LNP552 Walkampf

Guten Morgen, Linus.

Guten Morgen, Tim.

Die Straße von Hormuz ist immer noch blockiert. Was ist denn da los?

Ich weiß gar nicht genau, wer die jetzt gerade blockiert, aber aus dem Wal können wir erstmal diese machen.

Logbuch Netzpolitik Nummer 552 vom 18. April 2026. Und was? Erlaube Wahl. Der Wahl blockiert alles, nichts läuft mehr. Der Medienstrom ist auch irgendwie komplett durcheinander geraten. Auf einmal unterhalten wir uns über solche Randthemen.

Also bisher, ich glaube, der aktuelle Stand ist, der Wahl konnte bisher nicht gerettet werden, weil eine Genehmigung fehlt. Und das ist, das sagst du mir, hättest du dir mal. Du lachst. Die haben nicht die notwendigen Genehmigungen. Da kann sich einfach jeder eine Wahl retten in Deutschland. Wo kommen wir denn da hin?

Vielleicht hat der Wahl einfach nicht den richtigen Antrag gestellt. Das kann natürlich auch sein.

Ja, da fehlt einfach ein Formular.

Die AfD ist ja der Meinung, das würde jetzt den Wahlkampf stören und ich frage mich, ob das ein Witz ist. So ein Wortwitz. Meinst du, die machen Wortwitze bei der AfD?

Nein, wenn man der AfD sagt, dass der Wahl ein Klimaflüchtling ist oder so, dann weiß ich nicht, ob die da noch Humor haben.

Ich glaube, die haben eh keinen Humor.

Wer aber, also was ich ganz lustig finde, ist, man kann ja erkennen, wie, also Trump terrorisiert da so die Leute um sich rum, also komplett Amerika, komplett Europa, die sind also, oh mein Gott, der ist auf dem Wunderschein, aber nicht hauen. Aber sobald er sich mal mit so Profis anlegt so Wladimir Putin, der dann sagt so ja was hältst du davon, wenn du mir hier in Alaska so einen roten Teppich ausrollst und dann weiß nicht, dann servierst du mir einen leckeren Shampoos und dann, gebe ich dir nur eine Ohrfeige und dann gehe ich wieder nach Hause, der weiß total mit dem umzugehen, und genauso diese Iraner die halt weiß nicht, die Profis sind seit Jahrzehnten eine komplette Bevölkerung zu unterdrücken, die sagen halt so hä was, also du willst jetzt die Straße, gar kein Problem, zack, bumm, machen wir die wieder zu. Und der ist die ganze Zeit am Deadlines verlängern und so weiter. Also siehst du wirklich, Das ist so wie in so amerikanischen Filmen, wenn der Bulli, oder das war nicht nur in amerikanischen Filmen, aber der Bulli, dann kommt auf einmal ein anderer Bulli und räumt den mal so richtig weg und hebt den dann mal hoch und knallt dem einen und dann siehst du auf einmal, dass der mit seinen eigenen Methoden einfach nicht klarkommt. Und ich will wirklich keine Sympathie für die iranische Regierung äußern.

Aber den Meme-War haben sie auf jeden Fall schon mal gewonnen.

Nein, es sollte, also sie erklärt zumindest, also sie zeigt auf jeden Fall, wie man mit Donald Trump umgeht. Ja, also es ist ja schon wirklich also was für ein Hirni ja, dann irgendwie dann kriegt er da abends einen Meltdown und beschimpft die dass sie endlich die scheiß Straße aufmachen sollen und drei Tage später sagt er, er blockiert die jetzt also, jetzt blockiere ich die und dann sagen die Iraner halt so, ja gut dann blockieren wir die halt auch wieder und oh nein, das ist wirklich oh man ey.

Ich glaube es ist fast gar nicht.

Möglich du hast mich noch gar nicht vorgestellt ja, Du warst doch unsere Überraschung jetzt.

Die Lösung aller Probleme. Wollten wir dich jetzt hier aus dem Ärmel ziehen?

Also ich habe nichts von irgendeinem Wal mitbekommen, aber was Trump und Memes betrifft, ich glaube, da kann man gar nicht verlieren. Ich erinnere an das Jesus-Meme von sich, was er gepostet hat. Es sind ja glaube ich schon mehrere. Also ein Kampf mit dem Papst anzufangen ist auch eine.

Ganz dumme Idee, aber spätestens nachdem diese Lego-Movies über Ihnen erschienen sind vom Iran, dann kann er gar nicht mithalten. Zu deiner Information, wir müssen ihn mal kurz hier mit reinbringen, also der Wal ist in der Ostsee gestrandet. Der ist irgendwie im tiefen Wasser und kommt nie raus und ist irgendwie verwirrt.

Im flachen Wasser, im tiefen Wasser kommt der ja zurecht.

Ja, du hast recht. Wollte ich auch sagen, flachen Wasser, also ist auf jeden Fall kommt nicht so richtig klar und jetzt versuchen sie ihn die ganze Zeit da irgendwie rauszukriegen. Dann ist er mal eine Weile weg gewesen, haben sie wieder gefunden, ist wieder hängen geblieben, also irgendwie und die ganze Zeit dreht es sich einfach um diese Wahl.

Die versuchen den abzuschieben. Die schieben den jetzt wirklich ab oder ziehen den ab, also abziehen, abschieben. Dem geht es inzwischen sehr schlecht, dem Wahl, sagen Wahlkennerinnen.

Mhm.

Das passiert ja alle paar Jahre mal, dass so ein Wal irgendwie seine Orientierung verliert und dann in diesen ungeeigneten Gewässern irgendwie auf Sandbänken rum festläuft.

Genauso wie Trump in der Straße von Hormuz halt auch irgendwie ins flache Gewässer gekommen ist und jetzt da so rumhängt und nicht vorwärts und nicht zurückkommt. Und alle Versuche von J.D. Vance ihn zu retten sind halt auch irgendwie nicht so, funktionieren alle nicht so richtig. Insofern passt das Gleichnis schon. Trump ist jetzt hier irgendwie der Wal von der Straße.

Der Wal tut mir leid im Gegensatz zu Donald Trump.

Ja, auf jeden Fall. Auf jeden Fall. Aber über den werden ja auch nicht so keine Meme-Videos gemacht über den Wal. Oder vielleicht gibt es das mittlerweile auch schon, keine Ahnung. Das Internet ist ja immer quick.

Aber der Dieter ist schon seit zwei Wochen oder so und irgendwie, dann haben sie gesagt, der wird da jetzt wahrscheinlich verenden. Dann haben sie jetzt gesagt, sie wollen irgendwie mit dem Luftkissen wegheben. Aber dann fehlte halt eine Genehmigung.

Das ist so deutsch. Was habt ihr denn mit dem Elch gemacht da in Österreich? Ich meine, den habt ihr doch irgendwie ordnungsgemäß wieder in den Wald geschickt. Also mit Abschiebung macht euch keiner was vor.

Leider, ja. Aber ich glaube, der ist uns einfach verloren gegangen. Also zumindest ich habe ihn aus den Augen verloren. Aber der ist dann einfach entweder in den Wald oder über irgendeine Grenze und aus den Augen, aus den Sinnen. Aber es ist eh gut, wenn wir alle mehr Empathie für Tiere üben.

Das stimmt.

Was ist mit dem Wolf in Hamburg? Haben sie den nochmal gesehen? Da wurde ja an der Alster eine Person von einem Wolf gebissen. Zum Beispiel auch unüblich, hast du eine Story. Also da hast du auf jeden Fall eine Story.

Keine Ahnung, bin ich nicht up to date.

Ja, man sieht, warum andere die Zoologie-Podcasts machen und nicht wir.

Wir wollen uns nämlich heute über Politik unterhalten und deswegen haben wir auch Thomas eingeladen und ja, es geht um...

Alter ist Verifikation. Wir wollen wissen, wie alt ihr seid.

Genau, stimmt. Wir wollen mal ein paar Daten sammeln von unseren Hörerinnen und Hörern. Wie alt seid ihr eigentlich? Seid ihr überhaupt alt genug, das hier zu hören?

Wir haben ja, das ist schon einige Sendungen her, schon ein bisschen darüber gesprochen, Australien hat das Social Media Verbot ab unter 13, glaube ich, oder ist das sogar unter 16 ausgerollt, hat dann nicht lange gedauert, bis das auch in Europa zur Debatte kam. Meine Position dazu und ich glaube inzwischen, also anfangs schienen die noch abwegig, aber inzwischen haben Leute glaube ich auch verstanden, dass ich also wenn man erkennt, dass jetzt beispielsweise Social Media oder Alkohol oder Zigaretten Probleme, für Menschen sind und dann ist halt nur Jugendliche davor zu schützen eben auch halb gedacht Das gesellschaftliche große Problem entsteht ja nicht unbedingt nur bei den Jugendlichen, wenn wir uns jetzt Alkohol und Tabak anschauen. Im Zweifelsfall oder Glücksspiel, also diese Dinge, die wir im Alter beschränken. Die haben dadurch eine relativ große Legitimation auch erfahren. Das rauchen, der ist 16, der darf rauchen, der kann sich seine Lunge ruinieren und mit 30 Jahren Leberzirrhose sterben und das ganze Geld in den Abziehautomaten da stecken. Das haben wir, im Prinzip sind diese Alterslimitationen schon recht gute Möglichkeiten. Dauerhafte Legitimierungssäulen auch eben für etwas Schlechtes. Weshalb ich ja gesagt habe, warum eigentlich nur für Jugendliche, warum nicht einfach ganz verbieten, den Quatsch. Hat aber weder keiner auf mich gehört. Warum, nur in Zusammenfassung, warum habe ich gesagt, Social Media zu verbieten, nicht Social Media als solches, aber vor allem diese Geschäftsmodelle, die von Facebook, Instagram und anderen betrieben werden, die darauf basieren, dass Menschen nach diesen Plattformen süchtig werden und in ihrem Verhalten durch diese Plattformen beeinflusst werden, weil das der Daseinszweck dieser Plattformen ist. Naja, so viel zur Vordebatte und dann hat jetzt die Europäische Kommission gesagt, boah wisst ihr was, voll geil, wir haben uns überlegt, wie man eine Altersverifikation bauen kann, weil wenn das dann demnächst alles kommt und wenn man irgendwie auf den Schaukelseiten zeigen muss, dass man 18 ist und bei Social Media zeigen muss, dass man 13 ist und das und das und das, da können wir doch jetzt mal hier unsere Technologieführerschaft, unseren Technologieführerschein unterbeweisen. Vorstellen und wir haben eine App jetzt gemacht, ageverification.dev und da habe ich gedacht, meine Güte, also unglaublich, jetzt irgendwie plötzlich gibt es eine Altersverifikations-App und ich glaube, da muss man wirklich sagen, ich weiß nicht, wie du das siehst, Thomas, das ist ja unglaublich schnell gegangen, also schlechte Ideen kriegen die immer ziemlich schnell umgesetzt und, Wie ist es denn weitergegangen mit dieser Idee?

Ja, also wir hatten diese Verlautbarung in dieser Woche, wir nehmen ja heute am 18. April auf und vielleicht kurz zur Historie, woher kommt das Ganze? Wir haben im Digital Services Act einen Artikel, der sich mit Jugendschutz beschäftigt. Und da war immer klar, die jetzige Form von einfachem Knopf, ja ich bin über 18, die funktioniert ja nicht wirklich. Da wollte man für Hochrisikoanwendungen, vor allem eben Pornografie. Irgendeine technische Möglichkeit schaffen von Seiten der EU-Kommission. Eigentlich hätte die digitale Brieftasche von i, dass das sein soll, aber da war allen klar. Die wird nicht rechtzeitig fertig, die wird vor allem nicht in allen Ländern gleichzeitig fertig und da machen wir eine Mini-Wallet zuerst, sozusagen wir lösen diesen einen Use-Case raus, geben den mit einer eigenen Vergabe an. Damals wurden vier Millionen Euro vom EU-Budget, glaube ich, an T-Systems und an der Tochter von Thales, dem französischen Konzern, vergeben. Die haben diese Open-Source-Wallet gebaut, die dann eben in allen EU-Ländern diesen Use-Case der Altersverifikation erfüllen sollte. Ursprünglich auch wirklich nur als über unter 18 gedacht. Und dieses Instrument hat man jetzt aber in dieser von Australien ausgelösten Welle des Social Media Altersverbots auch schon für 13-, 14-, 16-Jährige, da werden ja verschiedene Grenzen diskutiert. Das zieht man jetzt hier heran, um damit auch diesen Anwendungsfall abzudecken. Es ist ganz wichtig zu sagen, es gibt keine Rechtsgrundlage für diese Software. Das ist einfach etwas, das die Kommission so anbietet, aber das hat keinerlei Verbindlichkeit und ist auch nicht verpflichtend für irgendeine Webseite, das jetzt zu verwenden, statt anderen wegen das Alter zu verifizieren. Aber es war halt auch zum ersten Mal etwas, was mit Quellcode offen zur Verfügung stand und da muss man auch sagen, obwohl die Verlautbarung jetzt diese Woche kam, war der Quellcode schon seit einiger Zeit online. Und man muss da drei Dinge unterscheiden. Das eine waren so die Guidelines der Kommission, die klar festlegen, wie stellen wir uns Altersverifikation generell vor. Dann gab es dann Blueprint und dann gab es den Quailcode. Und den Qualcode haben wir uns gemeinsam mit der Johannes-Gepler-Universität in Linz auch vor ein paar Wochen angeschaut und wollten eigentlich einen vollen Audit machen. Und wir sind dann davon abgekommen und haben gesagt, nee, das kann man ja gar nicht auditieren, das ist ja alles mehr so Proof of Concept, das ist jetzt ein fertiges Produkt, das man schon so einsetzen könnte. Deswegen waren wir auch dementsprechend überrascht, als Ursula von der Leyen und Digitalkommissarin Henna Verkunen sich da vor die Medien stellten und sagten, it's ready. Weil das ist es nicht. Man hat nicht mal neue Software veröffentlicht, sondern eigentlich war das alles schon im GitHub. Die letzte Veröffentlichung dort war eine Zero-Knowledge-Library, nämlich die von Google, Google Longfellow, die nämlich hier auch eingesetzt wird. Komplex separate Debatte, wo ich es aber auch gefährlich finde, dass die Kommission jetzt auf einmal Google Libraries bei sich offiziell ins Repo mit aufnimmt. Aber anyway, das ist so, was da passiert ist und natürlich, wie zu erwarten, haben sich das dann auch viele andere angeschaut und innerhalb von Stunden sind kritische Mängel bei dieser Software gefunden worden, Dass das Ganze einfach offen ist wie ein Scheunentor und halt bei Weitem nicht jetzt diesen doch sehr heiklen Anwendungsfall mit Identitätsdaten bei Schaukelvideo-Websites sich zu verifizieren. Ist für mich ganz viel politisches Kleingeld dahinter, aber die Brisanz des Themas wird dem eindeutig nicht gereicht.

Also es gibt ja drei Leute, die ich jetzt, also ich habe nur den Heiser-Artikel dazu gelesen, einen, der sagte, also die PIN-Codes sind unzureichend gesichert, die Rate-Limits kannst du einfach durch, wenn du Konfigurationsdateien zurücksetzt, kannst du die Rate-Limits austricksen. Die biometrische Authentifizierung kannst du mit einem Klick deaktivieren. Touch-ID und PIN-Code kannst du auch einfach überspringen. Aber die, Also ich tue mich so ein bisschen schwer damit zu sagen, das sind Sicherheitsprobleme. Weil das sind ja jetzt erstmal, also glaube ich, eigentlich ist die App selber eher ein Sicherheitsproblem. Also ich finde das, also es ist keine, ich glaube nicht, dass es eine so gute Idee ist, so etwas zu bauen, weil es für Tracking, für allerhand Geschäftsmodelle im Internet auf jeden Fall sehr interessant ist, irgendein staatliches Siegel für, sei es ein Alter, sei es eine Identität oder sonstiges zu haben. Deswegen habe ich jetzt gar nicht so ein schlechtes Gefühl damit, wenn diese dämliche App halt irgendwie am Ende, sagen wir mal, nutzlos und kaputt ist. Und sagte dann auch einer, Olivier Blasie sagt, nehmen wir an, ich lade die App herunter und beweise, dass ich über 18 bin, dann kann mein Neffe meinem Telefon nehmen, die App entsperren und sie nutzen und sich selbst als volljährig ausweisen. So jetzt, wenn man das Problem, wenn man diese Problembeschreibung nimmt, was wäre die Lösung? Naja, also irgendwie noch härter sicherstellen, dass eine bestimmte Person am Gerät ist, aber noch härter und noch klarer sicherstellen, dass eine bestimmte Person am Gerät ist oder jedes Mal diesen Altersnachweis zu führen, was auch immer du tun würdest, um sicherzustellen, dass nicht gerade ein Neffe an deinem Gerät ist. Sind ja recht harte Maßnahmen in meiner Wahrnehmung, die nehme ich immer als Maßnahme gegen den Nutzer wahr und nicht als Maßnahme für den Nutzer und insofern weiß ich noch nicht mal, ob ich das jetzt unbedingt als eine Kritik, also ob das eine Schwäche dieser App ist, die ich. Für mich betrachten würde oder ob ich eigentlich sagen würde, nee, ist doch super, baut mal richtig schönen Schrott und dann können wir alle einen Altersnachweis teilen auf 80 Millionen Geräten und haben diese dumme Technologie einfach im Keim erstickt.

Ganz ehrlich halte ich auch für total hilfreich bei so einer unnötigen App. Ich meine, man sollte sie dann erst gar nicht bauen, aber ich habe meinen Schülerausweis auch gefälscht damals. Das ging ganz easy mit Tintenkiller, das hatten wir auch in der Schule schon. Und auf einmal ist man ein paar Jahre älter und das ist ein Ried de Passage, das ist etwas, das dazugehört. Und natürlich wird das auch jeder und jeder Zwölfjährige schaffen, wenn sie ein Interesse dafür entwickeln. Also ich glaube, nichts, was wir hier bauen oder rechtlich diskutieren, wird in der Praxis den erwünschten Effekt erzielen. Und das merkt man an so simplen Aussagen der EU-Kommission auf eine journalistische Nachfrage. Was ist denn jetzt, wenn Touristen nach Europa kommen und können die dann auch diese App verwenden? Die Antwort der Kommission war, na die sollen halt VPNs verwenden.

Wir fehlen selber die Umgebungsmaßnahmen für ihre. Okay, aber wir machen das Internet kaputt, ihr braucht eh ein VPN. Aber stell dir mal vor, als Tourist, Europa, da fahre ich nie wieder hin. Da kannst du überhaupt nicht mehr die schönen Sachen im Internet angucken. Kannst gar nicht mehr die schönen Seiten des Lebens genießen, weil alles irgendwie ab 13, 16, 18, 25, 1, 20, 12.

Die meisten sagen ja eh, okay, ich habe so viel über Cookies gelernt, seit ich in Europa bin. Aber ja, VPN sind ja auch immer die beliebtesten Apps in den App-Stores, sobald solche Altersverifikationssysteme ausrollen in einem Land. Das war bisher immer so. Weil das Erste, was die Leute wollen, ist irgendwie raus aus dieser Hölle und diesem Wahnsinn. Aber auch da gibt es natürlich wieder ganz viele Konsequenzen, die nicht mitbedacht sind. Weil VPNs kosten oft Geld. VPNs brauchen auch Digital Literacy. Also gerade jene, die vielleicht besonders von dem Zugang zum Netz profitieren würden, die werden hier oft dann erst recht ausgeschlossen. Und es sind vielleicht dann wirklich auch von gewissen Angeboten, die bringen sie halt in der Praxis nicht mehr hin. Oder gerade wenn du ein besonders langsames Internet hast, dann kann ein VPN es halt auch noch langsamer machen. Also all diese Dinge, ja.

