Unser 24. Real Life Treffen fand vom 15.-17. Mai 2026 in Berlin statt.
Vorabend-Event "LOAD&Friends": Die Data Broker Files und die ADINT-Debatte
Bevor unser Real-Life-Treffen startete, diskutierten wir in unserem Eventformat "LOAD&Friends" über die aktuelle Debatte zu den Data-Broker-Files, welche durch die ARD-Dokumentation „Gefährliche Apps – Im Netz der Datenhändler" vom April 2026 aufgegriffen worden sind:
LOAD&Friends: Die Databroker Files und die ADINT-Debatte
Reform des Hackerparagrafen : "Wie schützen wir die, die uns schützen?"
Der erste Impuls dieses Real-Life-Treffens kam von Marieke Petersen, Referentin bei der Gesellschaft für Informatik (GI). Sie stellte zusammen mit ihren Kolleginnen Wiebke Dönnebrink und Helen Zotz die geplante GI-Kampagne zur Reform des Hackerparagraphen vor.
Die Rechtslage rund um IT-Sicherheitsforschung hat eine komplizierte Entstehungsgeschichte. In dem Impuls wurden die wichtigsten Stationen nachgezeichnet:
- 2001 verabschiedete der Europarat die Cybercrime Convention.
- 2005 folgte ein Rahmenbeschluss des Rates der EU zu Cyberangriffen.
- 2007 reagierte der Bundestag mit der Einführung der §§ 202a, b und c StGB dem berüchtigten „Hackerparagraphen". Die GI positionierte sich damals bereits gegen § 202c.
- 2009 scheiterten Verfassungsbeschwerden dagegen vor dem Bundesverfassungsgericht.
- 2015 erhöhte der Bundestag die Mindesthöchststrafe weiter.
- Erst 2022 führte das BSI CVD-Leitlinien (Coordinated Vulnerability Disclosure) ein.
- 2024 legte die Ampel-Regierung einen Referentenentwurf zur Modernisierung des Computerstrafrechts vor – der jedoch mit dem Koalitionsbruch liegen blieb.
- Die neue Bundesregierung hat die Reform zwar in den Koalitionsvertrag aufgenommen, doch die Umsetzung steht noch aus.
Dass es auch anders geht, zeigen drei europäische Nachbarn:
- Portugal hat explizite Ausnahmen für White-Hat-Hacker geschaffen. Straffreiheit gilt, wenn die Intention auf das Beseitigen von Schwachstellen gerichtet ist, kein finanzieller Vorteil angestrebt wird und kein Systemausfall verursacht wird.
- Belgien hat eine Meldestelle für Hacker eingerichtet: Wer schnellstmöglich meldet, nicht unnötig eindringt und die Veröffentlichung mit der Behörde CCB (dem belgischen Pendant zum BSI) abstimmt, ist geschützt. Die CCB betreibt sogar eine Hall of Fame, um erfolgreiche Disclosures sichtbar zu machen.
- Polen geht noch weiter und gewährt Straffreiheit explizit für Hackertools, wenn deren Entwicklung der Absicherung von IKT-Systemen dient. Eine ausdrückliche gesetzliche Unterstützung von Ethical Hacking.
Die GI hat sich vorgenommen, das Thema mit einer strukturierten Kampagne wieder auf die politische Agenda zu setzen
Diskussion
Die anschließende Diskussion brachte zwei relevante Spannungsfelder ans Licht. Erstens den Zielkonflikt bei der Offenlegung von Sicherheitslücken: Wenn der Staat selbst Interesse daran hat, Lücken für offensive Zwecke, Stichwort „Hackback", offenzuhalten, gerät er in einen strukturellen Widerspruch zu dem Ziel, Schwachstellen schnell zu schließen. Zweitens die Frage, die eigentlich auf der Hand liegt: Warum werden White-Hat-Hacker nicht einfach bezahlt? Wenn ihre Arbeit gesellschaftlich wertvoll ist, warum bleibt sie überwiegend ehrenamtlich? Eine abschließende Antwort gab es nicht, die Frage blieb im Raum stehen.
Konsultationsprozess zu Souveränitätskriterien
Unser Mitglied Alena Jakobs stellte uns das Vorhaben des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) und ihren aktuellen Konsultationsprozess vor.
