Die EU will die KI-Verordnung aufweichen. Eine erste Einigung sieht nun vor, bestimmte Regulierungen für die Industrie abzuschwächen und zeitlich deutlich nach hinten zu verschieben. Hinzugekommen ist ein Verbot von KI-Anwendungen, mit denen sexualisierte Deepfakes erstellt werden können.

Nachdem die EU-Verhandlungen zum digitalen Omnibus Ende April 2026 vorübergehend geplatzt waren, konnten Rat und Parlament gestern Nacht im Trilog eine vorläufige Einigung erzielen; die Kommission war als Vermittlerin beteiligt.

Die Einigung betrifft die Aufnahme des Verbots von sogenannten KI-Nudifiern in die KI-Verordnung. „Nudifier“ sind Anwendungen, mit deren Hilfe sexualisierte Deepfakes erstellt werden können. Außerdem sollen Auflagen für die Industrie beim Einsatz von risikoreichen KI-Systemen begrenzt sowie zentrale Pflichten aus dem AI Act für Hochrisiko-Systeme deutlich nach hinten verschoben werden – auf Ende 2027 und 2028. Der vorliegende Kompromiss zwischen Rat und Parlament muss noch formal bestätigt werden.

Der Trilog war zuvor an der Frage gescheitert, wie in der Industrie mit der Hochrisiko-Kategorie für KI-Systeme umgegangen werden soll, die bereits durch sektorale Bestimmungen reguliert werden. Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme sollten eigentlich bereits ab dem 2. August 2026 wirksam werden. Der Kompromiss sieht nun vor, dass die Anwendung der KI-Verordnung dort begrenzt wird, wo sektorale Sicherheitsanforderungen vergleichbare KI-Regeln enthalten.

Die EU verabschiedete den AI Act (Verordnung über künstliche Intelligenz) im Mai 2024. Er ordnet KI-Technologie vier abgestuften Risikokategorien zu und regelt Pflichten für die Hersteller und Anbieter von KI-Systemen oder Produkten, die KI-Technologie enthalten. KI-Systeme mit inakzeptablem Risiko können verboten werden.

Die EU-Kommission möchte die Regelungen im Rahmen des sogenannten Digitalen Omnibus jedoch vereinfachen, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Gesetzespaket ist umstritten. Es enthält unter anderem Lockerungen bei der Datenschutzgrundverordnung oder beim Training von KI mit personenbezogenen Daten.

Verbot von KI-„Nudifiern“

Konkret haben sich Parlament und Rat darauf geeinigt, in Zukunft KI-Anwendungen zu verbieten, mit deren Hilfe man sexualisierte Deepfakes erstellen kann. Das Thema wurde zu einem zentralen Vorhaben, nachdem Nutzer*innen mit dem Chatbot Grok Anfang des Jahres binnen weniger Tage Millionen von nicht-einvernehmlichen Deepfakes erstellt hatten.

Bereits Ende März hatte sich das Parlament dafür ausgesprochen, solche KI-Anwendungen zu verbieten. Im Trilog ging es noch um die Details der Formulierung. Das Verbot umfasst jetzt explizit auch das Erstellen von Inhalten, die sexuellen Missbrauch von Kindern zeigen. Zudem soll es untersagt sein, KI-Anwendungen auf den Markt zu bringen, die ohne Zustimmung Deepfakes von “intimen Teilen einer identifizierbaren Person” oder die Person bei sexuellen Handlungen zeigen.

Die geplante Verschärfung ist nicht die erste EU-Regelung zu Deepfakes. Eine andere Richtlinie sieht bereits vor, dass Mitgliedstaaten die Verbreitung von sexualisierten Deepfakes unter Strafe stellen, wenn diese geeignet sind, einer Person schweren Schaden zuzufügen. Deutschland setzt dies mit dem geplanten Gesetz gegen digitale Gewalt derzeit um. Das geplante Verbot in der KI-Verordnung würde den Fokus von der Bestrafung der Täter*innen auf die Anbieter solcher Anwendungen verschieben.