Ja, also das und es steht den meisten Leuten nicht zur Verfügung, also was du gerade schon sagst, wenn man jetzt also eine Altersverifikationsfunktionalität hat, Insbesondere, wenn sie dann auch noch zentral gebaut wird. Ich muss übrigens hier diese Idee sowieso schon mal in Frage stellen. Sie sagen, ja, nee, Mensch, supergeil, wir haben das vereinheitlicht. Dann können nämlich demnächst, da müssen Facebook, Instagram und so weiter nicht ihre eigene Altersverifikation implementieren, sondern wir machen eine zentrale komplett kaputte für alle. Super. Total guter Service. Da werden die sich bedanken, dass sie den Scheiß nicht selber bauen müssen. Aber wen triffst du wirklich damit? Den größeren Teil der Internetnutzerinnen, die ein bestimmtes Alter haben, die nervst du einfach nur, weil sie es irgendwie machen müssen. Für die baust du ein Datensammel, Tracking und sonstiges Risiko und Ärgernis. Es ist einfach nur, betrifft die alle, nervt die alle. Aber die meisten EU-Bürgerinnen werden auch keinen starken Drang verspüren, das zu umgehen. Also werden sie es halt einmal machen und sagen, boah endlich, ey gut, jetzt hier, oh scheiße, neues Gerät. Jetzt muss ich das wieder machen, boah scheiß EU, aber sie werden es einfach sie werden es am Ende machen, die werden nicht sagen, ich hole mir stattdessen VPN oder so das heißt, beim größeren Teil der Bevölkerung hast du sowas einfach ausgerollt dann gibt es die Menschen, gegen oder für, die du das baust, die ein bestimmtes Alter nicht haben und die werden sowieso so oder so einen Weg finden, das zu umgehen und am Ende bleibt dir halt nichts, also am Ende hast du einfach nur Du hast noch nicht einmal den Effekt, den du wolltest. Du hast einen riesen Aufwand getrieben, viele Leute genervt, ein Tracking-Risiko geschaffen, ein Ärgernis geschaffen und keines von den Problemen gelöst, die du meinst lösen zu wollen.

Bezüglich Tracking, also es gibt diesen kleinen Teil der lösbaren technischen Probleme bei dem Thema, dass du eben wirklich saubere Zero-Knowledge, dass es du übertragst, nur ob du über oder unter der Altersgrenze bist, nicht mehr unlinkable, dass es nicht trackbar ist und unobservable, sodass du eben nicht von zentraler Stelle, von statischer oder Betreiberseite eben zuschauen kannst, wo die Menschen ihr Alter verifizieren, bei welchen Websites. Aber auch da, das wären die Dinge, die wir uns im Audit hätten gerne angeschaut. Nur am Ende ist das nicht das Entscheidende. Ich glaube, der Effekt einer solchen Software ist ein ganz anderer. Wie du sagst, das wird im Alltag ein Ärgernis sein. Und da würde ich jetzt auch wirklich mahnend sagen, das wird wieder nur den Rechten helfen. Also wir haben es in der Debatte im Plenum des Europaparlaments gesehen. Die einzigen Parteien, die wirklich geschlossen dagegen waren, waren die rechtsextremen Patrioten und ECR. Und das ist wirklich ein Thema, wo viele Parteien, auch die Grünen, gerade noch so in der Sinnfindung sind. Und in Österreich gab es jetzt auch eine Ankündigung der Regierung, dass man sich darauf geeinigt hat, im Sommer ein Gesetz dazu zu machen. So eine Social-Media-Altersgrenze soll dann kommen. Über den Sommer wird das Ganze in Begutachtung gehen. Und in Deutschland glaube ich, gibt es ja eine ähnliche Debatte, aber da verweise ich jetzt wirklich auf das, was wir auch schon gebietsmühlenartig wiederholen, was der Deutsche Bundestag jetzt auch gesagt hat. Es gibt diesen Handlungsspielraum nicht national. Das ist ein Thema, was eigentlich europäisch zu lösen wäre und, Jetzt auch das Gesetz, was in Frankreich gerade vorgebracht wird und auch in Griechenland gibt es gerade eines, an dem gearbeitet wird. Die sind halt alle zum Scheitern verurteilt, weil wenn ein Unternehmen sich nicht daran halten will, sehr wahrscheinlich würden sie beim EuGH Recht bekommen, wenn sie denn klagen oder wenn eine NGO dagegen klagt. Deswegen ist es sehr wahrscheinlicher, dass die EU hier früher oder später etwas tun wird, wenn man das Thema wirklich stabil haben will, dann müsste man es europäisch bauen. Und da ist für mich halt der Höhepunkt der Doppelzünglichkeit, weil, wie du vorhin gesagt hast, Linus, eigentlich geht es uns ja darum, das Geschäftsmodell zu verbieten. Das wäre die Lösung für alle. und wir haben sogar da auch Gesetze dafür, nämlich den Digital Services Act. Der würde uns ganz viele Hebel in die Hand geben und so wirklich Milliarden Strafen könnten da am Fließband rausgegeben werden. Wir haben jetzt eine Strafe, die vergeben wurde wegen dem DSA.

Was war nochmal die erste DSA-Strafe? Wir haben darüber berichtet, da haben die Sektkorken geknallt, da haben wir bis in die Nacht Feuerwerk gemacht.

Ich glaube, es waren irgendwie 100 Millionen oder so ein dreistelliger Betrag.

Das war bestimmt Facebook.

Ich glaube. Auf jeden Fall. Wir haben diese eine Entscheidung und alles andere sind nur sogenannte Preliminary Findings. Also da ist man sich eigentlich, das sind alles Verstöße, die aber nur in dieser Kategorie, aha, wir haben hier ein Erkenntnis.

Anfangsverdacht oder was?

Anfangsverdacht, genau. Aber nicht eben so, okay und deswegen jetzt hier auch der Pricetag und das kann ja glaube ich bis zu 10% des globalen Umsatzes gehen, also wirklich viel Geld. Und das tut man nicht. Natürlich, weil der eine Arm der Kommission müsste diese Strafen aufteilen und der andere Arm der Kommission ist in den Verhandlungen mit Donald Trump. Und das wird ja durch die Trump-Administration ganz klar in einen Zusammenhang gestellt und die sagen, hey, mehr Strafen gegen Big Tech heißt höhere Zolle auf Stahl und Aluminium. Und das ist halt das Kernproblem, dass die Kommission eigentlich das Problem lösen könnte und ich glaube, diese ganze Altersverifikationsdebatte ist nur eine Ablenkung davon, dass wir keine saubere Rechtsdurchsetzung gegen Big Tech haben.

So, jetzt haben wir aber, also wir haben jetzt eine wunderschöne, eine vorschnell kaputt gelaunchte Altersverifikations-App nochmal, also mich besorgt, die Idee, das überhaupt machen zu wollen, sehr viel mehr als eine kaputte App. Ich würde auch einen Teufel tun, dazu beizutragen, wie man die besser machen kann oder so. Das halte ich wirklich für keine kluge Idee und nur um das Argument auch abzurunden, nicht nur, weil es Menschen daran gewöhnt, andauernd ihren Ausweis online zeigen zu müssen, nicht nur, weil es zu umgehen ist, sondern auch, weil ich es wirklich auch vom regulatorischen Ansatz her für die falsche Idee halte. Also nochmal der Vergleich zu Alkohol und sonstigen Dingen, das ist ungesund und es wäre besser, diese Schäden von der Gesellschaft gesamt fernzuhalten, was weiß ich, darüber aufzuklären und sonstiges. Und in diesem, wir prüfen dein Alter, in all diesen Gedanken steckt immer auch drin, irgendwann bist du halt selber schuld. Und das mag auch sein, das mag auch richtig sein, also es hat ja auch irgendwas mit Mündigkeit zu tun, ja, aber diese Mündigkeit muss halt auch hergestellt werden. Ich sehe halt wirklich nicht, wenn man sagt, das Internet überfordert Kinder und da gibt es viele Gefahren für Kinder, würde ich sicherlich zustimmen. Ja, aber wenn man dann sagt, deswegen haben wir hier eine Altersurrogations-App Vibe gecodet, das ist ja nun wirklich nicht die Lösung für das gesellschaftliche Phänomen, mit dem wir hier zu tun haben. Ja. Dass auch in der Herausforderung besteht, dass du diese Kinder, die du eventuell vor bestimmten Inhalten in diesem Netz bewahren möchtest, gleichermaßen irgendwie darauf vorbereiten musst und dahin führen musst, dass es die gibt, damit sie irgendwann einmal kompetent damit umgehen. Und da fürchte ich halt, dass du unterm Strich mit so einer Altersverifikation, die nämlich genau in den Fuß schießt, dann stellen die sich alle als Älter dar, werden auch für Älter gehalten oder als Älter eingestuft oder Menschen sagen dann ja, wieso, das war doch eine Ab-18-Chat-Seite, da muss ich doch davon ausgehen, dass ich nicht mit irgendwelchen 13-Jährigen chatte. Also da kommen halt diese ganzen real existierenden Folgen, die so etwas haben kann, wenn man so etwas baut und dann die Lösung der richtigen Probleme nämlich in den Hintergrund geraten wird. Wir müssen uns ja gar nicht mehr um Jugendschutz im Internet kümmern, die Kinder sind da ja nicht.

Ich finde eine gute Analogie zu diesem Thema Social Media Altersverbot ist Fahrradfahren.

Wollen Sie mir das jetzt auch verbieten?

Auch will ich nicht.

CDU will mir das verbieten. Die wollen Autozwang jetzt einführen in Berlin.

Auto? Okay.

Nein, die wollen autofreies Berlin verbieten. Lassen wir das.

Ich habe es jetzt ganz kurz geglaubt, was wirklich schon erschreckend ist und viel aussagt über mich. Nein, aber bei Fahrradfahren ist es ja auch so, das ist gefährlich. Insbesondere ist es gefährlich für Kinder, Kinder Fahrrad zu fahren. Die haben viel höhere Risiken dabei.

Weil die noch ungünstigere Größen haben für die SUV-Stoßstangen.

Ganz genau.

Das ist ein körperlicher Mangel, den Kinder mit sich bringen.

Wobei, als ich zuletzt vor Trump in New York war, habe ich auch SUVs gesehen, die auch mir irgendwie bis zur Schulter gehen. Also da gibt es keine Grenzen bei den Amis. Aber zurück zu den Fahrrädern. Wir haben halt gerade, weil wir diese Risken sehen, dann Maßnahmen getroffen. Nicht nur mit Verkehrsordnung. Also Regeln für alle, aber dann auch, ich weiß nicht, ich habe noch als Kind so einen Fahrradführerschein gemacht, ja, in der Volksschule. Wir haben Helme, wir haben extra Reflektoren.

Haben Sie dann wahrscheinlich bald wieder abgenommen.

Das ist wie ich feiere. Und wir geben hier, wir sind auch alle, glaube ich, das will ich zumindest über unsere Gesellschaft glauben, auch ein bisschen vorsichtiger unterwegs. Weil das könnten halt eben auch Kinder sein im Straßenverkehr. Deswegen gibt es diese Schilder, dass man rund um Schulen besonders vorsichtig und langsamer fahren muss. Und wir versuchen das System so auszulegen, dass es auch die Jüngsten schützt. Und was ich glaube, dass man jetzt hier irgendwie durch diese Maßnahmen versucht zu erreichen, wir verbieten den Kindern das Fahrradfahren, um sozusagen sie vor dieser einen Gefahr zu schützen, obwohl sie dadurch eben viel schlechter vorbereitet sind auf Straßenverkehr generell und wir eben auch die Sorgfaltspflicht im gesamten System dadurch mehr schleißen lassen, weil einfach dieser Anreiz auf die besonders Schutzbedürftigen Acht zu geben wegfällt.

Also wir fordern Social-Media-Helmpflicht und Stützräder. Damit wären wir. Und Internetführerschein. Aber jetzt haben wir, wir haben das ja, das war jetzt quasi nur das Bonbon, ja, die wunderschöne Idee der Altersverifikation. Immerhin sollten wir zumindest im Rahmen der Vollständigkeit würdigen. Du hast es gerade so ein bisschen am Rande gesagt. Sie haben sich bemüht, hier etwas mithilfe von einer Google Library zu bauen, wo man nicht dauerhaft jedes Mal seine Identität zeigen muss. Den Punkt muss man ihnen geben. Da haben sie die richtige Google Library, die sich gegoogelt. Wir haben aber ein viel größeres Problem vor der Tür und das ist die EIDAS-Verordnung. Du warst, ich glaube, es ist etwas über ein Jahr her oder so, dass wir da zum letzten Mal mit dir darüber gesprochen haben. Und das ist jetzt auch schon, wann ging das los?

2021. Juni 2021.

Da geht es nicht nur darum, irgendwie einen Altersnachweis-App zu machen, sondern wirklich einen elektronisch nutzbaren Personalausweis europaweit zu etablieren. Wir haben für diejenigen, die vielleicht die vorherigen Sendungen nicht gehört haben, schon viel darüber gesprochen, Seit auf jeden Fall mehr als zehn Jahren gibt es in Deutschland ja den elektronischen Personalausweis, der dann irgendwann neuer Personalausweis genannt wurde, damit EPA-frei wurde für die elektronische Patientenakte. Dieser ist mit einer Smartcard ausgestattet und es gibt sehr wenige aber funktionierende Anwendungszwecke, sich beispielsweise damit auszuweisen. Man kann damit digital signieren und man kann mit diesem Personalausweis eine Menge Dinge umsetzen. Leider hat sich die Bundesrepublik Deutschland primär darauf konzentriert, den Personalausweis auszurollen und dann nicht die Infrastruktur dafür zu schaffen. Auch nicht selbst. Was finde ich daran sehr schön? Du hast eine getrennte Karte. Es ist quasi dieses überhaupt Ausweis zeigen, bleibt ein hoheitlicher Akt. Dass du den rausholen musst, irgendwie da dran hältst, die Ausweis-App 2 und so weiter. Und da sind, interessanterweise funktioniert die sogar relativ stabil, wenn man das mal so machen muss, Kontoeröffnung oder so. Und ich finde das eigentlich ein ganz sympathisches System, gerade weil es halt so ein bisschen komplizierter ist, weil es ist nichts. Nicht dazu verleitet, das inflationär zu verwenden. So, jetzt haben sie aber festgestellt, okay, damals, als der ausgerollt wurde, glaube ich, da gab es noch nicht mal so wirklich Smartphones oder zumindest keine mit NFC-Chips, die so einen Personalausweis auslesen konnten. Und dann haben sie irgendwann festgestellt, okay, die Smartphones haben NFC-Chips, wir können eine App machen und den Reader nutzen, um eventuell den Ausweis auszulesen. Und dann haben sie gesagt, oh, guck mal hier, die haben auch so ein Secure Enclaves und so weiter, lass uns doch mal einfach direkt den Personalausweis auf das Handy deployen. Das ist so im weitesten Sinne die technologische Entwicklung. Stellt sich mir die Frage, wofür will man das überhaupt haben? Also warum, wie konnten es Zivilisationen vor uns so lange aushalten, ohne einen Ausweis auf dem Handy, ohne dass ihnen irgendetwas gefehlt hat? Also das ist ja erstaunlich. Die haben das ja in einen Ketz, niemand hat das beklagt. Warum wollte das jetzt, womit begründen sie, dass sie das machen wollen?

Also wenn wir uns zurück in diese Zeit hineinversetzen, im Juni 2021, als die EU-Kommission diese IDAS-2-Verordnung vorgestellt hat, dann war das ja noch relativ nahe an Corona. Ich glaube, dass das wirklich im Denken der Menschen eine ganz starke Rolle gespielt hat. Weil, Ich hatte auch so immer ein bisschen die Theorie beim Lesen der Rechtstexte, dass man das sehr schnell aus der Tür rausbringen wollte, um noch von dieser Stimmung zu profitieren und das in dem Kontext zu positionieren, wo wir alle zu Hause waren und jede Art von Behördengang und auch vieles gesamtgesellschaftlich auf einmal digitalisiert wurde. Und vielleicht ist Ihnen eh schon aufgefallen, es ist die IDAS-2-Verordnung, weil es gab schon eine erste Version dieses Gesetzes aus 2014 und davor gab es in den 90er Jahren schon so Regeln und Richtlinien der EU zu diesem Thema generell. Die Ausgangssituation damals war eine sehr diverse. Du hattest große Unterschiede zwischen den EU-Mitgliedstaaten. Manche hatten schon App-basierte Lösungen, andere hatten, so wie Deutschland, Und etwas, wo du eine Karte… Fünf Blockchains hatten wir. Genau, ja. Also Deutschland hatte ja noch dazu auch diese Version, die glücklicherweise, bevor sie ausgerollt ist, gehackt wurde. Und die dadurch sozusagen gar nicht erst auf die Bevölkerung losgelassen wurde. Und da hat die EU halt einfach gesehen, nee, wie es so die Denke der EU ist, wir wollen hier eine Vollharmonisierung machen. Weil davor war das System, jedes Land hat seine eigenen digitalen Identitätssysteme und dann gibt es diese gegenseitige Anerkennung, sodass du mit einer dänischen digitalen Identität auch in Österreich deine Steuererklärung machen kannst. Falls du jemand aus Dänemark bist, der jetzt gerade in Österreich irgendwelche Geschäfte abwickelt und so weiter. Das war einfach ein, jeder Staat muss sozusagen gegenseitig autorisieren, dass man dem auch vertraut. Und davon wollte die EU weggehen und sagen so, nein, wir bauen jetzt ein System, das grenzüberschreitend ein gleichbleibendes Vertrauensniveau etablieren soll. Das ist die typische Denke der europäischen Integration, dass du sagst, hey, wir haben hier einen Binnenmarkt, wir haben Freizügigkeit innerhalb der Union und je mehr Grenzen wir abbauen können, umso besser. Und das war dann aber in diesem Bereich natürlich nochmal getragen von den klassischen Argumenten, Verwaltungsdigitalisierung, da gibt es große Einsparungspotenziale und wir wollen ja, dass es mehr E-Government gibt. Aber eben auch diese Sache mit, Menschen müssen sich auch online ausweisen, wenn sie zum Beispiel Bankkonten eröffnen wollen oder bei Mobilfunkverträgen. In vielen Ländern gibt es eine Registrierungspflicht, wenn man eine SIM-Karte haben will. Und natürlich dann auch so diese ganze Frage mit Betrugsbekämpfung und all das hatte immer schon den Hintergedanken, dass man damit der Wirtschaft einen Gefallen tun will. Weil oft gibt es ja diese Vorgaben, deine eigenen Kunden zu identifizieren, sind oft rechtliche Verpflichtungen. Nennt man Know Your Customer, KYC Obligations und da geht es einfach um Haftungsfragen und wenn das Gesetz dir was auferlegt, dann muss es dir auch sagen, wie erfülle ich das, sodass ich da in meiner Compliance einen Haken drunter setzen kann. Und das war auch etwas, das ganz stark in die Verhandlungen reingespielt hat. Das sieht man auch an den vielen Stellungnahmen des Finanzsektors, der Banken, von Visa und Mastercard. Die hatten eine gewichtige Stimme in diesem ganzen Prozess. Zuletzt war es natürlich auch noch dieser Punkt digitale Souveränität. Wir erinnern uns, damals gab es ja auch dieses Contact Tracing, die Stop-Corona-App und die Corona-Warn-App und damals hatte die Kommission so den Eindruck, Big Tech hat uns hier irgendwie das Heft des Handelns entrissen, die haben entschieden, welcher Standard es ist und wir durften es nicht festlegen. Und diesmal wollen wir die Ersten sein und wollen, dass wir die Technik bauen und die Regeln festlegen, an die sich die anderen dann halten müssen und nicht, dass Big Tech uns hier vorankommt oder zuvorkommt. Das waren so grob zusammengefasst die Dinge, die man von der Kommission gehört hat damals.