Alena Jakobs eröffnete ihren Vortrag mit einer nüchternen Bestandsaufnahme: Die öffentliche Verwaltung in Deutschland ist in ihrer IT-Infrastruktur in weiten Teilen von wenigen, oft außereuropäischen Anbietern abhängig. Geringe Transparenz über Lieferketten, steigende Kosten durch Lock-in-Effekte und wachsende Risiken durch geopolitische Einflussnahme – all das gefährde die Handlungsfähigkeit des Staates. Diese Abhängigkeit sei keine abstrakte Bedrohung mehr: Das Beispiel des Internationalen Strafgerichtshofs, dessen E-Mail-Zugang von Microsoft auf Druck der US-Administration gesperrt worden war, zeigte dies deutlich.
Digitale Souveränität ist die Fähigkeit von Staaten, Organisationen und Individuen, selbstbestimmt, sicher, rechtskonform und wirtschaftlich tragfähig im digitalen Raum zu handeln. Das klingt abstrakt und genau darin liegt das Problem. Bisher ist der Begriff nicht messbar, nicht vergleichbar und schwer steuerbar, was ihn anfällig für sogenanntes „Souveränitätswashing" macht: wohlklingende Bekenntnisse ohne belastbare Substanz.
Der IT-Planungsrat hatte bereits drei strategische Zieldimensionen formuliert: Wechselmöglichkeit, Gestaltungsfähigkeit und Einflussnahme auf IT-Anbieter, welche als Leitplanken für die Kriterienentwicklung dienten. ZenDiS setze an dieser Lücke zwischen Anspruch und Wirklichkeit an.
Eines seiner aktuellen Kernprojekte ist die Entwicklung eines systematischen Messmodells für digitale Souveränität, der sogenannte Souveränitätscheck. Der Kriterienkatalog in diesem Check gliedert sich in mehrere Bereiche. Die Bewertung richtet sich nach Datenkritikalität, Rechtsrisiken (DSGVO, NIS2, AI Act), Abhängigkeiten, Sicherheitslage, Kritikalität der Verwaltungsprozesse und Lieferkettenzuverlässigkeit.
Der Konsultationsprozess
Um den Kriterienkatalog nicht im Elfenbeinturm zu entwickeln, hatte ZenDiS einen offenen Konsultationsprozess über GitLab gestartet. Verwaltung, Wirtschaft, Wissenschaft und Zivilgesellschaft waren zur Beteiligung eingeladen – mit dem Ziel, ein gemeinsam getragenes, praxistaugliches und akzeptiertes Bewertungsinstrument zu entwickeln. Die Leitfragen dabei: Welche Kriterien fehlen noch? Welche konkreten Prüffragen machen die Bewertung nachvollziehbar? Welche Nachweise sind im Behördenalltag wirklich praktikabel? Und wie lassen sich Gewichtungen transparent und sinnvoll gestalten?
Wie souverän ist ZenDiS selbst?
Besonders lebhaft wurde die Diskussion als die kritische Gegenfrage aufegworfen wurde: Wie souverän agiert ZenDiS eigentlich selbst? Eine IFG-Anfrage zum Datenschutz bei der ZenDiS GmbH hatte der Rechtsanwalt Stefan Hessel (reuschlaw) öffentlich ausgewertet. Sein Befund: Der Auftragsverarbeitungsvertrag ist formal DSGVO-konform, enthält aber keine Aussagen zum Risiko von Datenzugriffen aus Drittstaaten – etwa auf Basis des US CLOUD Act. Zudem sei nicht eindeutig geregelt, dass eine Verarbeitung ohne Weisung des Verantwortlichen nur dann zulässig sei, wenn sich die gesetzliche Verpflichtung hierzu aus dem Unions- oder deutschen Recht ergebe. Ein Befund, der angesichts der Zielsetzung von ZenDiS zu denken gibt.
Einen weiteren Gesprächsanlass bot eine Kleine Anfrage der Fraktion "Die Linke" im Bundestag (Drucksache 21/5091), auf die die Bundesregierung geantwortet hatte. Demnach verfügte die Bundesverwaltung zum 31. Dezember 2025 über knapp 7.900 openDesk-Lizenzen – inzwischen sind es über 8.700, von denen rund 8.500 aktiv im Produktivbetrieb genutzt werden. Auf die Frage, bei wie vielen dieser Arbeitsplätze eine Microsoft-Umgebung tatsächlich abgelöst worden sei, antwortete die Bundesregierung ernüchternd: Sie könne hierzu keine belastbare Aussage treffen. Von einer exklusiven Nutzung von openDesk als Ersatz für proprietäre Lösungen sei man noch weit entfernt.