Im geplanten Text steht nun auch die fehlende Zustimmung der gezeigten Personen als definierendes Merkmal. Fachleute forderten das seit langem. Zugleich kritisiert etwa Ana Ornelas von der European Sex Workers’ Rights Alliance (ESWA), die Beschränkung auf „identifizierbare Personen“. Sie fürchtet, dass dies in der Durchsetzung zu Schlupflöchern führen könnte.

Lockerungen und Fristverlängerung für Industrie

Hochrisiko-KI-Systeme in Bereichen wie Beschäftigung, Bildung, Migration, Strafverfolgung oder kritische Infrastruktur sollen Anforderungen aus dem AI Act erst ab dem 2. Dezember 2027 erfüllen müssen. Für KI in Medizinprodukten, Maschinen oder Spielzeug gilt der 2. August 2028. Anbieter von KI-Systemen müssen diese grundsätzlich in der EU-Datenbank für risikoreiche Systeme registrieren – auch wenn sie der Ansicht sind, die Einstufung als risikoreich träfe nicht zu oder sei ausgenommen.

Die Sonderregelung für Maschinenverordnung schwächt nach Meinung des europäischen Verbraucherverbands BEUC den Verbraucherschutz. Konkret kritisiert der Verband, dass Alltagsgeräte wie Industriemaschinen aus der KI-Aufsicht herausfallen würden. Bei deren Versagen könnten Menschen zu Schaden kommen. Der Deal enthält offenbar auch eine Klausel, mit der die EU-Kommission später weitere KI-Systeme ohne neues Gesetzgebungsverfahren aus dem Geltungsbereich des AI Acts herausnehmen kann. Die Kommission erhalte damit eine Hintertür für künftige KI-Deregulierung.

BEUC-Generaldirektor Agustín Reyna meint, der überhastete Prozess habe ein Gesetz hervorgebracht, das komplizierter und weniger wirksam als vorher sei und vor allem der Industrie nutze.

Zumindest an manchen Stellen scheint der Kompromiss strenger. Die EU-Kommission wollte die Verarbeitung sensibler personenbezogener Daten – etwa Angaben, aus denen Ethnie oder Religion hervorgehen können – zur Bias-Erkennung erleichtern. Rat und Parlament begrenzten hier durch striktere Maßstäbe.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU arbeitet mit Hochdruck an der Abschiebeverordnung. ICE-ähnliche Razzien in Privatwohnungen und elektronische Fußfesseln für Menschen ohne Aufenthalt könnten Realität werden, wenn die Verordnung in dieser Form beschlossen wird – warnen Expert*innen und zivilgesellschaftliche Organisationen.

Ein „Gemeinsames Europäisches Rückkehrsystem“ soll künftig dafür sorgen, dass abgelehnte Asylbewerber*innen und andere Migrant*innen ohne legalen Aufenthalt schneller und in größerer Zahl abgeschoben werden. Die höchst umstrittene Rückführungsverordnung, auch als Abschiebeverordnung bekannt, befindet sich in den letzten Zügen der EU-Gesetzgebung. EU-Kommission, Parlament und Mitgliedstaaten haben ihre Positionen festgelegt und müssen nun im Trilog eine geeinte Version verhandeln. Der EU-Innen- und Migrationskommissar Magnus Brunner bezeichnete die Verordnung zuletzt als „das fehlende Puzzlestück“. Das Gesamtbild ist dabei die härtere Migrationspolitik, die die EU mit dem Migrations- und Asylpakt eingeschlagen hat, der ab Juni 2026 zur Anwendung kommen soll.

„Die Verordnung ist ein klares Zeichen dafür, dass sich die Migrationspolitik in der EU radikalisiert hat“, sagt Bernd Parusel, Senior Researcher am Schwedischen Institut für Europäische Studien gegenüber netzpolitik.org. „Die weitgehende und drastische Verschärfung der bisherigen Rückführungspolitik der EU geht an die Grenzen dessen, was menschenrechtlich vertretbar ist“, so der Wissenschaftler, der zur geplanten Verordnung forscht.