Also Bankkontoeröffnung oder also die wenigen geschäftlichen Akte, Bankkontoeröffnung, Handyvertrag oder so, wo man KYC durchlaufen muss. Okay, verstanden. Banken. Dieser Bedarf ist auf jeden Fall nochmal sind Banken und Mobilfunknetze, deren Bedarf ist auf jeden Fall relativ stark, weil man vielleicht das auch selber kennt, wenn du jetzt irgendwie so sagst, okay, ich will das hier haben, ich will das hier machen. Die Abbruchrate ist einfach super hoch in dem Moment, wo die dann sagen, jetzt machen wir einen Videocall mit deinem Ausweis oder so. Und also diesen. Diese Motivation kann ich verstehen. Ich kann vor allem verstehen, warum die halt total dahinter sind und sich total freuen und sagen, ja, mach das bitte, weil wir sehen ja, wie viele Leute abbrechen bei unseren Kontoeröffnungen. Was ich aber interessant finde ist, ja, ja, wir wollen Big Tech zuvorkommen und so weiter. Ich meine, Big Tech wird doch so etwas richtig, ein richtig schönes Geschenk sein, wenn du sagst, jo, achso, ihr habt das eine große Problem, oder sagen wir mal so, weil ihr im Internet die Leute nicht so gut identifizieren konntet, habt ihr unter anderem Social Media erfunden. Ja, damit du sagen kannst, okay, wir wollen, dass die Leute Identitäten bauen, einzelne Accounts, über die sie möglichst viel über sich verraten, wo sie eine zentrale Identifikation, Identisierung, Wahrnehmung, Personensammlungsstelle haben, wo sie keinen so großen Incentive haben, zwei oder drei oder fünf zu haben, wo sie immer eingeloggt sein wollen und immer schön sagen, das interessiert mich, das würde ich gerne kaufen. Hier habe ich geklickt, Like. Und da jetzt noch zu sagen, come on top, machen wir jetzt auch noch eine staatlich verbriefte Identität, das spielt ja noch total in die Hand. Und nicht nur denen, sondern auch jedem anderen, der nämlich... Sowas gerne hätte, aber sich nicht leisten kann, Facebook zu bauen.

Ja, also wenn man zurückgeht, Ursula von der Leyen hat damals auch EIDAS begründet mit, ihr kennt das alle vielleicht noch, dieses Login with Facebook oder Login with Google oder Apple hat das ja auch, diese Möglichkeit, dich über den Account, die du schon bei diesen Big Tech Firmen hast, auch bei Drittanbietern einzuloggen. Und das hat nie Sinn ergeben, aber das war immer schon eine der erwähnten Begründungen, Dem wollen wir auch was Europäisches entgegenstellen, dass du dann in der digitalen Brieftasche auch deine Logins für beliebige andere Dienste drin haben kannst.

Ach, das wollen die auch noch machen, ja?

Ja, in der technischen Ausgestaltung sind das jetzt einfach Parskeys, also WebAuthn. Und da kann ich am Ende noch was sagen, in den aktuellen Debatten will man sogar sagen, ja ja, aber jede beliebige Parskey-Implementierung und auch dezentrale Parskeys erfüllen das. Weil im Gesetz gab es eigentlich eine Verpflichtung für die Big Techs dieser Welt, die Very Large Online Plattforms, wie es im EU-Rechtssprech heißt, dass sie die Brieftasche unterstützen müssen als Weg, um sich in ihren Diensten einzuloggen. Aber das war ja auch immer das andere. Wenn ich mich bei Facebook einlogge, dann ist das ja nicht das Login mit Facebook oder Login mit Apple ID. Das ist ja genau der andere Teil dieser Geilhock.

Vielleicht müssen wir das einmal noch ganz kurz erklären. Log in with Google, log in with Apple, log in with, hast du nicht gesehen, GitHub macht das auch, Microsoft sowieso. An Microsoft kann man es eigentlich am ehesten noch erklären, woher diese Technologie kommt, also warum sich die mal jemand ausgedacht hat. Du gehst hin und sagst, okay, hier, ich habe eine Firma, in meiner Firma arbeiten so und so viele Leute, die habe ich in meinem Entra-ID drin, da sind die verwaltet, wer da drin ist, hat ein Account bei uns, kriegt eine E-Mail-Adresse und so weiter. Und jetzt nutzt du mit dieser Firma einen beliebigen Software-as-a-Service, was weiß ich. GitHub, GitLab, irgendeine, kannst du mal ein selbstgehostetes Ding nehmen, muss doch nicht mal Software-as-a-Service sein, hostest irgendwie ein firmeneigenes GitLab. Dann bindest du das an diese Single-Sign-On-Infrastruktur an und sagst, lass bitte jeden rein, traue Microsoft als Identitätsprovider. Wenn die sagen, hier hat sich jetzt gerade Linus Neumann angemeldet, dann gib den einen Account, Linus Neumann, lass den den nutzen und wenn die sich, wenn du musst quasi keine eigenen Nutzer mehr dann für dieses was weiß ich, GitHub, was du dir hochgezogen hast oder ein Pad oder was auch immer, musst du quasi keine eigene Nutzerinnenverwaltung mehr haben und du kannst auch an einer zentralen Stelle die wieder entziehen und sagen so, alles klar, keine Ahnung, Linus hat gekündigt, kein Bock mehr auf den Scheiß, zack, Account deaktiviert, dann kann der sich bei allen Services nicht mehr anmelden. Und für so eine Enterprise-Management von Mitarbeiterinnen und Mitarbeitern ist das eine sehr sinnvolle Technologie, weil du sonst Schwierigkeiten hast, überhaupt Leute sammeln über ihr Leben Zugänge und Accounts und so weiter und dann kriegst du ja eventuell gar nicht mehr aus den Zugängen, die sie in deiner Firma haben, überhaupt wieder ausgeschlossen. Ja. Wenn du aber jetzt hingehst und sagst, ach so übrigens, wir sind Facebook und wir machen das auch und du kannst dich hier mal spontan schneller bei dem nächsten Service anmelden, bei dem Online-Shop was bestellen und so, dann schaffst du natürlich eine Abhängigkeit auf dich. Ja, weil jetzt bist du auf einmal Identitätsprovider und zwar gegenüber Dritten für Leute, die deine Kunden sind oder die bei dir Accounts haben, nicht Mitarbeitende, wo du jetzt beispielsweise, keine Ahnung, sagen willst, ja, natürlich darf der unseren Anthropic-Firmenaccount nutzen im Rahmen der Usage-Limitations mit der und der Rolle oder so. Aber wenn du das halt umdrehst und sagst, hey geil, du hast ein iPhone und du hast 85 Login-with-Apple-Dingern, dann hast du 85 Accounts an deinen Apple-Account gebunden, was den eben natürlich für den Anbieter sehr viel wertvoller macht und den Login sehr stark erhöht.

Ja, dann wird es nochmal schwieriger zu Android zu wechseln. Also all diese drangehängten Accounts überall da, den Identitätsprovider, von dem weg zu migrieren ist sehr, sehr schwierig. Und ja, das waren alles so die Gründe, die man gehört hat von Seiten der EU-Kommission. Aber es ist ganz wichtig herauszustreichen, dass die Architektur von dem, was IEDAS in dem Vorschlag war, ist nicht nur dieser Bereich von, da sagt ein Gesetz, dass du dich identifizieren musst und hier hast du deinen Reisepass in dieser App und du verwendest das auch nur an den Stellen, wo ein Gesetz vorliegt. Dir vorgibt, dass du dich identifizieren musst. Man hat von vornherein gesagt, dieses System ist General Purpose. Du kannst dir beliebige Attribute drinnen haben, die können von beliebigen staatlichen Stellen kommen, wie zum Beispiel einen Führerschein oder vielleicht auch einen Behindertenausweis, aber eben auch aus der Privatwirtschaft. Das können irgendwelche Customer-Royalty-Programms sein, also sowas, weiß nicht, in Österreich ist es die EU-Bonuskarte, ich weiß nicht, ob der Rewe in Deutschland irgendeine Kundenkarte hat, sowas.

Pay-Dingens. Jedes Mal, wenn du an der scheiß Kasse stehst, wie heißt das nochmal? Payback. Da denke ich ja auch mal, ey, wartet mal, bis Payback ist, Leute.

Oder Kundenkarten, die beliebige Art. Also jeder Laden schmeißt ja auch eigene Kundenkarten raus. Es geht immer um die Wiedererkennung.

Voll. Also alles, was man jetzt auch so in der Apple-Wallet oder der Android-Wallet drinnen hat, der Google-Wallet hat, das soll da auch als Attribut reinkommen. Und all diese Eigenschaften über eine Person, diese personenbezogenen Daten können auch nicht nur gegenüber dem Staat und der Bank, die vielleicht ein Gesetz hat, sondern gegenüber beliebigen Dritten bewiesen werden. Und das macht das Ganze natürlich zu einem viel größeren Impact auf die gesamte Gesellschaft, wo es halt auf einmal auch um ganz viele Use Cases geht, wo es eben Identifikation absolut toxisch ist und nicht mehr im Interesse der User, der Menschen, der Bevölkerung ist. Aber das war immer schon so in dem Design drinnen. Ja, aber es gibt ganz viele Gründe, wieso man da dagegen ist.

Ich würde das jetzt kurz zusammenfassen nochmal, was wir bisher haben. Fertige Ökosysteme von beispielsweise Microsoft, Apple, Google, die sagen, hier, pass auf, wir weisen dich gegenüber anderen aus. Das Einzige, was denen fehlt, ist, dass sie quasi staatlich bürgen für das, was da ist. Das ist immer noch nur Microsoft. Es ist nicht die Europäische Union, die das belegt. So, dann stellen wir fest, die nehmen diese Technologie und nutzen sie eigentlich für ein Login, um uns da drin in ihren Ökosystemen gefangen zu halten, um uns den Umzug daraus zu erschweren. Und dann kommt die Europäische Kommission und sagt, pass auf, das Problem lösen wir. Wir bauen unseren eigenen Standard für etwas, was es längst gibt und jetzt geben wir noch als Sahnehäubchen obendrauf, machen wir das aber jetzt auch mit staatlich verbirgten Identitäten, also mit deinem echten Ausweis. Es gab dann ja diesen sehr unterhaltsamen ersten Anlauf auf deutscher Ebene, das hat ja wirklich nicht lange gehalten, wie hieß das, ID-Wallet oder was, wo drei Tage online, dann haben sie gesehen, dass das Käse war, das war so ein Andi-Scheuer-Ding, für ein Andi-Scheuer-Ding eigentlich verhältnismäßig günstig und lange gehalten, drei Tage für irgendeinen zweistelligen Millionenbetrag. Im Prinzip das will die Europäische Union jetzt bauen. Also im Detail viel. Jetzt kommen wir endlich mal dazu, warum will man sowas unter keinen Umständen haben. Wir haben uns jetzt lange Mühe gegeben zu erklären, warum man keine Altersverifikation haben will und warum sie keine Probleme löst. Wir haben jetzt auch genug Zeit eingeräumt, das Ökosystem der digitalen Identitäten einmal zumindest so grob zu erklären, warum will man unter keinen Umständen, dass man einfache staatliche Identitäten in ein Handy packt.

Es gibt viele Gründe. Ich glaube, der Wichtigste ist, die neue Möglichkeit, Kontrollpunkte zu etablieren. Erinnern wir uns wieder zurück an die Pandemie, an die Lockdown-Bestimmungen und an unsere Genesungs-, Impf- oder Testzertifikate. In dem Gesetz haben wir ja auch damals gearbeitet und diese QR-Codes wurden ja damals so, wurden dargestellt, das ist ein Weg zur Öffnung, um das sicher zu gestalten. Diese Art von Gesundheitszertifikaten sind einer von ganz vielen Use Cases. Auch das sind Attribute, die in der Wallet drinnen sein können. Das war auch von Anfang an in den Begleittexten des Gesetzes schon klar gemacht, dass man diese Art von Attributen hier auch drinnen haben will. Und dadurch, dass hier aber jetzt nicht mehr nur so eine neue App mit dem QR-Code, den du scannen musst, sondern wahrscheinlich haben wir dann diese Infrastruktur schon ausgerollt auf vielen Telefonen. Das heißt, Menschen haben ihre digitale Brieftasche, darüber kann man sich dann auch relativ leicht neue Credentials hineinladen und beliebige Zugstationen oder beim Boarding eines Flugzeugs oder bei einem sonstigen Grenzübertritt, aber vielleicht auch beim Café oder bei einer Bildungseinrichtung oder you name it, können dann natürlich auch derartige Kontrollen durchgeführt werden. Es ist auch wichtig zu sagen, das System funktioniert sowohl online remote wie auch ohne Internet offline in physischer Nähe, in Proximity über Bluetooth Low Energy und QR-Codes. Das heißt, hier gibt es dann auch nochmal diese sehr große Gefahr, dass wir das, wo wir ganz oft anonym unterwegs sind und eben auch nicht markiert mit unserem Alter oder vielleicht in Zukunft irgendwelchen anderen Merkmalen, du schaffst die technische Möglichkeit einer neuen Regulierung von Zugängen, online und offline.

An dieser Stelle könnte man eigentlich diesen Smudo nochmal einspielen. Kaffee, bipp. Der hat dann bipp, bipp. Als er die Luca-App da vorgestellt hat. Die ist hier bipp, bipp, bipp, alles bipp, bipp. Also genau, eine komplette Überinfrastruktur. Jetzt hast du gerade gesagt, es funktioniert online und vor Ort. Da stellt sich natürlich direkt die Frage, wie funktioniert der einzelne Ausweisungsvorgang? Wer sammelt denn bei jeder einzelnen Ausweisung? Wer ist denn involviert bei jedem einzelnen Identifikationsvorgang? Weil da müsste doch eigentlich ein riesiges Überwachungsrisiko einerseits zentral, aber auch verteilt entstehen.

Ja, das ist das zweite große Problem dieser Frage, wer kann uns darüber zuschauen? Also wessen Infrastruktur ist das und sind darüber Transaktionen einsehbar? Weil wenn wir diese Prämisse glauben, dass das Ganze wirklich in die Wirtschaft hinein diffundiert und nicht nur der Zugang zum Staat ist, dann heißt das ja auch, dass ganz viel unseres alltäglichen Verhaltens über dieses System abgebildet wird. Und wer diesem System zuschauen kann, wer die Transaktionen sieht, sähe auf einen Schlag extrem viel heikle Information über die gesamte Bevölkerung, sowohl das Online-Verhalten, wie auch eben, wo wir uns physisch hinbewegen. Im Gesundheitssystem soll die Wallet verwendet werden, Stichwort European Health Data Space, ist ein Gesetz, was schon beschlossen ist, aber noch in Umsetzung und auch das soll auf der Wallet aufsetzen. Also da ist auf jeden Fall ein, ich habe es immer mit einem Panopticon verglichen, weil es halt echt so die gesamte Gesellschaft ist mit diesem Bird's Eye View, wo du auf einmal allen Leuten zuschauen kannst. Und diesem Risiko haben wir auch versucht Rechnung zu tragen mit der starken Forderung nach Unbeobachtbarkeit. Das war, muss ich ehrlich sagen, auch im Lobbying zu diesem Gesetz meine Hauptpriorität. Dass wir der Betreiber des Systems, egal ob das der Staat ist oder Google, wenn es eine Google Wallet ist, wir wissen, dass Google eine Wallet bauen wird. Dass die auf keinen Fall diese Art von panoptischem Blick über das Nutzungsverhalten von allen Usern haben können. Und man muss sagen, dass wir hier, Nur in Teilen den Text bekommen haben, den wir wollten. Im Parlament haben wir es noch geschafft, an einem wirklich guten Text, der hätte das Problem gelöst. Und dann im Trilog haben wir große Teile davon verloren. Last Minute haben wir dann nochmal an zwei Stellen Verbesserungen bekommen. Aber am Ende wird das jetzt nicht EU-mäßig klar vorgegeben. Das heißt, es kann theoretisch, Ungarn ist jetzt kein gutes Beispiel mehr für eine Autokratie innerhalb Europas, aber wir können uns alle vorstellen, worum es da geht. Und es liegt dann halt in vielen Dingen beim Mitgliedstaat, ob er das sauber umsetzt oder nicht. Gerade in Deutschland habe ich von der Sprint in der Sache aber eine gewisse Hoffnung, weil auch in ihren ganzen Dokumenten zu der Diskussion der verschiedenen Architekturvarianten haben sie das immer mitdiskutiert. Und das ist zumindest besser als im Vergleich zu anderen Ländern. In Österreich habe ich damit leider bisher, bin ich immer auf Granit gebissen.

Okay, jetzt hast du schon ein bisschen vorweg gegriffen. Wir haben gesagt, okay, wir haben eine Kontrollinfrastruktur, wir haben ein riesiges Überwachungsrisiko und du hast schon gesagt, dass du deine Lobbyarbeit in dem Bereich betreibst. Lass uns mal noch kurz schauen, bevor wir in die Details gehen. Seit wann beschäftigst du dich mit dem Thema? Drei, vier Jahre jetzt?

2017 war das erste Mal Digital Identity und dann aber jetzt mit dem EU-Gesetz seit 2021 intensivst.

Also wir wollen eine zentrale Kontrollinfrastruktur, Unmengen an sensiblen Informationen zugänglich, dann Überwachungsrisiko bis hin zu, wenn man etwas bauen würde, wo jeder Identifizierungsvorgang oder Nachweis irgendwie gegen einen zentralen Server gehen würde, dann würde die Betreiberin dieses Servers eben sehen, ach alles klar, morgens war der beim, was weiß ich. Bei der Bank, danach hat er sich das Internetvideo angeguckt, weil der inflationäre Gebrauch von so etwas, der ist ja zu erwarten in dem Moment, wo man es einfach baut. Du hast Missbrauch durch zukünftige Regierungen natürlich gerade auch schon genannt. Single Point of Failure. Wie soll ich, also stelle ich mir halt auch schwierig vor, wenn du nämlich sagst einerseits, ach hier, guck mal, das geht jetzt so einfach, kannst du einfach immer, zeigst dir ganz kurz deinen Ausweis, das ist gar kein Thema, zeigst ja auch deinen Impfausweis, hast ja auch schon dich dran gewöhnt, das war ja immer nervig, jetzt macht es einfach schön Piep mit dem Handy. Also dieser inflationäre Gebrauch ist eigentlich etwas, was mir da noch, also ehrlich gesagt noch meine größte Sorge überhaupt an der Gesamtidee ist. Aber was ist, wenn du, ich meine, so dezentrale Logins und so weiter sind schon auch sehr angenehm, wenn man mal ein Passwort oder sonstiges vergessen hat, oder?