Diskussion
Der Impuls von Alena Jakobs eröffnete eine engagierte Diskussion darüber, wer die Infrastruktur des Staates kontrolliert und im Ernstfall Zugriff auf Daten der öffentlichen Hand hat.
Alena Jakobs' persönlichen Blick auf die Diskussion:
Wohngeld digital gedacht
Sozialleistungen als Blaupause für die Verwaltungsmodernisierung
Der dritte Impuls kam von Dr. Florian Theißing, "Innovation Lead - Digitales Regierungshandeln" bei Agora Digitale Transformation.
Dr. Florian Theißing berichtete, dass Bürgerinnen und Bürger oft nicht am Inhalt eines Antrags auf Sozialleistungen, sondern am Zugang zu ihm scheitern. Wer für jede Leistung einen neuen Antrag ausfüllen muss, immer wieder dieselben Angaben zu Name, Adresse und Einkommen macht und dabei nicht erfährt, ob und was ihm zusteht, steht vor einem strukturellen Problem. Ein methodischer Kern des Agora-Ansatzes in dem von ihm vorgestellten Projekt ist daher die Arbeit mit Personas, also konkreten, fiktiven Stellvertretern für die Vielfalt realer Lebenslagen.
Die viel diskutierte Registermodernisierung löst das Problem nur zu einem kleinen Teil. Von 123 für den Wohngeldantrag relevanten Datenpunkten sind lediglich 35 in bestehenden Registern vollständig vorhanden. Weitere 14 sind nur teilweise verfügbar. Der größte Teil, darunter sensible Angaben wie aktuelle Miethöhe oder aktuelles Gehalt, existiert in keinem Register.
Das eigentliche Problem bei nicht-staatlichen Nachweisen wie Mietvertrag oder Lohnzettel ist heute ein analoger Medienbruch: Dokumente werden ausgedruckt, abfotografiert, eingescannt, per Post geschickt. Mit der EU Digital Identity Wallet könnten Antragsstellende verifizierte Daten direkt und sicher ins Amtssystem übermitteln, ohne Papier, ohne Medienbruch. Die Identifizierung über die Bund-ID scheitere heute oft an technischer Komplexität; die Wallet könnte diese Hürde erheblich senken.
Konkret empfahl Dr. Florian Theißing für den Zugang ein Portal als zentralen Zugangspunkt. Für die Entlastung von Kommunen und Mitarbeitenden plädierte er für konsequente Automatisierung von Regelfällen (mit vertrauenswürdiger KI), zentrale IT-Lösungen im Rahmen des Deutschland-Stacks und eine Rücknahme von Auftragsangelegenheiten
Die Forderung nach der Strukturreform und Digitalisierung Hand in Hand gehen müssen, stieß eine Diskussion zu der Frage an, welche politischen Voraussetzungen geschaffen werden müssen, damit die vielen vorliegenden Konzepte endlich in die Umsetzung kommen.
Siehe auch ADT_Studie_Blaupause_Sozialleistung.pdf
FOTI
FOTI (Future of Technology Institute) ist ein europäischer Think Tank, der sich mit digitalen Märkten und Technologiemonopolen befasst.
Tobias B. Bacherle, Germany Senior Lead beim Future of Technology Institute (FoTI) und LOAD-Mitglied stellte uns das Team von FOTI und sein Leitbild zur Unterstützung der Soveränität von Demokratien vor.
Den Kern des Vortrags bildete ein aktuelles FOTI-Forschungsprojekt: eine OSINT-Analyse zur Cloud-Abhängigkeit europäischer Verteidigungsbehörden, deren Ergebnisse ernüchternd ausfielen. Auf Basis öffentlich zugänglicher Quellen untersuchte FOTI, welche nationalen Verteidigungsbehörden in Europa Cloud-Verträge mit US-amerikanischen Hyperscalern abgeschlossen haben. Die überwältigende Mehrheit der untersuchten Länder weist ein hohes Abhängigkeitsrisiko auf. Besonders aufschlussreich war die Situation in den Ländern Frankreich und Italien: Frankreich schafft zwar Microsoft Office ab und entwickelt mit Nexium ein eigenes Betriebssystem, welches aber in Zusammenarbeit mit Microsoft entstand. Italiens „souveräne" Cloud-Lösung PSN (Polo Strategico Nazionale) läuft auf Google Assured Workload und Oracle Alloy. Tobias Bacherle nannte das treffend „hidden dependency", eine Abhängigkeit, die sich hinter dem Label der Souveränität verbirgt. Positiv herauszuheben sind Österreich, welches die Microsoft Office Suite weitgehend abgelöst hat, und die Niederlande, welche den Wechsel zu einer hyperscaler-freien Cloud von Thales und KPN ankündigte.