Ein Teil der Verordnung sieht Abschiebungen in sogenannte „Return Hubs“ in Länder außerhalb der EU vor, zu denen die Menschen keinerlei Bezug haben. Es geht auch um die Inhaftierung von Familien sowie Kindern ohne Eltern und die massive Ausweitung maximal zulässiger Abschiebehaft. Außerdem setzt das Gesetzesprojekt darauf, Menschen ohne Papiere aufzuspüren und jene, die abgeschoben werden sollen, verstärkt digital zu überwachen.

Stehen ICE-ähnliche Razzien in der EU bevor?

Eine Regelung, die einen großen Aufschrei unter zivilgesellschaftlichen Akteuren und Angestellten im öffentlichem Sektor ausgelöst hat, verpflichtet Mitgliedstaaten, Menschen ohne Papiere „aufzuspüren“. Dass birgt die Gefahr, dass es auch in der EU zu Menschenjagden nach Migrant*innen an öffentlichen Plätzen und im Privaten geben könnte. Der Vorschlag der Kommission sieht vor, dass Mitgliedstaaten „effektive und angemessene Maßnahmen“ einführen sollen, „um Drittstaatsangehörige aufzuspüren, die sich illegal in ihrem Staatsgebiet aufhalten“.

Das EU-Parlament hat diese Regelung in seiner Fassung gestrichen. Doch es besteht die Möglichkeit, dass der noch härtere Vorschlag der Mitgliedstaaten Eingang in den finalen Text findet. Ihre Position sieht „investigative Ermittlungsmaßnahmen“ vor, um die Zahl der Abschiebungen zu erhöhen. Dazu gehören beispielsweise Durchsuchungen von Wohnungen und „anderen relevanten Räumlichkeiten“. Dies würde der Polizei ermöglichen, Krankenhäuser, Schulen, Arbeitsplätze, öffentliche und soziale Einrichtungen und Wohnungen zu durchsuchen – ganz ohne richterliche Anordnung. Betroffen wären alle, die Menschen ohne Papiere unterstützen, und Bürger*innen, in deren Wohnungen die Behörden sie vermuten.

Auch die Durchsuchung und Beschlagnahmung von elektronischen Geräten, darunter Handys, wären Teil dieser investigativen Maßnahmen – etwas, was auch das EU-Parlament will, als eine Mitwirkungspflicht der Betroffenen ohne Möglichkeit des Widerspruchs.

Risiko von Racial Profiling für ganze Communitys

Zahlreiche unabhängige Expert*innen, darunter 16 UN-Sonderberichterstatter*innen für Menschenrechte sowie mehr als 100 zivilgesellschaftliche Organisationen, warnen, dass solche erweiterten Befugnisse illegale Praktiken des Racial Profiling befeuern und Grundrechte von Menschen ohne Papiere untergraben würden. Da rassistisches Profiling sich oft auf das Aussehen, die Sprache oder die vermutete Herkunft der Betroffenen stützt, erhöhe sich das Risiko von Diskriminierung. Das gelte nicht nur für Menschen ohne Aufenthaltserlaubnis, sondern für ganze gesellschaftliche Gruppen, die von Rassismus betroffen sind, schreibt Platform for International Cooperation on Undocumented Migrants (PICUM), eine der rund 100 kritischen Organisationen.

„Aufspürmaßnahmen schüren Angst, Diskriminierung und Verfolgung und zerstören soziale Bindungen und Gemeinschaften“, kritisiert PICUM in ihrer Stellungnahme. Solche Regelungen halten Menschen davon ab, grundlegende Gesundheitsversorgung wie beispielsweise Schwangerschaftsbetreuung, Behandlung chronischer Krankheiten und Impfungen in Anspruch zu nehmen.

Die Organisationen sowie die UN-Sonderberichterstatter*innen befürchten außerdem, dass die Aufspür-Regelung eine Meldepflicht für Beschäftigte im öffentlichen Dienst nach sich ziehen könnte. Lehrkräfte und Ärzt*innen müssten demnach Menschen ohne gültige Aufenthaltspapiere melden, damit sie abgeschoben werden können. Das würde das Vertrauen zwischen ihnen und ihren Klient*innen nachhaltig beeinträchtigen und könne eine Krise des Gesundheitssystems ähnlich wie in den USA nach sich ziehen, warnen die Organisationen weiter. Dort meiden Menschen ohne Aufenthaltsgenehmigung aus Angst medizinische Einrichtungen.