Absolut. Also du hast immer diese Bequemlichkeit, wie die Karotte vor der Nase zur Verbreitung dieser Systeme führen kann. Und wir sehen ja auch, dass es oft dann fast schon auf Kampagnen gibt, gewisse Dinge über die Wolle sehr einfach zu machen, damit viele Leute sie sich installieren. Aber je weiter das diffundiert in die Gesellschaft, umso größer wird natürlich auch die Abhängigkeit. Also man stelle sich vor, eine solche digitale Brieftasche ist wirklich mal auch nur in Ansätzen das, was die Politik sich davon erhofft und der Ort, in dem du deine ÖPNV-Tickets, deine Boardingpässe für Flugreisen, deinen Zugang zu deiner Bank, alle Zugänge zu staatlichen Diensten, vielleicht auch zur Sozialhilfe, vielleicht auch zu deiner Uni und allem, was im Bildungs- oder vielleicht auch im beruflichen Bereich ist. Und dann überlegt man sich, dieses System ist down. Für ein paar Stunden, für ein paar Tage, vielleicht für ein paar Wochen. Das wäre ein gravierender Einschnitt in dieser Gesellschaft. Also wir schaffen da auch einen Single Point of Failure, wie wir ihn so bisher auch noch nicht kennen. Und das Ganze sind halt eben dann doch staatliche Softwareprojekte. Und es gibt sogar einen Mechanismus in der Wallet, dass der Staat die zurückziehen kann, wenn er ihnen misstraut. Wenn es einen Sicherheitsvorfall gibt, gibt es einen Remote-Killswitch. Der ist rechtlich vorgeschrieben bei jeder digitalen Brieftasche. Das heißt, das Ganze ist schon wirklich auch eine neue kritische Infrastruktur, die wir uns hier schaffen. Und ich fand es immer schon dumm, hier All-Ax-in-One-Basket zu machen und diese Dinge nicht zu trennen, weil eine Wirklichkeit hat, einen Vorgang, sich bei einer Bank auszuweisen oder beim Finanzamt, wenn du deine Steuer machst und ein Login bei Facebook oder ein Ticket für die Wiener Linien, halt einfach sehr wenig miteinander gemeinsam. Und wieso das alles in einer App sein muss, hat mir nie jemand erklären können.

Ja, das ist, wir hatten glaube ich, als du letztes Mal mit uns über dieses Thema gesprochen hast, also eine Identität nachzuweisen ist halt wirklich so eine hoheitliche Aufgabe des Staates und natürlich ist, also deswegen muss er die natürlich auch revoken können oder so, also es gehört zu jeder, die meisten X509 Implementierungen haben das nicht so ganz sauber mit drin, aber dass man die Validität der Zertifizierung auch prüft oder so, dass sie auch ablaufen und revoked werden kann, gehört natürlich mit dazu. Aber so überhaupt, also was mir immer noch nicht so ganz rein will, ist halt zu... Dass man diesen Mangel an staatlicher Identität im Netz als Problem darstellt und als etwas, was man ändern möchte, das halte ich für das große Ding, weil die Anonymität wird halt stark komplett, also wenn man das den Leuten beibringt, klickt man hier, zack, bomb, geht ganz einfach einmal Face-ID oder Touch-ID oder sonst was, bist du drin, ist doch super, kennst du ja auch schon. Das darf man ja auch nicht vergessen, von den Wallet-Implementierungen beispielsweise Apple und Google auf den Smartphones, wer das zum Beispiel mit Google Pay oder Apple Pay verwendet, hat sich ja auch längst dran gewöhnt, dass man mal kurz Face ID und Handy dran halten oder mal kurz mit der Uhr oder was bezahlen kann. Und wenn da jetzt, ich könnte mir sogar vorstellen, dass das in der Breite der Bevölkerung auf eine Realität trifft, wo viele sagen, ach komm, ich habe mich eh daran gewöhnt, mein ganzes Geld jeden Tag potenziell irgendwo dran zu halten, jetzt kann ich auch nochmal eben kurz meine, und ich habe mich vielleicht auch schon dran gewöhnt. Flugtickets und sonstiges mit QR-Codes oder so zu klären. Ist ja viel cooler, wenn ich jetzt nicht mehr darauf warten muss, dass dieser scheiß Lesegerät von dem, Kartenkontrolleur oder von dem Flugzeug da irgendwie den QR-Code scharf gestellt hat, sondern schön das mit NFC oder Funk mache. Voll cool. Und dann gewöhnt man sich sehr schnell daran, an allen möglichen Stellen, alle möglichen Identitäten und so weiter wiederzugeben. Und da muss ich echt sagen, da kommt mir der nächste Punkt, Ich weiß ja, und ich kenne das aus den Details sehr genau, was man mit Zero-Knowledge-Proof und sonstigen, du weißt nur nach, dass du über 18 bist, nicht wie du heißt und so weiter. Das ist alles kryptografisch möglich für die normale Nutzerin, die sich jetzt nicht mit diesen technischen Verfahren auseinandergesetzt hat, aber komplett in der Anwendung nicht zu unterscheiden. Das heißt, wenn du dich erstmal daran gewöhnt hast, 20 Mal am Tag Piep zu machen, ist auch fuck egal, was da am Ende bald passiert. Ob da jetzt gerade nur gesagt wird, dass du über 18 bist und nicht mal dein Alter oder einmal kurz alles abgegeben wird, das wird doch keine Sau am Ende unterscheiden oder darauf achten.

Absolut. Also das hat mich auch am meisten beschäftigt, wie sozusagen dann wirklich auch die menschliche Verwendung von diesem System sein wird. Also wir haben alle jetzt mit diesem kontaktlosen Bezahlen, glaube ich, einen neuen Habitus entwickelt, mit Geld umzugehen und dieses System hätte halt das Potenzial, einen ähnlich zuzuhalten. Einen schnellen, leichtfertigen Umgang auch mit Identitätsdaten und anderen personenbezogenen Daten zu ermöglichen.

Wieso sagst du hätte? Also hat es doch oder nicht?

Hat es ja. Also ich habe immer noch so die Hoffnung, dass Menschen klug genug sind, das dann halt auch nicht zu verwenden und dass es einfach eine Renitenz gibt. Und ganz ehrlich, diese ganze Social Media Altersverifikation ist auch die Dystopie, vor der ich immer Sorge habe, dass wir da in ein paar Jahren hinkommen. Und jetzt sind wir jetzt schon da, noch bevor das System ausgerollt wird. Also man darf nie die Menschen unterschätzen, aber das ist natürlich die Basis für genau so eine... Überwachungs-Dystopie, wo wir die ganze Zeit dieser Gefahr der Überidentifizierung begegnen müssen und all die Alltagssituationen, wo wir heute online und offline anonym unterwegs sind oder pseudonym, künftig voll identifiziert passieren. Und überall da, wo wir auch bisher in irgendeiner Customer Relationship Management Datenbank von irgendeiner Firma waren, weil wir irgendwas bestellen oder irgendwo Kunde sind, naja, da haben wir jetzt bisher Daten gehabt, die Leute auf ein Papier- oder Webformular eingegeben haben. Wenn ich diese Wallet anbiete, dann habe ich, das ist für mich nämlich eigentlich die größte Neuerung damit, auf einmal eine ganz andere Güte an personenbezogenen Daten. Ich habe staatlich verifiziert und kryptografisch bewiesen korrekte Daten über diese Person.

Nicht irgendwas, was irgendjemand mal eingetippt hat. Heute bin ich Thomas Lohniger, morgen Frank Lohniger mal hier mal da. Pipapo, ja.

Und dadurch, da ist auch technologisch wirklich was schief gegangen, weil das auch Beweise sind, die auch gegenüber Dritten funktionieren. Das heißt, ich beweise, ich gebe meine Daten jetzt irgendwie an dich weiter, Linus, über die Wallet und dann hast du meine Daten, weißt doch, hat jetzt der österreichische Staat mir diese Identität ausgestellt, du kannst das auch beweisen, aber der Beweis liegt dann genauso wie die Daten bei dir und würdest du gehackt werden oder die Daten verkaufen, dann hätte auch Auch diese dritte Person, den beweist, dass diese Daten zumindest zu dem damaligen Zeitpunkt echt waren. Also es sind alles signierte Daten, Stichwort Verified Credentials und da sehe ich nochmal ein ganz neues Risiko aus Datenschutzperspektive, das auf uns zukommt.

Also ich meine, okay, derzeit ist es so, man macht Kopien von seinem Personalausweis und schickt die per E-Mail durch die Gegend.

Was machst du?

Leute machen das. Ja, das ist das, was heutzutage passiert. Weil es gibt diesen Bedarf, sich online in irgendeiner Form zu authentifizieren. Du schickst das an Mietwagenunternehmen, das wird an Hotels geschickt etc. Im Ausland ist es noch extremer. Und das ist natürlich jetzt die andere Realität. Also diese Ausweissituation, die ist real. Der Bedarf ist da und es ist ja auch teilweise bei Online-Diensten durchaus verständlich, dass die jetzt, bevor sie mit irgendjemandem da eine spezielle Beziehung eingehen, eine gewisse Absicherung haben wollen und von daher ist es wichtig, dass man eine Infrastruktur am Start hat, die das ordentlich macht, ohne dass man bei jedem geringen Nachweis, der sozusagen die Gegenseite nur in Sicherheit wiegen soll, gleich so einen Ausverkauf macht, indem man sein Foto gleich mitschickt. Deswegen muss man das natürlich auch mal betonen, dass diese Infrastruktur ja auch Gutes schaffen kann.

Vielleicht ganz kurz, also wenn du einen Mietwagen leihst und die sagen, du sollst mir für E-Mail den Ausweis schenken, dann weiß ich nicht, wo du deinen Mietwagen holst. Also ich hole ab und zu schon mal einen Mietwagen, da gibt es halt schon gerade, die nutzen halt die KYC-Infrastrukturen, die man heute nutzt und das ist irgendwie häufig halt Postident. Wenn sie irgendwie smart sind, dann nutzen sie Ausweis App 2 oder sowas oder bieten das auch noch an, wo man das ja schon heute kann. Aber du hast natürlich recht, im nicht-europäischen Ausland, zuletzt ist mir das glaube ich in Asien passiert, musst du auch mal irgendwie einen Ausweisscans schicken. In der Europäischen Union ist das aber eigentlich dann doch äußerst unüblich. Insbesondere, wenn du jetzt irgendwie ein Hotel eincheckst und zeigst den Ausweis, wenn du da bist. Und wenn du beim Mietwagen musst, du sowieso Ausweis und Führerschein zeigen, wenn du die Karre haben willst. Also da würde ich schon sagen, da ist die Technologie auch heute schon etwas weiter. Aber natürlich ist es völliger Quatsch. Personalausweise per E-Mail zu versenden und das ist sicherlich auch mit das riskanteste. Übrigens kleiner Tipp, an den Stellen, wo ich das machen musste, schreibe ich immer über den Scan groß drüber, quasi nicht als Watermark, sondern richtig weiß, zu welchem Zweck dieser Scan angefertigt wurde. Damit der, also mit welchem Datum, zu welchem Zweck diese Authentifizierung stattfindet, damit es nicht so einfach ist, dass jemand, der irgendwann diese Postfachfächer aufmacht, auf einmal 100.000 Personalausweise hat, die da über die Jahre hingeschickt wurden und dann eben sehen kann und mit denen dann agieren kann, weil dann eben über meinen Personalausweis oder in der Regel ist es dann natürlich nicht passt.

Wenn du den selber machst, aber oft sind es ja irgendwelche Apps, die sagen, jetzt zeigst du mal die Vorderseite, jetzt mal die Rückseite, wunderbar.

Richtig, die schicken mir aber nicht per E-Mail.

Nein, das geht ja nicht per E-Mail, aber generell, es ging mir nichts um die E-Mail. Es ging mir darum, dass das komplette Dokument derzeit die ganze Zeit in Apps und über andere Wege durch die Gegend geschickt wird. Und sei es mal in Europa, das hast du auch innerhalb von Deutschland, du hast es eigentlich am laufenden Meter. Und es ist halt einfach wichtig, dass es hier eine Infrastruktur gibt, die einfach verbindlich, also technisch verbindlich, das auf eine bestimmte Art und Weise macht.

Aber die gibt es ja schon.

Ja, diese EU, ich meine, darum geht es ja, darüber reden wir jetzt.

Also du kannst, seit es den neuen Personalausweis gibt, kannst du damit eine Ausweisung, qualifizierte elektronische Signatur, alles mögliche kannst du machen.

Ja, theoretisch kannst du das halt machen, aber praktisch findet es halt derzeit nirgendwo statt. So, weil es halt einfach umständlich ist und weil es einfach kaum irgendwo gemacht wird. Das hast du vielleicht mal bei irgendeiner Behörde mal, bei irgendeinem Akt, ich habe das glaube ich einmal in meinem Leben gehabt, dass das wirklich A möglich war und B auch in dem Moment funktioniert hat. Aber wir wollen das ja sozusagen im gesamten Netz sehen.

Und vielleicht dazu nochmal genau, weil ich glaube, ihr habt da wirklich den Finger genau in das Kernargument der Kommission gelegt. Ja, wir haben diese nationalen Lösungen, die sind alle Insellösungen und ja, die Staaten erkennen die gegenseitig an, aber dass wir jetzt sagen, es gibt diese eine Lösung und die akzeptieren dann auch alle, das ist halt eben, womit sie dieses Gesetz begründet haben. Dass man sagt, hey, wir brauchen hier die komplette Größe der EU als Hebel, um diesen einen Weg dann auch wirklich von allen unterstützt werden zu lassen. Und es gibt im Gesetz auch viele Verpflichtungen für taxativ gelistete Sektoren, die KYC machen müssen, diese Wolle zu unterstützen. Wohlgemerkt, auch hier ist Europa nicht in Isolation zu sehen, weil es gibt diesen internationalen ISO-Standard für digitale Führerscheine, für Mobile-Driving-License und der ist ja auch das, was in einigen amerikanischen Bundesstaaten jetzt auch schon auf den Smartphones von Apple, glaube ich, und vielleicht auch Google, weiß ich gerade nicht, unterstützt wird als Form von Identifikation. Und das ist auch etwas, wo man interoperabel zu sein will. Also da ist gerade insgesamt relativ viel Bewegung drinnen und das eine ist halt Identifikation, aber das andere sind halt eben nochmal diese Wallets. Und eine Sache, die wir jetzt die ganze Zeit noch an Kernfunktionalität nicht erwähnt haben, ist das Unterschreiben. Ich kann nämlich auch rechtsgültig damit Verträge eingehen mit dieser digitalen Brieftasche. Da steckt auch wieder eine besondere Gefahr dahinter. Denn nicht nur haben wir diese Illusion von Sicherheit, weil das ist ja digitale Technik und der Vertrauen, viele Teile der Bevölkerung, vielleicht nicht die Hörerinnen dieses Podcasts, aber oft wird so dargestellt, du hast noch eine andere Illusion dahinter. Nämlich, du kannst ja jetzt hier, sollte ein Vertrag vorliegen, dann ist das nicht sonst wie im Konsumentenschutzrecht, dass da die Firma beweisen muss, dass du wirklich einen Vertrag mit ihr hast, sondern hier gibt es eine Beweislastumkehr, weil ja die Firma den kryptografischen Beleg hat, da ist eine Signatur, die kommt von deinem Schlüssel. Das heißt, ich habe diesen Vertrag mit dir und auf einmal muss die Person, die vielleicht nicht die Kontrolle über ihr eigenes Handy hatte, sich frei beweisen, dass sie das gar nicht war. Und das könnte in Fällen von Hacks oder von, nehmen wir irgendwie unsere Omas und Opas her, die sich vielleicht mit digitaler Technik nicht so gut auskennen. Da gibt es viele Szenarien, die denkbar sind, wo es auf einmal zu massiven Missbrauch kommen kann. Das sind auch nicht nur theoretische Probleme, wenn man in Länder schaut, in Skandinavien, Norwegen zum Beispiel, gibt es gute Studien. Die haben halt eine hohe Verbreitung von digitalen Identitätssystemen, rund um 98 Prozent. Und da gibt es genau solche Fälle. Das sind halt die zwei Prozent, die diese Systeme nicht haben oder ganz alte Geräte besitzen. Da gibt es halt auch nochmal eine besondere Härte, weil diese Dinge dann oft gehen, die eh schon nicht sonderlich digital versierten und einkommensstarken Haushalte verwendet werden. Und zuletzt natürlich auch, wir reden hier von digitaler Souveränität, am Ende wird das alles auf Google und Apple Geräten passieren. Also Desktop-Apps oder Browser-Apps sind im Gespräch, aber wir dürfen uns da keine Illusionen machen, im ersten Schritt werden das hauptsächlich Smartphone-Apps sein. Und es ist zum Beispiel auch offen, auch in Deutschland, ob man Google-freie Android-Betriebssysteme unterstützen will. Also ich fände es irgendwie ein Wahnsinn, wenn die EU hier irgendwie sagt, wir machen digitale Souveränität und setzen uns gegen Trump durch. Und dann zwingen wir die ganze Bevölkerung, Big-Tech-Geräte zu verwenden, um sich noch auszuweisen digital. Aber das könnte eine weitere Konsequenz sein. Plus natürlich, dass die ganze Frage der Sicherheitschips, die ja zur Absicherung der Schlüssel auf dem Gerät dienen, die ja auch alle nicht aus Europa kommen, wenn ich mich nicht täusche.

Also das muss man glaube ich eh nochmal sagen wenn du wenn du mit einem also gut bei iOS kenne ich das aus der Nutzerperspektive sehr viel, ausführlicher als bei Android, aber egal was du da machen willst, musst du doch eh auf deren Betriebssystem Funktionalitäten setzen also. Dass du überhaupt NFC sprechen kannst über so ein Gerät also das ist ja eh Also diese gesamte, also da wird es ja dann wirklich, also an der Stelle wird es dann tatsächlich so ein bisschen lächerlich, wenn die dann anfangen mit der digitalen Souveränität zu quatschen und zu sagen, wir bringen jetzt eine Identity aufs Smartphone. Also sorry, das geht halt nur unter Verwendung von…, Ja, wirklich einfach zentraler Google- oder Apple-Technologie auf diesen Geräten. Ja, so. Das ist einfach eine technische Tatsache. Das kann man jetzt gut oder schlecht finden, aber zumindest finde ich es absurd, die nicht zu würdigen oder die nicht einfach klar in Betracht zu ziehen und natürlich auch dabei zu bedenken, was das für Geräte sind, auf die man meint, da die Identität bringen zu müssen, oder? Ja, also wir machen jetzt digital souveräne Identities auf diesen Geräten. Ja, geil. Also gut, da habe ich, glaube ich, Ehe. Da gibt es diesen Begriff der Souveränität, den die, glaube ich, ein bisschen anders definiert haben als ich. Aber nun ja.

Ja, also das waren all die, es gibt noch viele mehr Probleme, über die man reden könnte, aber das ist glaube ich so in der Nutshell, worum es dabei geht und ich glaube, wir können alle diese Liste an Problemen noch ewig lange fortsetzen und durchdeklinieren, aber ja, ich war dann halt.