Tobias Bacherle nutzte den Vortrag auch, um aktuelle europäische Regulierungsdebatten zum Digital Markets Act (DMA) zu kommentieren. Auch die Chatkontrolle und der Digital Services Act (DSA) kamen zur Sprache: FOTI plädiere hier eher für Reform als für einen Rückbau mühsam erreichter Regulierungsstandards.
Diskussion
FOTI und LOAD teilen die Überzeugung, dass offene, faire und demokratisch eingebettete Technologie kein Selbstläufer ist, sondern aktiv erkämpft werden muss. Dass Bacherle den Think-Tank-Blick von FOTI und das zivilgesellschaftliche Engagement bei LOAD verbindet, machte das Gespräch besonders lebendig.
Sonntags-Debatte mit Klaus Landefeld (eco) zum Thema Vorratsdatenspeicherung
Ausnahmsweise hatten wir dieses Mal auch sonntags einen inhaltlichen Punkt auf der Tagesordnung. Mit Klaus Landefeld vom eco - Verband der Internetwirtschaft e.V. sprachen wir zum Thema Vorratsdatenspeicherung aus Anbieterperspektive. Positiv stimmte uns, dass auf die Eingabe des eco hin in der Verbändeanhörung zur neu geplanten anlasslosen Vorratsdatenspeicherung von IP-Adressen das Bundesjustizministerium ein kleines, aber wichtiges, technisches Detail im Gesetzentwurf noch geändert hat bevor er im Kabinett beschlossen wurde. Nämlich die Frage, wie lange genau IP-Adressen gespeichert werden müssen, die aus Sessions stammen, die schon länger als 3 Monate (der Zeitraum, den der Gesetzentwurf für die Speicherfrist vorsieht) aktiv sind.
Die Vorratsdatenspeicherung teilt sich aber dennoch das Schicksal mit der Chatkontrolle, sie scheint nicht totzukriegen. Im Gegenteil: Am 22. April 2026 hat das Kabinett den Gesetzentwurf zur dreimonatigen Speicherung von IP-Adressen und Portnummern beschlossen. Seit 1. Mai 2026 liegt er als Drucksache 263/26 im Bundesrat (Fristablauf 12. Juni), im Bundestag ist der Entwurf eingegangen, aber noch nicht beraten. Es ist der dritte Anlauf nach den 2010 und 2022 gekippten Vorgängern.
Der eco hat den Entwurf in seiner Stellungnahme vom 30.01.2026 deutlich bewertet:
Die Vorgaben schaffen „eine umfassende Überwachungsinfrastruktur, die insbesondere unter den Vorzeichen einer mangelnden richterlichen Kontrolle zu Missbrauch einlädt und unverhältnismäßige Auflagen für die Internetwirtschaft erzeugt."
Fehlender Richtervorbehalt, fehlende Vereinbarkeit mit EuGH-Rechtsprechung und hohe Kosten sowie technische Belastungen ohne erkennbaren Nutzen für die Strafverfolgung sind in der Stellungnahme angeführt. Parallel weitet die EU unter dem Stichwort „e-Evidence" den grenzüberschreitenden Zugriff auf gespeicherte Daten in den Mitgliedstaaten aus, bald auch auf über 90 Länder ausgeweitet, unter den Vorgaben der Cybercrime-Konvention des Europarates ("Budapest-Konvention").
In der Diskussion mit Klaus interessierte uns vor allem auch, was die neuen Vorgaben in Deutschland und der EU für Anbieter bedeuten würden, welche Probleme entstehen in der realen Anwendung? Im Rahmen der Diskussion wurde hervorgehoben, dass die ursprünglich vorgesehene Speicherfrist von drei Monaten in der Praxis deutlich längere Zuordnungszeiträume von IP-Adressen ermöglicht hätte, da Internetverbindungen und Adresszuweisungen häufig über viele Monate bestehen bleiben. Nach entsprechender Kritik wurde der Gesetzentwurf angepasst und auf die Speicherung des Verbindungsbeginns verzichtet. Zudem wurden erhebliche wirtschaftliche Belastungen für Unternehmen thematisiert. Die vorgesehenen technischen Anforderungen würden insbesondere durch getrennte Speichersysteme (die durch die EuGH-Rechtsprechung so vorgegeben sind) hohe Investitions- und Betriebskosten verursachen.