In Europa haben sich deshalb 1.100 medizinische Fachkräfte im Vorfeld der Abstimmung im Europaparlament gegen die Verordnung ausgesprochen. „Wir weigern uns, zu Instrumenten der Einwanderungskontrolle zu werden“, heißt es in dem Brief.

Europaweite Zementierung von Menschenrechtsverletzungen

Derartige Aufspürmaßnahmen sind nicht ganz neu. Ähnliche Praktiken werden in einzelnen Mitgliedstaaten bereits angewandt, wenn auch uneinheitlich. In Deutschland beispielsweise hat die Polizei immer wieder Schlafzimmer in Geflüchtetenunterkünften ohne Durchsuchungsbeschluss gestürmt, um Menschen abzuschieben. Erst im vergangenen Herbst hat das Bundesverfassungsgericht diese Praxis für verfassungswidrig erklärt. Dieses Beispiel zeigt, dass solche Maßnahmen auf nationaler Ebene erfolgreich angefochten werden konnten.

Schafft es die Regelung in die geeinte Verordnung, würden entsprechende Maßnahmen EU-weit festgeschrieben. Das würde solchen Praktiken neue Legitimität verleihen, ihre Ausweitung auf ganz Europa erfordern und es in Zukunft erheblich erschweren, sie anzufechten oder rückgängig zu machen, warnt PICUM.

Kommt die elektronische Fußfessel für Menschen ohne Papiere?

Laut ProtectNotSurveil, einem Zusammenschluss von Organisationen, die sich mit digitalen Rechten von Migrant*innen befassen, gehen die umstrittenen Aufspürmaßnahmen mit einem verstärkten Einsatz von Überwachungstechnologien einher. Denkbar wären beispielsweise mobile Geräte zur biometrischen Identifizierung, wie sie etwa ICE-Agent*innen in den USA nutzen. Seit Anfang des Jahres setzen diese die App „Mobile Fortify“ zur Gesichtserkennung ein, um den Aufenthaltsstatus von Personen bei Kontrollen auf der Straße festzustellen.

Ein anderes alarmierendes Beispiel ist die geplante elektronische Überwachung von Personen, die abgeschoben werden sollen. Die Verordnung führt sie als vermeintliche Alternative zur Abschiebehaft ein. Vielfach haben Jurist*innen und Menschenrechtsorganisationen jedoch kritisiert, dass sie keine echte Alternative zur Haft darstellt. „Sie ist nicht nur eine Alternative, sondern auch eine zusätzliche Zwangsmaßnahme“, erklärt Parusel. Denn die elektronische Überwachung könnte laut der Verordnung nicht nur statt der Haft, sondern auch davor oder danach eingesetzt werden – selbst wenn die ohnehin ausgedehnte Haftdauer von 24 Monaten bereits überschritten ist.

Wie die elektronische Überwachung im Konkreten aussehen soll, legt die geplante Verordnung nicht näher fest. „Denkbar sind vielleicht eine elektronische Fußfessel oder GPS-Ortung“, sagt Parusel. „Der Entwurf der Verordnung gibt dem nationalen Gesetzgeber hier Freiräume.“

Weil solche Technologien in hohem Maße in die Privatsphäre sowie die Bewegungsfreiheit eingreifen und potenziell stigmatisierend sind, gelten sie weithin als de-facto-Inhaftierung.

Darüber hinaus sieht der Vorschlag vor, dass alle Personen, die abgeschoben werden sollen, sich in einem bestimmten geografischen Gebiet aufhalten, an einer bestimmten Adresse wohnen oder regelmäßigen Meldepflichten nachkommen müssen. Das werfe nicht nur ernsthafte Bedenken hinsichtlich der Verhältnismäßigkeit auf, sondern könnte ebenfalls durch den Einsatz invasiver Überwachungs- und Kontrolltechnologien umgesetzt werden, warnt ProtectNotSurveil.