Wie würdest du denn die Situation jetzt zusammenfassen? Also, ist eine Technologie, die man eigentlich nicht haben will? Ich glaube, darüber sind wir uns einig.

Ja, absolut.

Und die, wo... Also erkennbar ist, dass es da einen wirtschaftlichen und teilweise auch gesellschaftlichen Bedarf gibt, dass man digitale Identitäten nachweisen kann. Also der ist da und das ist sicherlich auch sinnvoll, das beispielsweise bei Bankkonten und sonstigen zu tun. Und als jemand, der ab und zu mein Bankkonto eröffnet hat, muss ich auch sagen, dass ich durchaus genieße, so etwas online tun zu können. Ja, also an diesen spezifischen KYC staatlich reguliert, du kannst es nicht anders machen als mit einem Ausweis und es gibt gute oder weniger gute Gründe dafür, d'accord. In die Breite der gesellschaftlichen und wirtschaftlichen Auseinandersetzung, insbesondere mit irgendwelchen Social Media Plattformen und sonstigen Scheiß, da will ich das eigentlich nicht haben. Und ich glaube, das wird mit so einem Wallet auf jeden Fall einen Schritt näher kommen, wenn nicht sogar einen großen Schritt näher. Insbesondere, wenn sie dann nämlich am Ende sowieso auf Technologien von Apple und Google setzen müssen, die im Zweifelsfall schon längst in ihre Geräte gebaut haben, nämlich die, die es heute schon gibt, ja, das ist... Dann lieferst du dir noch am Ende eigentlich nur den ganzen Scheiß auf ein Tablett und sagst, hier wir reden jetzt viel ein von europäischer digitaler Souveränität und am Ende kommt raus, jo wir unterstützen jetzt auch Apple Wallet für unsere europäischen Identitäten und jetzt kannst du die überall verwenden. Vielleicht gibt es noch irgendeine beknackte App dazu, aber viel mehr wird ja doch am Ende nicht bei rauskommen.

Also ich hätte so viele schlaflose Nächte über die Jahre wegen dem Scheiß. Also es wird leider meiner Meinung nach uns noch alle sehr viel beschäftigen, dieses System, weil von vornherein zu viele Use Cases da drinnen sind. Manche mögen legitim sein, will man vielleicht sogar aus Convenience haben, aber andere sind einfach inhärent gefährlich für eine liberale Gesellschaft und haben auch einfach keinen Maß an Safeguards, die sie zu einer verantwortungsvollen Ausgestaltung bringen. Ja, das kann man dann auch nicht mit der besten Privacy-Preserving-Technology sicher machen. Da reden wir noch nicht einmal irgendwie von der realen Situation, wenn dich Menschen um Daten fragen, hast du oft halt nicht das Recht, Nein zu sagen. Also das kannst du vielleicht formal, aber das heißt dann halt, dann kriegst du die Wohnung nicht oder dann kriegst du den Vertrag nicht oder dann kriegst du den Job nicht. Ja. Wir haben natürlich dann noch versucht, das ein bisschen zu antizipieren. Die eine Sache, auf die ich wirklich stolz bin, ist die Nichtdiskriminierungsregel, dass wir ins Gesetz rein verhandelt haben. Niemand darf gezwungen werden, das zu verwenden. Alle Digital Identity Systeme auf der Welt, die es so gibt, haben am Ende einen Zwang mit sich gebracht. ATAR in Indien, bestes Beispiel, war immer so, ja, das ist rein freiwillig. Aber du brauchst es halt, um zu wählen, um deine Kinder in den Kindergarten zu schicken. Um eine Pension zu bekommen. Und all das sind natürlich die Zwänge, wo man die Leute dann einfach, ja, ihnen die Wahlfreiheit nimmt, was glaube ich aber der falsche Weg ist. Wenn das Ding wirklich erfolgreich sein soll, das ist ein sehr schmaler Korridor, dann weil die Leute sich aus freien Stücken dazu entscheiden, es zu verwenden. Freiwilligkeit ist der einzige Weg dafür und ich befürchte, dass wir, ein denkbarer Weg ist, dass man sozusagen dieses Recht auf Analogität und auf analoges Leben dazu führt, dass wir immer noch gewisse nicht digitale Wege erhalten, sodass man einfach wirklich den Opt-out machen kann zu diesen Systemen. Und das ist dann halt beim Bankkonto vielleicht, man die Wallet verwendet, aber überall sonst im Internet hält man die Finger davon und weiß, dass man es nicht verwendet.

Aber da hat natürlich jetzt diese Altersverifikationsnummer.

Ganz genau.

Also du hast es ja gerade auch schon gesagt, dass wovor du eigentlich immer gewarnt hast, überholt jetzt sogar schon diese Eudi-Debatte. Du hast jetzt an mehreren Stellen gesagt, dass du oder ihr... Dagegen arbeitet, den Prozess begleitet, lobbyiert, seit ungefähr 2021 insbesondere, aber du hast eigentlich auch schon früher angefangen, dich mit diesem Thema auseinanderzusetzen.

Ja, wir hatten 2017 in Österreich ein Gesetz, wodurch wir uns zum ersten Mal mit dem Thema beschäftigen mussten und das ist im Verein immer wieder diskutiert worden. Wir haben auch einen Mitglied, das da zu seiner Doktorarbeit geschrieben hat und über unser universitäres Netzwerk auch immer wieder sozusagen mit dem Ding konfrontiert worden.

Mit dem Verein meinst du Epicenter World?

Ganz genau, ja. Und dann war die Pandemie, glaube ich, auch ein bisschen ein Brandbeschleuniger, weil dort gab es ja auch auf einmal viele staatliche digitale Systeme, die auf einmal vor unseren Füßen lagen, analysiert werden mussten. Und ich durfte ja auch irgendwie an diesem Corona-Impfzertifikat mitarbeiten, dem EU-Gesetz, das diese QR-Codes begründet hat für Genesungsimpf und Testnachweise. Und das war irgendwie so gerade fertig. Ich glaube, das war im Februar 2021 und im Juni 2021 kam dann IIDAS raus. Und das war so, eigentlich habe ich keinen Bock. Eigentlich soll das wer anderer machen. Ich habe irgendwie ein Interview gegeben für Politico mit einer ersten Einordnung. Uff, das ist sehr, sehr kritisch. Also da müsste man vorsichtig sein und dann auch diskutiert mit anderen NGOs, ob nicht irgendwer daran arbeiten will, aber es hat halt keiner die Hand gehoben und dann war halt, Und 2022 haben die Ausschüsse im Europaparlament angefangen, Hearings zu machen dazu. Und die kamen dann halt auch zu uns. Und bevor jetzt niemand für die Zivilgesellschaft spricht, ist es schon wichtig, dass man sich eine Meinung bildet und die dann auch sagt. Und das haben wir 22 getan Anfang des Jahres, auch Positionen veröffentlicht, Blogposts und da war schon klar, okay gut, da sind so viele Gefahren drin, wenn man sich das mal durchdenkt, wo das hinführt. Es braucht eine Stimme, die diese Gefahren aufzeigt und die klar sagt, das könnte uns da und dort und dort hinführen. Und wir haben hier einfach Risken, denen muss man begegnen. Und man muss hier eine Abwägung machen, wo ist das legitim, wo ist das illegitim. Und da kam es dann auch zu Vorschlägen von uns, auch eben konkret, schlenken wir das Identifizieren ein, nur da, wo es eine rechtliche Grundlage braucht. Also ohne Gesetz darfst du nicht identifizieren. Und auch, dass jeder Use Case registriert sein muss beim Staat, war ein Vorschlag, den wir gemacht haben, den dann die französische Ratspräsidentschaft aufgegriffen hat. Und das ist auch heute im Gesetz so drinnen. Wieder mit einer sehr europäischen Lösung, weil bei manchen Staaten wird wirklich geprüft, ob der Use Case legal ist, in anderen wird er nur automatisiert durchgewunken. Aber es gibt zumindest eine Registry von allen Use Cases, wie das System verwendet wird. Und es war dann halt wirklich die ganze Zeit so ein Hadern und da war ich auch nicht allein, da kann ich ehrlich auch von einigen Leuten im Parlamentsbetrieb reden, und auch ein, zwei Personen auf Staatenseite im Rat, die wirklich gesagt haben, ich glaube, das Ding ist ein echt großer Fehler. Also ich bin eigentlich niemand, der sonst mit Datenschützern redet, aber ich glaube, du hast recht und ich glaube, wir machen hier einen großen Fehler. Also es gab die Leute, die auch während das Kind in den Brunnen gefallen ist, irgendwie noch... Gesehen haben, was das für ein Fehler werden könnte.

Wie tief der Brunnen ist.

Und aber ich habe das ja an anderer Stelle auch schon mal gesagt, was mir ganz wichtig ist, um Europa zu verstehen. In den USA und Europa gibt es einen großen Gegensatz. In den USA kann jeder Arsch und sein Bruder ein Gesetz starten. Das kann aus dem Senat kommen, aus dem Kongress, vom Präsidenten, von Lobbygruppen.

Donald Trump, ja genau.

Aber es ist sehr schwierig.

Dass das… Oder jeder Arsch und seine Kinder.

Genau. Und seine korrupten Kinder. Und es ist sehr schwierig, dass das Gesetz am Ende beschlossen wird. In Europa ist es umgekehrt. Es ist relativ schwierig, dass ein Gesetz vorgeschlagen wird, weil das darf nur die Kommission machen und da gibt es zig Regeln davor, die eingehalten werden müssen, damit das passiert. Aber sobald ein Gesetz mal vorgeschlagen ist, ist es fast unmöglich, dass es nicht kommt. Also das ist auch unserer Community, wenn wir in die Geschichte zurückschauen, mir fallen eigentlich nur zwei Beispiele ein. Das war einmal die Software-Patente und das zweite Mal war jetzt die Chat-Kontrolle und, Wo es aber auch, also mit aller Kraft von allen NGOs haben wir es jetzt geschafft, das Ding für ein paar Jahre zu verzögern. Wann wurde das vorgestellt? Ich glaube 2022. Also wir haben es jetzt zumindest schon mal. Also es ist auch da, und da waren wir die ganze Zeit rejected, rejected, bitte nicht, tut das ja nicht. Und auch da haben wir es gerade mal geschafft, irgendwie abzuschwächen, aber keine der Versionen des Gesetzes, weder von Rat noch Parlament, sind gut oder auch nur annähernd verfassungskonform. Und das ist einfach nur so die Mechanik dieses Gesetzgebungsprozesses, der ja auch mal als Wurstfabrik beschrieben wurde und das trifft es ganz gut, weil du willst da eigentlich nicht hinschauen, weil auch in dem Prozess gibt es halt einfach Rollen, die gespielt werden. Für die Leute der Industrie ist es scheißegal, was das für einen Effekt für die Gesellschaft hat oder auch für das Staatswesen und für erst recht irgendwie marginalisierte Gruppen. Für dir ist wichtig, wie betrifft das meine Bottomline und kann ich damit mein KYC einfach umsetzen? Und was bei dem Gesetz jetzt hier bei EIDAS nochmal ganz entscheidend war, normalerweise haben wir die Netzpolitik-NGOs, dann nicht nur eine, sondern mehrere, aber wir haben meistens immer auch die Konsumentenschutzorganisationen dabei. Was der VZBV in Deutschland ist, die Arbeiterkammer in Österreich ist auf EU-Ebene Beug, das ist der Zusammenschluss von allen Konsumentenschutzorganisationen. Die haben 2021 noch an diesem Gesetz gearbeitet und 2022 haben sie es depriorisiert. Da gab es nie.

Wie kommt das? Warum haben die das getan?

Weil es so technisch ist, weil das ja nicht wichtig ist. Da geht es ja eh nur um irgendwelche Banken und Identifizierungen. Ich habe... An mehreren Stellen mit den Kolleginnen von Konsumentenschutzorganisationen auch auf hoher Ebene gesagt, das ist ein Fehler, bitte macht das nicht. Ihr braucht jemanden, der das Gesetz begleitet. Wir brauchen eure Stimme. Und VZBV hat, glaube ich, seit 2024 oder 2025 wieder jemanden, der daran arbeitet, dankenswerterweise. Aber das Gesetz ist im Mai 2024 beschlossen worden auf EU-Ebene. Also für die entscheidenden Jahre war ich mehr oder weniger allein. Und ja.

Dann also und das ist ein Fakt, ja da gibt es eigentlich, ja wir wissen das natürlich auch auf der Edri-Ebene hat sich da eigentlich auch und das sind ja alle oder sogar alle relevanten ne fast alle relevanten. Bürgerrechtsorganisationen in Europa das hat ja ist allen immer irgendwie so ein bisschen durchgerutscht. Und ich meine, so sehr ich das, so diesen Aspekt, den du gerade nennst, also ich war immer ganz froh, weil ich dachte, naja, okay, cool, der kümmert sich dann rum, muss ich mich nicht um diesen Scheiß kümmern. Aber auch alle anderen irgendwie keine, erkennbar keine so großen, Naja, Bedarf schon Und, gesehen haben, aber ja, war ein starkes Brett und natürlich eigentlich, wenn man auch das Gefühl hat, so, naja, komm, eigentlich will ich einfach nur in eine Fundamentalopposition gehen und die ganze Zeit sagen, das ist eine Scheißidee, egal in welcher Farbe ihr die Scheiße jetzt baut, ist es immer noch eine Scheißidee. Aber den Aspekt, den du gerade sagst, wenn die eine Scheißidee haben, dann ziehen die auch eine Scheißidee durch, weil das wird halt zu Ende gemacht. Da leuchtet natürlich dann schon ein, dass man das dann begleiten möchte. Du hast aber mit der Anja Lehmann hast du nicht letztes Jahr im Kongress darüber gesprochen. Die Anja Lehmann ist Professorin, kryptografischer Schwerpunkt und IT-Sicherheitsschwerpunkt am Hasso-Plattner-Institut in Potsdam. Schöne Grüße an dieser Stelle. Die hat sich ja dann auch eingebracht. Das war jetzt quasi nicht mehr auf der gesetzgeberischen Ebene, EIDAS Verordnung, wie du gerade sagtest, sondern die technischen Implementierungen, die jetzt diskutiert werden.

Ja, beziehungsweise es ist auch in der Wissenschaft, gab es von Anfang an Leute, die sehr gute Inputs geliefert haben über den gesamten Prozess hinweg. Aber halt eben auf sehr technischer Ebene. Das waren hauptsächlich Leute aus der Kryptografie oder generell aus der Informatik und da findet man auch in den Konsultationen super gute Stellungnahmen von Anfang an, aber halt das ist ein anderes Arbeiten, glaube ich, aus der Akademie heraus, also. Das, was wir machen, ist vom Handwerker ja doch schon Lobbying, weil ich meine, wir pflegen den Kontakt zu den Abgeordneten, wir schauen, dass wir denen wirklich ein Gegengewicht zur Industrie liefern, wir prügeln denen die Argumente ein und ganz oft ist es auch so, dass wenn jetzt da eben, ich habe von den Abgeordneten und Regierungsleuten geredet, die ja vorhin mal gemerkt haben, das ist ein Scheiß, naja, die wollen dann natürlich auch sofort irgendwie der Hilfe haben, okay und was können wir jetzt machen? Und da musst du natürlich auch schon schauen, das sind die Themen. Wir finden auch bei uns auf der Webseite all die 40 Policy-Dokumente, die wir über die Jahre zu dem Thema veröffentlicht haben. Alles, was wir da formulieren, ist öffentlich auf unserer Webseite. Und da es immer die Forderung gewesen schaut in dem Prozess, das kann man noch retten, da gehört eigentlich das statt dem in den Artikel reingeschrieben, um halt einfach dieses doch sehr technische Gesetz irgendwie noch zu verbiegen, sodass halt, auch wenn wir es nicht verhindern können, wenigstens so an einzelnen Stellen Safeguards eingezogen werden, wie zum Beispiel Unlinkability. Dass überall da, wo du dich nicht identifizierst, du nicht getrackt werden darfst. Oder eben diese Nichtdiskriminierungsregel. Oder eben, dass es eine Registrierungspflicht gibt für jeden Use Case, sodass wir eben genau sehen, okay, wie wird dieses System verwendet. Das waren sicherlich Dinge, die nie zustande gekommen wären, wenn man da nicht ein Auge drauf gehabt hätte. Aber jetzt zum Beispiel eine wirklich große Kampagne zu machen, dass man sagt, hey, wir schauen, dass wir das Ding zu Fall bekommen. Das schaffst du halt irgendwie nicht mit den Leuten und dem Budget, das wir haben als Epicenterworks. Centerworks. Wir sind halt einfach nicht in der Lage dazu, dass wir so alleine ein ganzes EU-Gesetz stemmen. Und ich spreche aus Erfahrung, bei der Netzneutralität haben wir das ja geschafft mit Safety Internet. Und ich kann dir sagen, das war ein riesiger Kraftakt und da waren zig Organisationen dabei und dann hast du eine Chance.

Jetzt hast du unter anderem dann aber auch irgendwann diese, und davon hast du auch schon berichtet, in der Sprintjury, da gab es ja auch einige Kapriolen, einige durftest du erstmal nicht öffentlich reden, ich glaube, die sind inzwischen öffentlich bekannt, dann gab es diese wirklich, also da sind ja wirklich haarsträubende Dinge. Dann sitzt da eine Jury und sagt, okay, wir gucken uns jetzt hier mal die technischen Vorstecker an. Ich glaube, die Anja ist ja auch in der Jury drin.

Ganz genau.

Wer sitzt da noch so drin?

Auswendig weiß ich es nicht. Eigentlich sollte ich das wissen. Das war alles schon letztes Jahr, glaube ich, dass diese Juryentscheidungen getroffen wurden. Und ich habe ja hier auch in der Sendung... Auch schon im Vorfeld darüber berichtet. Das war sehr angenehm, weil da konnte ich Dinge sagen noch, bevor ich ein NDE unterschrieben habe. Das NDE findet man auch auf unserer Webseite. Und ich sage mal so, ich habe damals mich sehr klar dagegen geäußert, dass ich es wirklich einen katastrophalen Fehler fände, wenn Google eine Rolle im EI, das Ökosystem hätte, und man findet auf der Webseite der Jury auch, dass es einen Juror gab, der sich kritisch geäußert hätte und nicht dafür gestimmt hat, dass Google da mit dabei ist. Und die zwei Fakten lasse ich jetzt einfach so stehen.

Im Moment, wie war Google dabei?

Google war auch in dem Non-Funded Track des Sprint Funke dabei und hat da auch einen eingereicht und war auch in den ersten zwei Phasen dabei und in der letzten sind sie es aber nicht mehr drinnen gewesen.

