeilen Code.“ Das sei langfristig eine große Herausforderung etwa für die Sicherheit und Standardisierung von kryptografischen Verfahren.

Auch Carmela Troncoso sieht die Entscheidung der Kommission kritisch: „Googles Ansatz ist neu, und obwohl er auf bekannter Kryptografie basiert, ist er noch nicht ausreichend erforscht“, sagt die IT-Sicherheitsexpertin vom Max-Planck-Institut für Sicherheit und Privatsphäre. „BBS ist hingegen eine etablierte Methode, um anonyme Zugangsdaten zu erzeugen, die wissenschaftlich gründlich untersucht wurde. Das ist ihr Hauptvorteil gegenüber Googles Verfahren.“

Beide IT-Sicherheitsfachleute gehören einer internationalen Gruppe von Kryptograf:innen an, die die EU-Kommission bereits im Juni 2024 dafür kritisierte, für die EUDI-Wallet veraltete Verschlüsselungsverfahren einsetzen zu wollen. Das Problem ließe sich nur beheben, wenn grundlegend andere kryptografische Lösungen wie BBS zum Einsatz kommen, lautete damals die Empfehlung der Kryptograf:innen.

Digitale Unabhängigkeit – mit Google?

Aus Sicht von Lehmann und Troncoso sprechen auch organisatorische Gründe gegen das Google-Verfahren. Entscheidet man sich für eine Lösung, die so komplex ist, dass die unterliegende Krypto-Bibliothek nur von sehr wenigen Fachleuten weiterentwickelt werden kann, begebe man sich in eine unnötige Abhängigkeit, warnt Lehmann. „Die Bibliothek bestimmt maßgeblich darüber, welche Funktionalität und welches Datenschutzniveau unterstützt wird“, sagt sie.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Dass die Technologie Open Source ist, verspricht aus Sicht von Carmela Troncoso nicht per se viel mehr Spielraum. „Google entscheidet darüber, was wie authentisiert und wie das angepasst werden kann“, sagt Troncoso. „Will man die hochgradig optimierten ZKP-Bibliotheken verändern, ist besonderes Fachwissen erforderlich, über das derzeit vor allem Google verfügt.“ Daher warnt Troncoso davor, „Google zum Herzen der europäischen Identitätsinfrastruktur zu machen“.

Die Kommission teilt diese Sorge offenkundig nicht. Auf Nachfrage von netzpolitik.org definiert sie digitale Souveränität als „operative Kontrolle“ etwa über Spezifikationen und die rechtlichen Rahmenbedingungen. Die ECDSA-basierten Verfahren erfüllten hier viele Anforderungen: Es gebe Open-Source-Implementierungen, eine unabhängige Sicherheitsüberprüfung durch die Internet Security Research Group und einen Standardisierungsprozess.

Tatsächlich ist ECDSA als Signaturverfahren standardisiert – „allerdings nicht das Anonymous-Credentials-Verfahren, das darauf aufbaut“, ordnet Anja Lehmann ein. Für BBS-Signaturen gebe es bereits seit 2013 einen ISO-Standard und auch eine aktuelle IRTF Standardisierung. Zwar decke der Standard nur ein einzelnes signiertes Attribut ab, eine Erweiterung auf mehrere Attribute sei aus kryptographischer Sicht aber trivial, so die Sicherheitsexpertin.

Mögliche Weichenstellung für die EUDI-Wallet

Ob die EU-Kommission mit ihrer Wahl für Google bei der Alterskontroll-App auch eine Weichenstellung für die EUDI-Wallet gewählt hat, wird sich vermutlich in den kommenden Monaten zeigen.

Eine Entscheidung will die Kommission nach einer Aussage erst dann treffen, wenn die technischen Arbeiten, die fortlaufende Überprüfung durch die European Cybersecurity Certification Group und die Konformitätswerkzeuge vorangeschritten sind. „Es wurde noch kein Termin festgelegt“, so ein Kommissionssprecher gegenüber netzpolitik.org.

Auch einen Vortrag von Paolo De Rosa will die Kommission nicht als Hinweis auf eine vorzeitige Richtungsentscheidung verstehen. De Rosa ist „EUDI-Wallet-CTO“ der EU-Kommission. Ende März präsentierte er gemeinsam mit Abhi Shelat die EUDI-Wallet auf einer IT-Sicherheitskonferenz in San Francisco. Shelat ist Co-Autor des ECDSA-basierten Anonymous-Credentials-Ansatzes und Entwickler bei Google.

Es gehöre zur Arbeitsweise der Kommission, direkt mit Forschenden zusammenzuarbeiten und mit ihnen „auf Augenhöhe“ Vorträge zu halten, schreibt die Kommission.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

[post_date_gmt] => 2026-05-07 06:07:58 [post_date] => 2026-05-07 08:07:58 [post_modified_gmt] => 2026-05-07 06:07:58 [post_modified] => 2026-05-07 08:07:58 [post_status] => publish [comment_status] => closed [ping_status] => closed [guid] => https://netzpolitik.org/?p=518752 [meta] => Array ( [enclosure] => Array ( [0] => https://cdn.netzpolitik.org/wp-upload/2026/05/jon-tyson-i7ZXmllhFfg-unsplash.jpg 412092 image/jpeg ) [syndication_source] => netzpolitik.org [syndication_source_uri] => https://netzpolitik.org [syndication_source_id] => https://netzpolitik.org/feed [rss:comments] => https://netzpolitik.org/2026/europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google/#comments [wfw:commentRSS] => https://netzpolitik.org/2026/europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google/feed/ [syndication_feed] => https://netzpolitik.org/feed [syndication_feed_id] => 7 [syndication_permalink] => https://netzpolitik.org/2026/europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google/ [syndication_item_hash] => Array ( [0] => 15dabd3a961170ca77248a94a88666ae [1] => 0e8298d44965b69f873aa7bcb9b32019 ) ) [post_type] => post [post_author] => 450 [tax_input] => Array ( [category] => Array ( ) [post_tag] => Array ( ) [post_format] => Array ( ) ) [post_name] => europaeische-kommission-in-der-alterskontroll-app-schlaegt-ein-herz-von-google )