Neue Europäische Rückkehrentscheidung

Das Kernstück der Verordnung ist die „Europäischen Rückkehrentscheidung“. Diese enthält ein standardisiertes digitales Datenblatt mit Informationen zur Abschiebeentscheidung. Alle Mitgliedstaaten sollen dieses Datenblatt abrufen können. „Wenn ein Mitgliedstaat eine Rückführungsentscheidung getroffen hat, dann ist sie im System drin“, erklärt Parusel gegenüber netzpolitik.org. „Sollte die Person in ein anderes EU-Land weiterwandern, wird dieser Mitgliedstaat sehen können, dass die Person im ersten Land schon zur Ausreise aufgefordert wurde, und ob schon ein Zielland festgelegt wurde“, so der Wissenschaftler.

Sobald ein Mitgliedstaat entschieden hat, eine Person abzuschieben, soll diese Entscheidung von allen anderen EU-Mitgliedstaaten ab 2027 verpflichtend anerkannt und auch umgesetzt werden, schlägt das Europaparlament vor. Die anderen Mitgliedsstaaten wären dann nicht mehr verpflichtet, die Situation der Person und ihre Schutzbedürftigkeit selbst zu prüfen. Unter den Mitgliedstaaten ist dieser Punkt umstritten, in ihrem Entwurf haben sie Einschränkungen bei der gegenseitigen Anerkennung vorgesehen.

Nationale Migrationsbehörden sollen die „Europäische Rückkehrentscheidung“ parallel zur nationalen Abschiebeanordnung erlassen und über das Schengener Informationssystem (SIS II) zur Verfügung stellen. Dadurch werden personenbezogene Daten von Betroffenen für Tausende Polizeibeamt*innen in der gesamten EU zugänglich, kritisieren die ProtectNotSurveil-Organisationen. Das Schengener Informationssystem II, das größte Migration- und Polizeidaten-Austauschsystem der EU, sei ohnehin für wiederholten Datenmissbrauch und die systematische Verweigerung der Datenschutzrechte bekannt. Es gibt dokumentierte Fälle, in denen Polizei- und Einwanderungsbehörden sich nicht an Vorschriften gehalten haben. Die Verordnung baut direkt auf dieser Architektur auf und verstärkt ihre Eingriffsintensität.

Datenübermittlung an Drittstaaten darf nicht zu Todesstrafe führen

Zudem setzt die Verordnung auf die Erfassung großer Datenmengen ausreisepflichtiger Personen auf, die allein zum Zweck der Abschiebung erhoben und zwischen den Mitgliedstaaten ausgetauscht werden sollen. Neben Gesundheitsdaten und Auszügen aus Strafregistern sind es auch biometrische Daten und Informationen wie Bildungsabschlüsse, Reiserouten oder Kontakte von Familienangehörigen im Zielland der Abschiebung. „Es handelt sich um einen noch weitergehenden rückkehrspezifischen Datenaustausch“, sagt Parusel. „Ausreisepflichtige Drittstaatsangehörige werden in einem ganz anderen Ausmaß durchleuchtet und überwacht als beispielsweise EU-Bürger, von denen der Staat diese Daten nicht braucht und auch nicht haben will“, fügt der Wissenschaftler hinzu.

Sensible personenbezogene Daten wie Gesundheitsdaten und Auszüge aus Strafregistern sollen auch an Drittländer fließen, in denen es keine mit der EU vergleichbaren Datenschutzgarantien gibt. Den betroffenen Personen stehen dort deshalb keine wirksamen Rechtsbehelfsmechanismen zur Verfügung, kritisert ProtectNotSurveil.

Für Menschen, die in ihren Herkunftsstaaten politisch verfolgt werden, stelle das ein großes Risiko dar, sagt Parusel. Bei Ausreisepflichtigen gehe man von Menschen aus, die keine Schutzgründe haben. „Aber es gibt auch Menschen, deren Asylgesuch fälschlicherweise abgelehnt wurde oder denen nicht gelungen ist, ihre Schutzgründe glaubhaft vorzubringen“. Diese Menschen seien dann leichter auffindbar und ihnen drohe akute Verfolgungsgefahr. Auch der Europäische Datenschutzbeauftragte warnte, die Übermittlung von strafrechtlich relevanten Daten darf nicht zu einer Todesstrafe oder anderer grausamer Behandlung im Drittstaat führen.