Lass uns nochmal kurz, weil ich glaube die Begrifflichkeiten sind nicht allen Leuten klar, die die Terminologie hier kurz auflösen. Also Sprint ist die Agentur für Sprunginnovation, relativ neue, forschungsorientierte Unternehmung vom Staat gestartet, um sozusagen Entwicklungen zu beschleunigen. Das ist so ein bisschen die Grundidee. Die sind auch ganz interessant aufgestellt. Wir hatten ja auch schon mal hier eine Sendung von diesem Event berichtet und so. Da ist ja nicht alles schlecht. Und die haben sich aber nun voll eingebracht. Nicht nur, das ist nicht ihr einziges Thema, beileibe nicht, aber diese Eudi-Wallet ist eins ihrer Kernthemen geworden, wo sie sich sehr reingeschmissen haben mit diesem Wettbewerb. Dieser Wettbewerb, ein Entwicklungswettbewerb, wo dann einfach mehrere, Gruppen finanziert wurden in verschiedenen Runden, um Prototypen zu entwickeln für diese Wallet, also die sozusagen diesen von der EU vorgegebenen Standard auch konkret implementieren. Mit dem Ziel, ja, nicht unbedingt jetzt, um da mit dem Gewinner dann die offizielle Deutschlandwolle zu erzeugen, ich glaube, das kommt manchmal so ein bisschen rüber, sondern, wenn ich es richtig verstanden habe, um generell hier viele Gruppen erstmal in dieses Segment reinzubringen, ihnen die Möglichkeit zu geben, um hier Innovationen zu leisten, also in so einen offenen Wettbewerb zu treten bezüglich der Implementierung. Also wie läuft das wirklich ab, User Interface? Und wie oft haben wir uns über User Interfaces bei solchen Behördensoftware ja auch beklagt. Und das, was dort gezeigt wurde, war schon auch auf einem ganz anderen Level. Und so gab es dann Runde für Runde, Wobei dann in jeder Runde eben durch eine Jury, eben jene Jury, wo du jetzt mit dabei warst, ausgewählt, welche Gruppe von denen, die sich hier beworben haben und ich glaube, es waren relativ viele am Anfang, das war so zwölf oder sowas in der Größenordnung, kann das sein? Habe ich das richtig in Erinnerung?

Ich glaube, es waren sechs sogar in der ersten Stufe und dann haben wir immer um zwei reduziert auf vier und dann auf zwei.

Okay, mit sechs gestartet. Ich dachte, wir hätten es mehr.

Jeweils sechs im Funded und sechs im Non-Funded-Track.

Ah, okay, dann hatte ich die doch richtig im Kopf, die Zahl. Wie auch immer, auf jeden Fall wurde dann eben immer wieder bewertet, was dort getan wurde. Und dann durfte man in der nächsten Runde auch weiterhin dabei sein. Also wurde man auch weiterhin, also wenn es eh unfunded war, dann keine Ahnung so richtig, was da die Entscheidung dann...

Das dabei sein, sozusagen, bist du weiter interessant, weil das war ja auch ein Renommee, da dabei zu sein. Samsung und Google haben zum Beispiel auch, am Anfang waren sie noch dabei, weil natürlich die Gerätehersteller hier dabei zu haben, war schon, glaube ich, für manche auch irgendwie ein gegenseitiges Renommee, was man sich da gegeben hat. Ich hätte es jetzt nichts für sinnvoll gehalten, da einen koreanischen und einen amerikanischen Anbieter unbedingt für ein deutsches Projekt zu haben, aber für Google war es natürlich toll, weil Google, hey, sogar Deutschland, wo Datenschutz zu Hause ist, sogar die überlegen sich uns als Wallet zu verwenden. Ich glaube, dass Google dieses Argument natürlich in anderen EU-Staaten verwendet hat.

Ja, wie auch immer. Auf jeden Fall gingen das dann über so drei Runden und dann war auch irgendwann Schluss und dann gab es irgendwie ein oder zwei Gewinner in Anführungsstrichen, die es nicht großen Preis gewonnen haben, sondern die dann einfach nur so den Orden umgehangen bekommen haben. Mit unserer Meinung und der Jury nach war das jetzt die beste Lösung. Aber das Team, was jetzt heute die offizielle Deutschland EU die Wallet App macht, war jetzt in der Runde gar nicht dabei oder doch? War nicht.

Es ist relativ spannend. Es ist weder eines der Teams, die hier irgendwie durch den Wettbewerb gegangen ist, jetzt beauftragt worden, noch hat man auf den Technologien von damals aufgebaut. Soweit mir das bekannt ist, hat man sich dann trotzdem für den Stack der EU-Kommission entschieden und nicht den, der jetzt gerade in Deutschland entwickelt wurde. Es mag in Teilen natürlich Technologietransfer geben, aber man hat da schon irgendwie dann eher auf die EU gesetzt. Und Deutschland hat mit Abstand das größte Budget für die Umsetzung von EIDAS. In den meisten anderen Staaten reden wir da von zweistelligen Millionenbeträgen. In Deutschland sind es dem Vernehmen auch dreistellige Millionenbeträge. In Österreich gibt es bisher noch gar kein Budget. Also werden die Deadline wahrscheinlich einfach verschlafen. Und die Hoffnung war natürlich, wenn es jetzt ein Land mal sauber in datenschutzfreundlich baut, dass die anderen hinterherziehen. Weil ich kann nicht versprechen, in vielen Ländern in jetzigen Budgetkrise wird das kein prioritäres Ding sein.

Moment, ich habe jetzt eine kurze, nur dass ich das richtig verstanden habe. Ihr seid ja alle schön zu dieser Sprint-Jury gegangen, habt euch da die Diskussionen, die Gruppen und Sieger und hier und die ganzen, das sind ja auch, also das sind ja etwas ausführlichere Konzepte, ja. Ja, dann gab es diese Kapriole mit Google, ist im Non-Funded-Track und sagt einfach nur, hier geben wir mal übrigens die Referenzlösung ab. So, fuck you, Alter, nur um euch mal zu zeigen, was man hinkriegt, wenn man auf eure Kohle nicht angewiesen ist. Und dann wählt ihr da jemanden aus und zankt euch und so weiter und am Ende ist das alles quasi in der Schublade wieder verschwunden und wird von irgendjemand anders gebaut, fernab von jeder Konzeption und Arbeit, die ihr da geleistet habt.

Und was würdest du sagen, hat dieser Sprintprozess jetzt gebracht?

Also ich glaube, es ist zum Großteil in Deutschland eine Beschäftigungstherapie für die Community gewesen. Es war ein Stakeholder-Management für die Wirtschaft, um da einen Appetit zu schaffen und irgendwie eine Awareness, dass jetzt IIDAS wirklich der große Wurf von Minister Wildberger ist. Und es gibt ja auch ein, das habe ich noch nie gesehen, ein Memorandum of Understanding zwischen dem Ministerium und der Wirtschaft, wo man sich gegenseitig verpflichtet, IIDAS einzusetzen. I don't know what this is all for. Und es sind einige Sachen, die ich komisch finde, zum Beispiel auch, weiß nicht, die Rolle der Open Wallet Foundation, wo ja einige Leute in der Jury drinnen waren, auch einige Leute, die bei der Sprint arbeiten, für diese Open Wallet Foundation arbeiten. Und die Open Wallet Foundation ist zwar bei der Linux Foundation angedockt, aber kriegt ihr Geld großteils von der Industrie. Und ich habe da meine Fragen, ob dieses Konstrukt wirklich hier der Sache dienlich war oder ob man da nicht eher mal mehr Recherche bräuchte, um ein paar Sachen aufzudecken. Aber ja, es ist wenn du mich jetzt fragst, zu was hat das gebracht die Absicht war eine gute, deswegen bin ich ja auch in diese Jury reingegangen, weil ich dachte hey, okay, Deutschland will das ordentlich machen die wollen auch kritische Stimmen da drinnen, weil das wussten sehr von mir, und dann nehme ich den Ball auf und wenn es dann halt eine saubere Open Source Lösung gibt dann hilft das halt auch den anderen 26 EU-Staaten Dass es dazu jetzt nicht gekommen ist, zumindest nicht über die Sprint, finde ich schon mal sehr, sehr traurig, wenn nicht bedenklich.

Moment, habe ich das richtig verstanden, dass es Personalüberschneidungen zwischen der Sprint und der Open Wallet Foundation gibt? Und die Open Wallet Foundation wird, wenn du sagst aus der Industrie, dann meinst du Google.

Google, Microsoft, Visa, ja unter anderem. Das sind alles so die Sponsoren oder die Mitglieder bei dieser Open Wallet Foundation, die in diesem ganzen Thema auf mehreren Ebenen unterwegs ist. Die haben auch die Global Digital Corporation letztens eingerichtet. Das ist auch ein Gremium, das wirklich zwischenstaatlich das ganze Thema vorantreibt, über Europa hinaus und halt sozusagen dieses Konzept Wallets an die UNO angedockt in die Welt tragen will. Und da vielleicht auch so ein bisschen einen Gegenpol zu dem Digital Public Infrastructure Framework, das aus Indien kommt. Mir begegnet das teilweise dann auch auf den internationalen Konferenzen, dass man da halt einfach Leute von diesem oder jeder Gruppe hat und du kannst alles offen nachlesen auf der Webseite von der Open Wallet Foundation, wer für die angestellt ist und du siehst da aber eben Überschneidungen und das halte ich für zumindest ein Compliance-Thema. Vor allem, hier geht es ja um deutsches Steuergeld.

Und kannst du noch ein bisschen was zu den Hintergründen sagen? Vielleicht, wir haben jetzt viel über Konflikte und so weiter gesprochen. Was ist da jetzt für eine Implementierung, die da gerade vorangetrieben wird?

Was jetzt gerade wirklich so der Letztstand ist von dem, was in Deutschland jetzt entwickelt wird, kann ich dir gar nicht sagen. Da sind andere mehr eingebunden. Wie gesagt, VZBV hat jetzt jemanden, der in Deutschland an dem Thema arbeitet. Seit ich da nicht mehr in der Jury bin, habe ich mich damit, muss ich auch ehrlich sagen, nicht mehr so genau beschäftigt. Also ich bin eher in Europa zu Hause und in Deutschland gibt es bei Gott wirklich genügend Leute in der Netzpolitik, die da viel näher auch an den handelnden Personen dran sind. Und ich gebe da nur eher meinen Cent vor allen, die sich in das Thema einlesen wollen. Und ja, ich glaube mir, ich habe in Österreich teilweise auch genügend Schmerzen auszuhalten über die hiesige Umsetzung. Und ja, also das nur nochmal so, wie gesagt, bei der Meinung nach muss da mal tief gebohrt werden.

Aber also nochmal eure Juryarbeit ist im Prinzip in der Schublade verschwunden, und jetzt macht irgendjemand irgendwas.

Ja, das ist gut zusammengefasst.

Aber es war schon immerhin ein Open-Source-Prozess, also der ganze Code, der da entstanden ist, der ist jetzt nicht in einer Schublade.

Korrekt, alles was gefundet wurde ist Open Source und ich glaube auch, dass einige dieser Anbieter weiterhin auch unterwegs sind. Ich glaube einer war sowieso in der Schweiz auch schon für die dortige Digital Identity im Gespräch. Es gibt dann eine Firma aus den Niederlanden, die auch immer super coole Sachen gemacht hat. Dass ich glaube, dass es ja auch gut ist, wenn es jetzt hier Anbieter gibt aus Europa, die diese Technologie bauen können und vielleicht auch schon damit dann in anderen Ländern erfolgreich sind. Und man darf nicht vergessen, es gibt jetzt zwar die eine deutsche Wallet, die sozusagen der Staat anbieten wird mit Ende des Jahres, um seiner rechtlichen Verpflichtung genügend zu tun. Aber man hat ja gesagt, man will das öffnen, dass es auch alternative Apps geben kann, die sich zertifizieren lassen in Deutschland und dann halt auch eine deutsche App sind.

Das ist sowas von keine gute Idee, auch noch mehrere zu machen.

Ja, das wird sowieso noch mal besser. Also, das ist so gebaut, dass jeder Staat mindestens eine Wallet anbieten muss mit Ende diesen Jahres. Und dann ist es so, dass die Wallets sich aussuchen dürfen, welche Identitätsdokumente sie akzeptieren. Also du kannst jetzt sagen, die deutsche Wallet akzeptiert nur deutsche Pässe. Wenn es jetzt aber eine Wallet gibt aus einem anderen Land, die sagt, ich akzeptiere alle Pässe, dann kannst du als Deutschland auch nichts dagegen tun. Also wenn Google jetzt zum Beispiel klug ist und sagt, okay, in Deutschland funktioniert es vielleicht nicht, aber Malta, Zypern, Irland, so eines dieser Länder, die vielleicht da keinen Bock drauf haben oder die Kohle für das Softwareprojekt nicht haben. Wir gehen zu denen und sagen, hey, anstatt dass sie jetzt irgendwie Millionen ausgibt, wir haben hier eine fixfertige Lösung, zertifizieren uns das und auf einmal ist Google zertifizierte Eudi-Wallet und in ganz Europa akzeptiert. Und dann kann Google entscheiden, welche Pässe sie akzeptieren oder nicht.

An welcher Stelle hätte man das verhindern müssen?

Im Gesetz. Das ist ihnen relativ spät aufgefallen. Ich erinnere mich noch, dass die Franzosen Fuchsdorfes wild waren und das noch korrigieren wollten. Aber da haben sie sich nicht durchgesetzt. Die Franzosen haben sowieso bei dem ganzen Thema eigentlich eine relativ erstaunlich positive Rolle gespielt. Das ist anders als sonst in der Netzpolitik. Aber in dem Thema wäre es halt auch klug gewesen, dass du sagst, so ja, maybe we need some guardrails. Ich war ja damals sowieso für ein Verbot von Big Tech als Wallet-Provider. In dem ganzen Ökosystem haben die nichts zu suchen. Aber mir ist damals gesagt worden, das braucht man nicht ins Gesetz schreiben, das wird eh nie passieren. Niemand ist so dumm, dass er Google eine Wallet bauen lässt.

Aber dann hat man sich überlegt, das ist natürlich technologieneutral.

Ja, also das ist der traurige Zustand. Ich würde mich wirklich freuen, wenn mehr Menschen dem Ganzen mehr Aufmerksamkeit schenken. Ich bin wirklich jetzt schon seit so vielen Jahren die Kassandra, die irgendwie den Leuten die Ohren abnagt mit diesem super technischen EU-Thema. Und ich habe so die Hoffnung, dass jetzt, wo das Ganze realer wird, näher kommt, dass es mehr Menschen gibt, die dem Ganzen endlich mehr Aufmerksamkeit geben, weil das braucht es ganz dringend und zwar bevor es zu spät ist, sowohl auf der technischen Ebene wie auf der Compliance-Ebene, auf der regulatorischen Ebene und vor allem eben dann auch, wie wir als Gesellschaft den Scheiß nutzen wollen und wo vielleicht nicht. Es gab auch bis Mittwoch dieser Woche, letzte Woche, war die Begutachtung für das deutsche Gesetz zu EIDAS Umsetzung. Ich habe es zugespielt bekommen. Ich gestehe auch, ich habe es mir nicht mal angeschaut. Ich hatte die Zeit einfach nicht. Aber auch in Deutschland passiert da gerade sehr viel.

So, wie würdest du denn jetzt insgesamt den, ich denke, wir haben jetzt alles so mal aufgerollt, auch wirklich, ich finde das immer so faszinierend wenn man sich solche Sachen über die Jahre anschaut was sich da an an wirklich so Schock, so what the fuck Momenten anhäuft, ja die. Was wäre dein Fazit, wie du heute darauf blickst? Also ich meine, diese Sprintsache, da scheinst du sehr, ich sag mal, da klickt deine Ernüchterung, glaube ich, raus. Also ich glaube, dieses NDA, ich weiß jetzt nicht genau, gut, du hast gesagt, du hast es veröffentlicht. Ich meine, an dieser Stelle ist natürlich ein NDA, das klingt jetzt so schlimm, aber ich finde es jetzt auch nicht so absurd, einer Jury zu sagen, pass mal auf, damit diese Jury hier offen miteinander reden kann. Ja, damit erstmal grundsätzlich hier klar ist, dass nicht irgendjemand rausgeht und meint, was weiß ich, auf Social Media oder rumranten zu müssen und irgendwelche Menschen individuell angreifen zu müssen und irgendein Quatsch, dass man halt in so einer Jury alle, die da sind, sicher arbeiten können. Und insbesondere, wenn da jemand sitzt wie du, der eben potenziell auch eine sehr andere Meinung vertritt, dass sie natürlich sagen, okay, wir möchten ein konstruktives Juryumfeld haben, wo wir auch wissen, dass nicht der Lohninger nachher rausgeht und sagt, XY hat gesagt so und so. Und dann werden wir nachher, was weiß ich, von irgendwelchen Idioten beschimpft oder so. Insofern finde ich das jetzt nicht so völlig abwegig, dann NDA zu haben, aber ich habe es jetzt auch nicht gelesen.

Wir verlinken es einfach. Im Kern geht es einfach nur darum, dass vor allem jene Firmen, gegen die du dich entscheidest, dass diese Information nicht rausgehen sollte. Also da, wo du sozusagen wirklich diese Abwägung triffst und der Teil, der eh öffentlich ist. Wie mein Minderheitenvotum, also das eine Minderheitenvotum von einem der Juroren. Wir wissen ja nicht, wer es war. Aber die Sachen, die kann man ja alle diskutieren, auch wer sozusagen gewonnen hat. Das ist alles öffentlich auf der Webseite. Man sieht auch, wer sonst in der Jury ist und zum Beispiel auch, wo diese Leute arbeiten. Das kann man ja alles sehen und diskutieren. Jene Informationen, die du einfach nur aufgrund der Jury-Tätigkeit bekommst, die unterliegen der Vertraulichkeit. Das sind halt eben dann auch die Anträge, über die du zu entscheiden hast. Und das finde ich auch okay. Das ist der Teil der Vertraulichkeit, den man wahren kann. Und ja, also das ist auch nichts Unübliches. Also ich meine, du hast in der IT-Security ständig mit NDS zu tun, wenn du die Innereien von Firmen kriegst und ich habe selten NDAs, aber zum Beispiel, wenn wir Code Audits machen, damals von der Stop Corona App in Österreich, hatten wir auch ein NDA, was wir unterschreiben mussten. Unser Prinzip ist immer, das können wir nur machen, wenn wir das NDA selber online stellen, weil die Leute müssen genau wissen, zu was wir nicht sagen dürfen, damit sie uns noch vertrauen können.

Soll man dann verstehen, man muss ja trotzdem immer die Frustration, diese ganze Arbeit da geleistet zu haben und dann verschwindet die in der Schublade, die finde ich jetzt ein bisschen irritierend. Für alle Beteiligten.

Ja, durch mein Steuergeld und Open-Source-Projekte. Also ich hatte wirklich große Hoffnung und wie gesagt, ich glaube, dass das für die einzelnen Firmen, die da Geld bekommen haben und das waren wirklich alles KMUs, da war es sicherlich auch jetzt gut investiertes Geld. Weil das ist ja auch was, wo ich glaube, es ist gut, wenn wir Organisationen haben, die sowas technisch beherrschen und halt dann auch gleich mit dem Anspruch und das muss alles in datenschutzfreundlich gebaut sein. Besser ist, wenn es von Big Tech kommt, aber dass man dann halt eben nicht darauf aufbaut. Das ist auch eine Frage, die man der Sprint und an der Stelle vielleicht auch Minister Wildberger stellen muss. Weil ich meine, ich finde es ja auch spannend, dass das jetzt jemand ist, der sich auch mal hinstellt und sagt, das ist etwas, was ihm politisch auch ein Gewicht hat. Und für Deutschland hängt da ja viel dran. Deutschland hat bisher die geringste Verbreitung von digitalen Identitätssystemen, wenn man das vergleicht mit anderen EU-Ländern. Und ich glaube, genau da wollen sie ran. Und es ist ja auch schön, wenn Leute dann zurücktreten müssen, wenn der ganze Shit scheitert.