Wird die Verordnung zu mehr Abschiebungen führen?

Ob die Verordnung tatsächlich zu einfacheren und wirksameren Abschiebeverfahren und steigenden Abschiebezahlen führen wird? Mehr als 250 Organisationen gehen davon aus, dass sie den gegenteiligen Effekt haben wird. Sie werde die Zahl der ausreisepflichtigen Menschen eher künstlich in die Höhe treiben. Denn der Vorschlag etabliert die Abschiebung als Standardoption für Menschen ohne legalen Aufenthalt und lässt wenig bis gar keine Alternativen übrig. Er verpflichtet die Mitgliedstaaten, bei jeder Entscheidung zur Beendigung eines legalen Aufenthalts zugleich einen Abschiebebescheid zu erlassen, ohne zuvor andere Aufenthaltsmöglichkeiten auf nationaler Ebene zu prüfen. Das sind zum Beispiel Aufenthaltsgenehmigungen aus humanitären, medizinischen oder familiären Gründen.

Damit das europäische Rückführungssystem besser funktioniert, sollten die Mitgliedstaaten nicht mehr Menschen als nötig in das Rückführungssystem leiten, findet auch Bernd Parusel. „Zur Ausreise sollten nur diejenigen aufgefordert werden, die eine realistische Aussicht auf Rückkehr haben.“

In der Wissenschaft geht man außerdem davon aus, dass der gewünschte abschreckende Signaleffekt der neuen Zwangsmaßnahmen begrenzt sein wird. „Ich glaube nicht, dass man mit Zwangsmaßnahmen alleine das Problem löst. Man muss auch über Alternativen zur Zwangsrückkehr nachdenken“, so der Wissenschaftler gegenüber netzpolitik.org. Das könne beispielsweise die Legalisierung von Menschen ohne legalen Aufenthalt sein. Denn anders als Abschiebungen sind Bleiberechte effektiver darin, die Zahlen der sogenannten Ausreisepflichtigen zu senken und der Überforderung der Verwaltung entgegenzuwirken.

Am 22. April trafen sich Vertreter*innen der Mitgliedstaaten mit Abgeordneten des EU-Parlaments zum zweiten Mal, um ihre Positionen zur Abschiebeverordnung zu verhandeln. Die ersten Trilog-Verhandlungen fanden bereits am 26. März statt. Nur wenige Stunden vorher hatte die konservative EVP-Fraktion im EU-Parlament unter der Führung des deutschen CSU-Politikers Manfred Weber mit Unterstützung rechtsextremer Parteien wie der AfD ihren Standpunkt verabschiedet.

Da die Mitgliedstaaten und das Europaparlament sich in vielen Punkten einig sind, ist mit einem schnellen Abschluss der Trilog-Verhandlungen zu rechnen. Ein Beschluss ist noch im ersten Halbjahr 2026 geplant, die nächsten Verhandlungen sind für Juni angesetzt. Für die meisten Maßnahmen wünschen sich die Mitgliedstaaten eine Umsetzungsfrist von zwei Jahren, bis auf die Abschiebungen in „Return Hubs“. Diese sollen direkt nach Beschluss der Verordnung möglich sein, auch wenn es hier noch viele Fragezeichen gibt. Deutschland versucht derzeit aktiv, solche Deals mit Drittstaaten auszuhandeln.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Europäische Parlament sucht eine gemeinsame Position zum Digitalen Euro. Ein besonders umstrittener Vorschlag ist nun erst einmal vom Tisch, Themen wie Datenschutz und sogenannte Haltelimits aber noch offen. Viel Zeit für eine Einigung bleibt nicht mehr.