Ja, also ich bin ehrlich gesagt immer schon ein bisschen skeptisch gewesen, was vor allem so diese Idee mit, man macht da einen offenen Markt für Wallets und Wallets sind halt eigentlich jetzt dafür gedacht, so eine hoheitliche Aufgabe wiederzugeben. Was soll das für ein Markt sein? Also man stellt sich jetzt mal vor, man hält jetzt eine Firma, die so ein Wallet anbieten will und du konkurrierst dann erstmal gegen die offizielle deutsche Wallet-App, also die sozusagen von der Bundesregierung dann ausgegeben und, promotet wird und auch noch gegen 27 andere offizielle Wallets, die von anderen Staaten ausgegeben werden, die auch alle irgendwie das gleiche tun letzten Endes, die sich dann vielleicht nur darin unterscheiden, welche Sprache die unterstützen, aber vielleicht müssen die dann auch eigentlich alle unterstützen, weil es sind ja auch irgendwie EU-Anwendungen, also das finde ich schon mal ein bisschen merkwürdig. Wo soll denn da noch Luft sein für eine Wallet, die jetzt per se allein schon aus Privatsphäre gründen, da kein Geld wirklich draus machen kann. Also die können ja nicht dann anfangen, die Daten der Nutzung zu verkaufen und daraus ein Businessmodell machen, das würde ja dem ganzen Projekt einfach fundamental widersprechen. Ich hatte auf einem dieser Sprint-Events auch mit ein oder zwei dieser Gruppen darüber gesprochen und die. Haben so ein bisschen rumgedruckst, aber im Wesentlichen meinten sie, naja, sie sehen jetzt auch nicht so sehr in der Wallet selber eine Marktschance oder dass sich das in irgendeiner Form für sie rechnet, sondern sie würden dann eigentlich alle in irgendeiner Form mit Backend-Lösungen, die im größeren Sinne mit dieser ganzen Infrastruktur zu tun haben, also sprich Implementierung für Online-Shops und so weiter, die dann quasi die andere Seite machen, damit halt eigentlich eher an den Markt rangehen. Also das ist so das eine und ganz ehrlich, ich habe auch noch so ein bisschen meine Zweifel, ob sich das technologisch so als App auch groß durchsetzen können wird, weil es natürlich eh klar ist, dass du in den Betriebssystemen der beiden Hersteller letzten Endes sehr viel mehr Möglichkeiten hast. Ist ja logisch, wenn Apple und Google das direkt in ihr Betriebssystem einbauen, wo es meiner Meinung nach auch hingehört. Nicht, weil Google und Apple dann die Kontrolle haben sollen, sondern das muss natürlich rechtlich entsprechend abgesichert sein. Also ich würde eher sogar dazu sagen, sie müssten eigentlich verpflichtet werden, so etwas einzubauen, beziehungsweise ihre Betriebssysteme so auszustatten, um sicherzustellen. Dass es allen Standards entspricht, aber dass es eben auch maximal integriert ist. Dass man wirklich sagen kann, ja okay, ich will jetzt hier mich bei der Behörde anmelden, zack, Perso hochbringen, genauso einfach wie eine Kreditkarte. Warum soll das jetzt irgendwie schwerer sein? Und ich glaube, da wird es dann sowieso drauf hinauslaufen. Deswegen ist hier einfach der Rechtsrahmen gefragt. Aber man merkt auch einfach, dass Europa mit dem ganzen Scheiß einfach nicht genug Erfahrung zu haben scheint.

Nur nochmal ein Nachtrag, weil für euch beide das so wichtig ist, dass man hier ein Ökosystem an Wallet-Anbietern hochziehen will. Dasselbe hat von der Leyen unser Mittwoch auch über die Altersverifikations-App gesagt. Also es soll explizit hier auch die Möglichkeit geben, für Drittanbieter solche Altersverification-Apps gemäß den Blueprints der Kommission zu bauen, solange die interoperabel sind und sich halt an den Datenschutz halten.

Da habe ich eine gute für euch Kinder. Da habe ich eine richtig gute. Da ist die Schülerausweis-App vom Onkel Linus.

Ich würde sagen, man müsste da konsequent einfach auch noch weiter voranschauen. Dann sollen einfach auch Firmen in der Lage sein, Personalausweise auszustatten und Reisepässe. Dann ist einfach der Markt einfach komplett geöffnet.

Dann machen wir einfach die gesamte EU jetzt zu gehen.

Ja, da kann doch noch jeder seine eigene EU gründen. Ja, welche EU sind sie denn? Ja, die bestmögliche, die es gibt. Wir haben die besten Dienstleistungen für Sie. Ja, okay. Also ich muss immer sagen, danke Thomas, trotzdem, dass du dir das einfach… Ja, also ich meine, ich glaube, dass auch deine Tätigkeit, glaube ich, von außen oft missverstanden wird, was da überhaupt deine Rolle war. Du warst ja jetzt nicht dafür gedacht, in irgendeiner Form ein offizieller Vertreter zu sein, sondern die haben halt für ihre Jury, also für diese Jury-Tätigkeit im Rahmen eines Wettbewerbs, die halt von dieser Sprint gemacht wurde, die nicht rechtlich in irgendeiner Form verbindliche Entscheidungen gefällt hat, sondern die quasi so eine Art, ja was auch immer das jetzt genau war, so eine Marktbespielung gemacht hat mit der Technik und sozusagen mit Innovationen gespielt hat. Das ist ja irgendwie der Sinn der ganzen Sprint. Nicht mehr und nicht weniger, aber vor allem bist du halt in dieser politischen Diskussion beteiligt gewesen und das ja gefühlt fast als einziger. Ja, ich kann verstehen, dass es einem schlaflose Nichte gebracht hat.

Ja, also wirklich wird man es erst sehen, wenn das System bei der Bevölkerung ankommt. Aber ja, dafür gibt es eh noch zwei weitere Themen. Vielleicht kommen wir auf die noch zu sprechen. Das eine ist, aktuell gibt es immer noch Dinge auf EU-Ebene, über die verhandelt und gestritten wird. Also da gibt es auch wieder eine Hierarchie, das Gesetz ist verabschiedet seit 2024, aber jetzt gibt es die sogenannten Durchführungsrechtsakte. Das sind die Beipackzettel, die sind auch rechtsverbindlich und da werden die technischen Standards festgelegt von IIDAS. Ein Großteil dieser Durchführungsrechtsakte ist schon beschlossen und jetzt gerade werden aber noch einmal drei verhandelt. Also die wurden sozusagen neu aufgemacht und obwohl sie erst vor einem Jahr beschlossen wurden, fasst man da nochmal rein. Und da geht es gerade aktiv auch um fünf Themen, wo wir kämpfen, dass die verbessert und nicht verschlechtert werden. Da gab es einen offenen Brief und eine Analyse von uns, die verlinken wir auch alle. Worum geht es dabei, ist es eigentlich die brachialste Sache, ist, wenn man jetzt diesen statischen Ausweis hat in seiner Wallet, ja, dann hast du ja da natürlich gewisse Eigenschaften, die dich als Individuum identifizieren. Das ist natürlich dein Name, das ist deine Adresse, dein Geburtsdatum, man nennt das eben so Personal Identification Data, PIT oder die Stammdaten. Und jetzt will man so ein paar Monate, bevor das System live geht, in dieses Minimum Data Set, also das, was jede Person eindeutig identifiziert, auch noch ein biometrisches Passbild hinzufügen. Und, Dem sozusagen auch nochmal beistehen, dass du dann, also die Information, mit der du dann auch über Gesichtserkennung natürlich identifiziert werden kannst, dieser PIT, diese Stammdaten einer Person, die werden auch immer zur Gänze übertragen und zwar auch egal, ob du es jetzt online machst oder offline. Bei Offline könnte man es theoretisch irgendwie rechtfertigen, wenn du sagst, du willst schauen, ob die Person, die vor dir steht, auch jene ist, die sich gerade identifiziert bei dir. Aber wenn du das erlaubst, dann erlaubst du es auch für die Online-Variante aus der Distanz, wo du es absolut nicht bräuchtest. Also das gehört einfach rausgestrichen. Das ist ein Wahnsinn, dass sie das jetzt hier noch versuchen reinzuverhandeln. Dem Vernehmen nach ist das, weil die Kommission gerne Interoperabilität hätte mit Australien, Japan und Kanada. Weil in deren System, um mit denen interoperabel zu sein, braucht man diese biometrischen Daten. Das ist die eine Baustelle. Die anderen vier sind, wir haben immer noch Schlupflöcher bei den Registrierungszertifikaten. Ich rede ja immer davon, dass man sich als Firma registrieren muss oder auch als staatliche Stelle, bevor man die Wallet verwenden darf. Und dann prüft die Wallet, ob du eh nur das fragst, was du registriert hast. Aber wenn du darüber hinausgehst, gibt es ja eine Warnung für den User. Diese Warnung braucht aber ein sogenanntes Registrierungszertifikat. Im Moment ist das optional. Deutschland würde das ausstellen, Österreich auch, Niederlande auch, Frankreich auch, aber Irland wahrscheinlich nicht. Das heißt, wenn ich dann mich als Firma in Irland ansiedle, bin ich wiederum im Leo, im regulatorischen Safe Harbor und kann mich vor dieser Verpflichtung drücken. Deswegen müssen die einfach für alle verpflichtend sein. Wir haben immer noch große, große Lücken bei dem Recht auf Pseudonymität. Da kämpfen wir jetzt schon von Anfang an eigentlich darum, dass du eben überall da, wo es keine KYC-Verpflichtung gibt, wo du nicht rechtlich verpflichtet bist, dich zu identifizieren, Da musst du auch ein Pseudonym verwenden dürfen. Das steht im Gesetz drinnen. Die Kommission stellt sich hier aber blau, taub und dumm und macht die ganze Zeit Dinge, die eigentlich dem Gesetz widersprechen, meiner Meinung nach. Da kämpfen wir auch darum, dass das endlich jetzt noch gefixt wird. Das ist vielleicht die letzte Chance. Das würde halt bedeuten, dass du bei Facebook nicht einen echten Namen hergibst, sondern einen Fake-Namen hergeben kannst. Dass du auf irgendein Online-Forum, solltest du deinen Namen mit dem Forum teilen, das muss dann nicht ein bürgerlicher Name sein, ein echter sein, sondern kann irgendein anderer sein. Auch ein riesig wichtiges Thema erst recht für alle Menschen, die schon mal ihren Namen geändert haben. Und ja, Tracking-Schutz wird auch nochmal abgemindert, also da wo ich habe ja von Unlinkability gesprochen, die ist im Gesetz knallhart definiert und jetzt versuchen sie das hier über die Revocation-Zertifikate abzumindern und im Gesetz ist es als Erfüllungstatbestand drinnen und jetzt wollen sie sozusagen, du musst dich bemühen, dass du, nicht getrackt wirst. Was hat auch heißt, mit genügend Aufwand kannst du getrackt werden. Das ist auch wiederum, mag super technisch klingen, aber kann in der Praxis einen riesigen Unterschied machen. Gerade Revocation ist halt ein super kompliziertes, wichtiges Thema und oft leaky. Ja und zuletzt, ich habe schon erwähnt, Passkeys und WebAuthn ist der Weg, wie die Wallet als Login-Weg verwendet werden kann. Und da will man jetzt auch das so bauen, dass du auch einen dezentralen Web-of-N-Applikationen verwenden kannst. Das ist eigentlich eine gute Sache. Eigentlich willst du ja nicht nur die Wallet verwenden, sondern ich werde meine Parsky sicherlich nicht in der digitalen Brieftasche haben. Aber gleichzeitig, was die Kommission hier macht, ist die eine Verpflichtung für Big Tech, die Wallet zu unterstützen, so auszulegen, dass Big Tech genau gar nichts ändern muss. Also jeder Login-with-Parsky-Knopf bei Facebook würde dann das Gesetz erfüllen. Und da muss man zumindest mal die Sinnfrage stellen, ob das wirklich so klug ist, auch wenn ich da sagen muss, natürlich alternative Parskys. Die Bestimmung heißt dann halt einfach gar nichts. Also alles, was das dann bedeutet, ist, jeder Big Tech-Plattform, jeder V-Lop, auch Wikipedia müssen Parskys verwenden. Das ist, worüber jetzt noch gestritten wird. Seit Februar liegen diese Texte vor. Wir haben in der Konsultation uns geäußert. Wir haben es geschafft, dass Medien darüber berichten. Das ist auch jedes Mal ein Kraftakt, dass dieses Thema Leute interessiert. Aber es gibt gute Berichte auf Netzpolitik.org und auch auf Politico. Und inzwischen haben auch Deutschlandfunk, der Standard und der ORF nachgezogen. Und jetzt wahrscheinlich im Mai kriegen wir die finale Entscheidung über diese fünf Themen, die noch offen sind.

Pfff. Alright. Pass-Keys. Jetzt müssen wir nicht nochmal genauer, aber eigentlich dürfte das nicht, ausspezifiziert sein mit Pass-Keys. Also du willst ja irgendwo auch noch was Signiertes haben. Also Pass-Keys.

WebAuthn haben sie jetzt im Standard reingeschrieben.

Aber ich verstehe nicht so ganz genau, was welche Rolle das machen soll. Also ich meine, Passkeys sind eine sinnvolle Sache, das kann man jetzt erstmal technisch festhalten. Das ist das, was man haben will, was Passwörter jetzt mittelfristig auch ablösen soll, aber inwiefern spielt das jetzt für diese Wallet eine Rolle?

Die Wallet hat die Funktionalität als Login-Weg zu fungieren. Das schreibt das Gesetz vor und diese Durchführungsrechtsakte sagen jetzt ja und das machen wir mit WebAuthn. Das ist ja auch noch der gute Teil, finden wir alle gut. Und nun ist es aber so, dass es gab im Gesetz auch immer die Verpflichtung, die Big Tech-Plattformen müssen die Wallet als Login-Möglichkeit auch unterstützen. Und das wurde jetzt aber so gelöst, ja, ja, die müssen nicht die Wallet als Web-of-N-Login-Weg verwenden, sondern irgendein Web-of-N-Interface. Und wie gesagt, in der Sache finde ich das ja sogar gut, weil ich will die Wallet auch nicht verwenden für meine Passkeys. Aber es ist halt trotzdem diese Verpflichtung, die der Gesetzgeber da reingeschrieben hat, wird damit eigentlich umgedeutet aus Facebook, ihr müsst gar nichts machen, ihr seid eh schon compliant mit dem Gesetz. Das ist worum es geht.

Also, der Teil, der mir da noch nicht so ganz klar ist, ist, also irgendwie musst du dich authentifizieren und das Schlüssel basiert zu machen, ist erstmal sinnvoll. Der Identity Teil kann eigentlich nur dann entstehen, wenn du irgendwie an den Passkey auch mit einem Zertifikat noch irgendeiner Identity bindest das heißt der, restliche Teil, was jetzt wirklich die Identität ist das ist halt nicht Teil von WebOFN in dieser Anwendung das ist separat, alles was dann.

Wirklich Identifikation macht, Daten weitergibt. Ich habe auf jeden Fall auch noch was zum Klicken mitgebracht. Dieses Thema beschäftigt uns eben schon sehr lang und wir haben auch Software gebaut, um es im nächsten Jahr, wenn man dieses Ökosystem ausrollt, anderen leichter zu machen, irgendwie einen Überblick zu behalten. Wer verwendet jetzt diese digitale Brieftasche? Welche staatliche Stelle setzt sie ein? Welche Firmen haben sie ausgerollt? All das soll beantwortet werden über die Webseite whoidentifies.me ist eine freie Software, die wir geschrieben haben. Ich habe eingangs erwähnt, es gibt diese Registrierungsverpflichtung und in dieser staatlichen Registry von allen Use Cases und allen Firmen, die irgendwas über die Wallet wissen wollen, da docken wir uns an mit diesem Projekt und aggregieren die nationalen Ökosystem-Registries aus allen 27 EU-Staaten und bauen damit eben so eine europaweite Transparenz, dass du genau sehen kannst, welche staatlichen Stellen, welche Pornow-Webseiten zur Altersverifikation verwendet, Frontex dieses System. Du kannst dir halt echt, egal wofür du dich interessierst, wenn du im Gesundheitsbereich als NGO arbeitest oder Verbraucherschutz machst, dann kannst du trotzdem über unser System sehr freien Granular den Teil des Ökosystems dir anschauen und Echtzeitalerts über E-Mail bekommen, wenn sich irgendwas ändert. Und das Ziel ist halt einfach. Es, unseren Teil des Zauns, also allen NGOs und allen WissenschaftlerInnen und JournalistInnen zu ermöglichen, dass man einen Überblick behält über das Ökosystem. Und im besten Fall, wenn da wirklich jetzt Schindluder getrieben wird und schlechte, gefährliche Use Cases aufkommen, was wahrscheinlich nur eine Frage der Zeit ist, dass wir da zumindest von Tag 1 das Wissen und diese Debatte auch führen können. Und im besten Fall natürlich auch dann gleich regulatorisch dagegen vorgehen. Das Ganze ist freie Software und Open Data und es gibt jetzt einen Prototyp auf Demo.2identifies.me, den man schon klicken kann. Montag ist der letzte Workshop. Wir haben gerade Workshops mit der Community, um das weitere Development noch auszurichten an dem, was auch hilfreich ist für NGOs. Und Ende des Jahres wird dann ein fertiger Pilot, der auch hoffentlich schon die ersten nationalen APIs integriert.

Und wo werdet ihr dann die richtigen Daten herbekommen? Also diese Demo arbeitet jetzt noch mit künstlichen Daten.

Jetzt ist noch alles gewürfelt, synthetische Daten. Und es gibt diese Registry, die auch über eine API scrapebar ist. Das haben wir schon im Gesetz drinnen, das ist fix. Das heißt, du kannst über diese API, ohne dich zu authentifizieren, das komplette Ökosystem abfragen. Das heißt, du kriegst wirklich immer das komplette Bild, wer ist jetzt in welchem Land registriert. Das heißt, du kennst jede einzelne Reliant Party, sowohl staatliche Stellen wie auch private Firmen.

Okay, aber das heißt, das ist jetzt keine individuelle Auswertung oder Antwort, die man da bekommt, sondern einfach alle, die sich dort angemeldet haben. Okay, weil bei mir steht Deutsche Bank Frontex und U-Front.

Ja, das ist jetzt mal nur unsere kuratierten synthetischen Daten.

Dachte ich, das kann eigentlich nicht sein.

Noch nicht, wer weiß. Genau, ich mache jetzt einfach weiter, weil wir sind schon so lange. Ich habe noch drei kleine Themen. Ich war bei der Telekom Hauptversammlung vor zwei Sendungen, habt ihr eh die Rede eingespielt. Vielen Dank dafür. Ich wollte nur nochmal nachberichten, dass ich natürlich keine Telekom Aktien besitze, das lasse ich mir nicht nachsagen.

Achso echt?

Nein.

Ich dachte das muss sein.

Nein.

Damit man da reden darf.

Es gibt die tolle NGO, Dachverband der kritischen Aktionärinnen und Aktionäre. Die machen seit 40 Jahren coole Arbeit, indem sie halt einfach bei diesen Aktionärsversammlungen der Zivilgesellschaft eine Stimme geben. Die machen wirklich geilen Scheiß, so im Sinne von Bergbaukonzern aus Deutschland, lässt auf Gewerkschafter schießen und dann nehmen sie die Hinterbliebenen dieses Massakers und bringen die zur Aktionärsversammlung, geben denen ein Rederecht. Die sind vor allem Klima- und Sozialthemen aktiv und bei der Telekom haben sie halt vor ein paar, 2017 das erste Mal angefragt bei mir und dann bin ich dort hingegangen, das war meine dritte Rede jetzt dieses Jahr, um auf Streamon, um auf, Macht der Gewohnheit, um auf Netzbremse hinzuweisen, unsere Beschwerde gegen die Deutsche Telekom bei der Bundesnetzagentur und eben auf dieses ganze Problem mit der Zusammenschaltung bei der Telekom. Da gab es in letzter Zeit auch sehr coole Videos von den Space Frogs, die kannte ich vorher nicht, aber ich fand es sehr lustig, wie die dieses Thema aufbereitet haben. Und ja, es war einfach eine wirkliche Freude, da mal dem Herrn Höttges und dem Aufsichtsrat und Vorstand die Leviten zu lesen und dort klar zu sagen, dass das, was sie da tun, illegal ist und gegen die Netzneutralität verstößt und dass wir da kämpfen werden. Und ich habe es auch bewusst gemacht, weil damals habe ich das ja schon 2017 und 2019 wegen Stream On getan und ich habe Recht behalten und jetzt bin ich halt wiedergekommen, um zu sagen, und auch dieses Produkt von euch oder diese Geschäftspraxis von euch ist illegal und wir werden es abschaffen. Und es gab dann sogar noch so ein Technikl-Mächel, weil ich habe dann irgendwie gesagt, ja, VPNs sind der einzige Weg, wie die Leute sich zu helfen wissen. Und dann hat mir Herr Hötges vorgeworfen, ich hätte irgendwie eine einzelne Mitarbeiterin hervorgezaubert und die angeschuldigt, was ja nicht der Fall war. Ich habe von einem systemischen Problem geredet und die Telekom hat in hunderten ihrer Foreneinträgen Leuten, die sich beschwert haben, gesagt, naja, dann verwende halt ein VPN, damit du auf dein E-Learning hinkommst oder damit du diesen Dienst nutzen kannst, was natürlich ein Wahnsinn ist, dass ich ein VPN zahlen muss, das die Telekom bezahlt. Damit ich zu den Daten komme, die ich eigentlich im Internet abrufen will.

Ja.

Ja, also ich habe mir jetzt mal einen Aktienkurs der Deutschen Telekom angeschaut.

Weht man zum kritischen Aktionär, ne?

Gleich nach dem 1.4. ist das erstmal in den Keller gegangen.

Yes.

Der holt sich jetzt erst langsam wieder. Also da waren sie noch irgendwie bei 32 und mittlerweile 28, wieder 29, na ja. Tja.

Ich muss nur ganz kurz noch was zum Aktienkurs der Deutschen Telekom. Also die Telekom-Aktie, die Volksaktie, die hat ja nun wirklich einen großen Unterschied des deutschen Bürgertums enteignet. Was haben sie alle in die Telekom-Aktien gekippt und die war irgendwie in den 2000ern war die irgendwo bei 89 Euro, und wenn du sagst die ist heute bei 29 also die hat sich von 2009 ich sehe hier.

Dass sie gestartet ist 43, 80 da gab es vielleicht nochmal einen Split, aber sie ist trotzdem noch nicht wieder auf ihrem Ausgabewert Ich glaube.

Ihren Ausgabewert hat sie zumindest in dem Google-Chart jetzt schon irgendwann mal wieder. Aber ja, es ist auf jeden Fall eine gute Geldsenke gewesen. Und insofern kann ich mir vorstellen, warum die kritischen Aktionäre so viele T-Aktien haben. Erstens günstig und zweitens viele kritische Stimmen.

Ja, es ist halt auch wirklich der Großteil der Menschen, die dort hinkommen, kommen halt aus dem Streubesitz dieser Aktien. Also das sind halt wirklich alles Rentnerinnen und Rentner. Manche bringen inzwischen schon ihre Kinder mit. Also das ist so eine Familientradition für viele Leute, da hinzukommen.

Was, auf einer Hauptversammlung von der Telekom?

Hauptversammlungen sind Was? Da gibt es kostenloses Essen.

Achso.

Und wenn du das ganze Familienvermögen in die Scheißaktien gesteckt hast, dann freust du dich wenn du mal einmal was Essen hast, was du kriegst.

Fluchkü ist das, ja? Die ganzen geprellten Aktienhalter der Telekom kriegen dann einmal im Jahr was zu essen. Ist schön.

Ja, auf jeden Fall. Weil ich habe auch die Antwort bekommen, die ich wollte. Ich glaube nicht, dass sie vollständig ist, aber rund 100 Millionen Euro Umsatz macht die Telekom mit der Zusammenschaltung ihres Netzes. Und da ist halt sehr wahrscheinlich halt ganz viele Firmen, die diese Zahlungen nicht freiwillig leisten, sondern das als Schutzgeld dafür hinblättern, dafür, dass sie halt für die Kunden der Telekom gut erreichbar sind. Das ist genau diese bezahlte Überholspur, die wir hier angreifen. Wenn es hier noch weiteres Interesse gibt, auf Netzbremse.de alle Infos und alle weiteren Dinge, die man tun kann. Wir haben auch einen Speedtest und wir haben viele Sachen, wo man uns helfen kann. Wir sind jetzt in der entscheidenden Phase des Verfahrens. Also jetzt müssen wir uns gerade anstrengen, dass wir das Himmel kommen. Und ja, dann geht es auch da auf EU-Ebene weiter, weil seit, das haben wir letzte Sendung kurz erwähnt, Seit Jänner gibt es ja den Digital Networks Act, also wir sind in der Mitte einer Reform der Netzneutralität gerade. Und ich hatte jetzt auch schon das Vergnügen eines ersten Hearings im Europaparlament zu dem Gesetz und das wird die nächsten Jahre ein weiteres großes Thema. Also jetzt wo EIDAS vielleicht in die Implementierung rüber geht, kommt gleich die nächste Baustelle.

Du kannst ganz schön böse gucken irgendwie. Also hier bist du ja immer so nett, aber in der Hauptversammlung hast du ja richtig so. So, was hast du denn noch für uns?

Ja, noch wirklich, jetzt bin ich auch schon wieder. Ganz kurze Thema noch. In Österreich haben wir gerade auch die Situation, dass wir wie in vielen Ländern, wenn man als Sicherheitsforscherin das Richtige tut und eine Lücke an die Hersteller meldet, kann das gefährlich sein, weil Responsible Disclosure ist bei uns nicht geschützt. Wenn man eine Lücke meldet, kann es einem passieren, dass man statt einem Dank eine Strafanzeige bekommt. Und das ist ein Thema, das uns schon länger umtreibt, auch weil wir selber betroffen waren. Es wurde ja auch schon mal zwei Jahre gegen mich ermittelt, wegen Hacking, weil wir Responsible Disclosure in der Pandemie gemacht haben.

Echt?

Und das ist nicht lustig, weil so ein beschuldigten Status ist ja nicht ganz angenehm. Anyway.

Ja, aber wie ist das ausgegangen?

Es wurde eingestellt natürlich und am Ende musste sich der Minister entschuldigen.

Du bist also gar kein richtiger Hacker.

Nein, eigentlich nicht. Habe ich nie behauptet. Aber der Minister musste sich entschuldigen, weil es war wirklich das Gesundheitsministerium, das, wie haben wir gesagt, Ehe ist eine Lücke und die so Anzeige. Und ja, es gab einen Deal zwischen der Regierung und den Grünen in Österreich, weil das NIS-2-Gesetz in Österreich braucht eine Verfassungsmehrheit und die haben die Grünen verschafft und im Gegenzug haben sie sich herausverhandelt, dass die Regierung jetzt dieses Thema Ethical Hacking neu regeln soll. Und es gab einen Entschließungsantrag, der die Regierung beauftragt, sich das anzuschauen und zu evaluieren. Wir sind gerade im Gespräch dazu. Es gibt einen Aufruf für alle Betroffenen in Österreich, weil wenn ihr schon mal mit Sicherheitsforschung in Österreich zu tun hattet, egal auf welcher Seite, auch wenn ihr die wart, die dann nicht, Responsible Disclosure gemacht haben, weil es euch zu heikel war oder weil ihr schon mal in einer Behörde war, die Anzeige erstatten musste. Aus irgendeinem Grund gibt es ja auch, weil das eben ein Offizialsdelikt ist. Das sind alles so Sachen, wo wir diese Storys gerade brauchen für den politischen Prozess. Im Oktober wird es auch eine mini-parlamentarische Enquete dazu geben und wir sind jetzt gerade beim Sammeln von Informationen. Es liegt bei meinem Kollegen Sebastian das Thema und wir verlinken den Post, wo sich Menschen gerne melden können, wenn sie in Österreich da schon Erfahrungen gemacht haben. Ja, und zuletzt noch ein Tipp für alle, die in Österreich alte Geräte zu Hause herumliegen haben, alte Laptops, Tablets, die sollen diese Geräte bitte zu PCs für alle bringen. Das ist eine NGO, die sammelt alte Geräte, säubert die, installiert da Linux drauf und verteilt sie dann an bedürftige Familien und schickt auch Geräte an die Ukraine. Das ist eine super NGO, die letztens erst wieder ein paar Preise gewonnen haben, sehr zu Recht, wie ich finde, machen großteils diese Arbeit mit Ehrenamtlichen und sind wirklich für viele einkommensschwache Familien der einzige Weg, an einen Laptop für die Kinder zu kommen. Und ohne Laptop in der heutigen Schule ist halt eigentlich kein Unterricht mehr zu folgen. Und gerade für die Ukraine suchen sie auch Server, weil sie da auch gerade eben unterstützend tätig sind. Und über Geld als Spende freuen sie sich natürlich auch. Wir verlinken alles dazu.

Genau, gibt es irgendwie drei Orte, wo man das tun kann. Zwei in Wien, einer in Linz, wenn ich das hier richtig sehe auf der Karte.

Ganz genau.

Alright, dann kommen wir zu den Terminen. Hier, mein Termin ist ein F-Tagen. Wisst ihr, wer mit dabei sein wird noch bei Fun Facts? Jetzt darf ich das ja, glaube ich, sagen.

Hast du mein Gästeticket klar gemacht?

Du kriegst kein Gästeticket, ist ausverkauft. Oliver Kalkofer heißt der, glaube ich. Den kennt man von früher aus dem Fernsehen.

Okel Hotte.

Wahrscheinlich, ne? Ja, Dann Eselseitraum. Zentrum für politische Schönheit. Und Marc-Uwe Kling. Das wird doch ein schöner Funfax. Jetzt muss ich es nur noch vorbereiten. Deswegen gibt es wahrscheinlich auch nächste Woche keine Sendung. Der Zappenfieber. Ich habe mir das angeschaut. Anne Brauchelke hat es auch super hingekriegt. Ich war bei der bei der, Vollaufführung oder bei der Folge. Und das war sehr gut, aber ist trotzdem natürlich sehr teleprompter. Naja.

Wir sind gespannt.

Ja, aber ich wollte eigentlich, wollten wir andere Termine besprechen, nämlich Netzpolitischen Abend in Wien.

Genau, am 11. Mai findet der 75. Netzpolitische Abend statt. Das ist die lose Runde von allen NGOs, wo wir uns immer wieder treffen. Dieses Mal im Flug am Praterstern. Das ist ein ganz zentraler, wunderschöner Ort, den man kaum verpassen sollte, wenn man in der Stadt ist. Und es werden sprechen der Mario Zechner, der einer von den, glaube ich, coolsten Leuten ist in den letzten Jahren, die einfach in Netzdinge Heckenkoden hat. Ich glaube, die letzte Sache, die ich von ihm im Kopf habe, war, wir hatten so viele Diskussionen über Preisabsprachen von Supermärkten. Er hat einfach einen Preismonitor gebaut, der die Websites der Supermärkte gescrapt hat. Also der macht wirklich oft coolen Scheiß. Ursula Pache von Neub, None of Your Business, die NGO von Max Schrems. Ursula Pache muss man unbedingt gesehen haben, sie war lange Jahre die Chefin von dem vorher schon genannten Beuk, also von dem Dachverband aller Konsumentenschutzorganisationen. Die Frau kennt Brüssel in- und auswendig und ist eine wirkliche Glorifäer in der EU Digital Policy und sie wird über den Digital Omnibus sprechen und dann noch einen Stefan Jestl, den ich nicht kenne, aber der wird etwas über KI und ihre Effekte am Wiener Arbeitsmarkt erzählen.

Dann haben wir in Berlin noch zwei Events, die ich schon in der letzten Sendung gerne ankündigen wollte, aber das dann verpennt habe, und zwar das Wireless Community Weekend. Da geht es um im Prinzip die ganze Freifunk-Community vom 15. Bis 17. Mai, also in ungefähr einem Monat, findet das auf der CBS in Berlin statt. Wir haben in den Shownotes die Links zum Freifunk-Wiki und zu den Mastodon-Accounts, Fettiverse-Accounts und so weiter. Womit wir beim nächsten Event wären auch auf der Seabase und zwar den Berliner Fettiverse Day. Der findet vom 11. bis 13. September statt, das ist also noch einige Monate hin. Und der CFP geht bis zum 14. Juni. Auch da ist der Link schon mal in den Shownotes. Könnt ihr also schon mal was einreichen. Und ich könnte mir vorstellen, der Fedi Day, gerade jetzt mit dem Digital Independence Day Kram und den ganzen Bewegungen in die Richtung der Dezentralisierung und so, könnte ich mir vorstellen, dass das vielleicht ein sehr schönes Event werden könnte. Und Freifunk natürlich sowieso und Netzpolitischer Abend in Wien auch. Deswegen kommt ja da alles schön hin und dann chillen wir.

Absolut. Ja, bei uns kann man irgendwie Bier trinken und aufs Riesenrad schauen. Kannst du da mithalten?

Auf der Ziege ist es eine Raumstation, Alter, ein Riesenrad, ey, was ist das denn? Völlig. Wir haben eine Antenne, die in der Mitte aus dem Alexanderplatz rausguckt.

Aha, okay.

Wer sagt dir, dass das Riesenrad nicht auch eine Antenne ist und das Raumschluss auch nicht entdeckt wurde?

Thomas, vielen Dank. Das war eine ziemlich lange Sendung.

Ja, vielen Dank für die Einladung. Es hat mich sehr gefreut und danke für die Chance der Erklärung und des Ausführens.

Ich finde es aber auch gut, dass du dir nochmal die Zeit genommen hast, jetzt wo das, wovor wir die ganze Zeit gewarnt haben und die Sorgen, die wir die ganze Zeit hatten, sogar noch schneller eintreten als das, woran wir politisch gearbeitet haben, beziehungsweise du gearbeitet hast, kommt. Und ja, dieser Einblick in die Arbeit und die Details und auch, naja, also schon erkennbar, Aus dieser längeren Schilderung jetzt auch, zumindest erkennt man, warum so ein Ding halt auch von vielen nicht angefasst wird und warum die mit sowas durchkommen. Am Ende bleibt immer noch eine große Hoffnung, dass das so ein absoluter dämlicher Rohrkrepierer wird, aber diese Hoffnung ist leider auch nur so eine halbe, weil wenn sie diesen Rockrepierer erstmal hingelegt haben, ist glaube ich alles, was bleibt, dass für Apple, Google und so weiter der Identitätenmarkt einfach sturmreif geschossen ist und sie sich den dann im Prinzip aneignen können, weil wenn die ganzen 27 anderen das nicht hinkriegen, dann werden sie es einfach machen, werden compliant sein und haben als allererstes an ihrem scheißen Europa-Flagge dran. Und dann haben wir mal wieder was Schönes für die digitale Souveränität getan.

Am Ende geht es ihnen einfach nur um die signierten Identitätsdaten der Bevölkerung. Und wenn wir diesen Hahn aufdrehen, dann werden Dinge in Gang gesetzt, die nicht mehr zu kontrollieren sind, wo auch die ganze Regulatorik man sich aufzeichnen kann, weil da geht es dann einfach um die Macht- und Marktdynamiken, die viel entscheidender sein werden. Und ja, die Dystopie kommt schneller als gedacht. Also ich hätte mir das auch nicht erwartet, dass da auch viele der Dinge, vor denen wir gewarnt haben. Und am Anfang ist es ja schon so ein aus dem Fenster lehnen, wenn du diese Gefahren aufzeigst, dass das dann so schnell, so real wird für so viele Menschen. Es lässt mich auch wirklich irgendwie innehalten und sagen so, okay gut, wie gehen wir damit um? Weil manchmal würde ich auch lieber einfach alles anzünden und gleichzeitig so diese Stille in den Prozess genau hinschauen und halt einfach diese Kommunikationsbasis mit den handelnden Leuten aufrechterhalten. Das ist einfach, worüber du diesen Informationsvorteil bekommst, aber dann brauchst du externe Aufmerksamkeit. Dann geht es nur, wenn sich alle an der Hand halten und gleichzeitig springen. Und das ist halt hier einfach, ich glaube, da kommen wir noch hin, aber vielleicht ist es dann schon zu spät.

Umso wichtiger, dass wir einen haben, der dran geblieben ist und diesen, ich weiß jetzt nicht genau, ob du der stete Tropfen bist, der den Stein hüllt oder der Stein, der durch den steten Tropfen gehüllt wird, das können, glaube ich, die Hörerinnen sich am Ende dieser Sendung selber entscheiden. Ich glaube, der wichtige Teil war, dass wir hier gemeinsam gegen vorgehen müssen und unsere demokratischen Werte verteidigen müssen. Mal wieder. Deswegen danke für dein Engagement und danke, dass du dir so viel Zeit genommen hast, diesen Prozess mal in Ruhe mit uns zu besprechen. Einige von euch werden sicherlich in dieser Sendung vermissen, den Gesetzentwurf gegen digitale Gewalt, aber das liegt daran, dass ich ja schon in den Sendungen davor gesagt habe, dass es eine ganz bestimmte Person gibt, die ich dazu hören möchte und mit der machen wir gerade einen Termin. Ist nicht so einfach, aber wir freuen uns, ich freue mich jetzt schon drauf, dass wir die Sendung bald machen werden.

Alright, dann würde ich sagen, machen wir hier Klappe zu, Affe tot. Thomas, vielen Dank und vielen Dank fürs Zuhören und dann hören wir uns bald wieder.

Mir wird hier nie gedankt.

Danke, Linus.

Du hast ja immer erstmal kein Gästeticket für mich, da wird ja auch nicht gedankt.

Du wolltest ja auch kein Gästeticket, du wolltest wieder ein kostenloses Ticket.

Ja, natürlich.

Gästeliste heißt das. Nicht Gästeticket.

Ja, was auch immer. Hauptsache Schnorrer bist du. Ja, Schnorrer. Ja, ja. Ja, ja. Tschüss Leute, bis bald.

Gästeliste hast du natürlich, aber ein Ticket kriegst du nicht. Gästeliste, schön. Hallo, ich hab mich hier reingeschnurrt. Ja, geh rein. Meine Güte. Das kriegst du aber nicht irgendwie ein Ticket.

Auf der Bühne mit dem Mikrofon, dann kann ich die ganze Zeit dumme Kommentare von der Seite machen.

Nee, auf der Bühne nicht, aber weißt du was du kriegst? Du kriegst ein schönes Ticket in deinem Olden Wallet.

Autsch. Dann kann ja nichts mehr passieren So denn, ciao, ciao Bis bald, ciao.