Dass einer Person der Zugang zu Visa, Mastercard, Paypal und Co. abgestellt werden kann und wie schwer der Alltag dadurch wird, haben in letzter Zeit mehrere Fälle gezeigt. Auch deshalb will sich die Europäische Union beim Bezahlen unabhängiger von US-Anbietern machen. Schon vor drei Jahren stellte die EU-Kommission den Gesetzentwurf für den Digitalen Euro (D€) vor, seitdem wird er verhandelt.

Die Mitgliedstaaten einigten sich im Dezember auf ihre Position und auch im Parlament scheint es einen Durchbruch gegeben zu haben. Dort waren die Verhandlungen zeitweise ins Stocken geraten. Wie Euronews berichtete und aus Verhandlungskreisen gegenüber netzpolitik.org bestätigt wurde, haben sich die zuständigen Abgeordneten darauf geeinigt, dass man mit dem Digitalen Euro sowohl online als auch offline bezahlen können soll. Dem war ein monatelanger Streit vorausgegangen.

Bankenlobby hat erst einmal das Nachsehen

Der für das Thema zuständige Berichterstatter im EU-Parlament, Fernando Navarrete von der konservativen Europäischen Volkspartei (EVP), hatte zunächst einen sogenannten Konditionalitätsmechanismus vorgeschlagen. Demnach hätte die Europäische Zentralbank (EZB) nur dann einen Online‑D€ launchen dürfen, wenn es bis zum Start kein privatwirtschaftliches pan-europäisches Bezahlsystem gegeben hätte.

Navarrete bekam dafür vor allem Lob von der Bankenlobby. Sie befürchtet, durch den D€ Einlagen zu verlieren und Profite bei den Zahlungen einzubüßen und treibt deswegen Wero als Alternative zu bestehenden Zahlungsmitteln voran. Schon in der vorherigen Legislaturperiode wurde der EVP vorgeworfen, den Digitalen Euro im Sinne der Banken zu verschleppen. Und auch ein Bericht der Organisation Finanzwende zeigte jüngst auf, wie die Banken erfolgreich gegen den Digitalen Euro lobbyieren.

Die EZB, die EU-Kommission und die Fraktionen von links (The Left) über sozialdemokratisch (S&D) bis liberal (Renew) hatten sich hingegen für einen D€ ausgesprochen, der sowohl on- als auch offline funktioniert. Auch der bei der EU-Kommission für den D€ zuständige Ulrich Clemens sagte vor kurzem bei einer Veranstaltung, es müsse “von Anfang an” eine Online- und Offline-Variante geben. Das sei eine grundlegende Voraussetzung, damit der Digitale Euro erfolgreich sein wird.

Aus der Wissenschaft erhielten die EVP-Pläne ebenfalls spürbaren Gegenwind: “Ein starker Digitaler Euro erfordert sowohl Online- als auch Offline-Funktionalität”, schrieb das Leibniz-Institut für Finanzforschung (SAFE). Kompromisse, die ausschließlich auf Online- oder ausschließlich auf Offline-Nutzung setzen, würden den strategischen Wert des Projekts schmälern. Im Januar warnten gleich 70 Ökonom:innen vor einer Aushöhlung des Vorhabens.

Welche dieser kritischen Stimmen den Berichterstatter Navarrete letztlich davon überzeugte, die Konditionalität fallen zu lassen, ist offen.

Kommt die schrittweise Einführung des Digitalen Euro?

Dennoch ist im Parlament noch keine Einigung in Sicht. Im Gegenteil: Die Verhandlungen sind in vollem Gange. Die zentrale Abstimmung im Ausschuss für Wirtschaft und Währung (ECON) war eigentlich für den 5. Mai geplant gewesen. Doch weil es noch zu viel zu besprechen gibt und die Visionen bislang zu unterschiedlich sind, wurde die Abstimmung auf den 23. Juni verschoben. Brüsseler Beobachter:innen zeigen sich davon wenig überrascht.

So steht derzeit die Frage im Raum, ob der Digitale Euro stufenweise eingeführt werden könnte. Dabei geht es nicht nur um Online- oder Offline-Funktionalität, sondern auch um die Frage, ob man schon zum Start sowohl physisch im Handel als auch beim Online-Shopping bezahlen kann und ob Nutzer:innen ihren Freund:innen und Bekannten auch privat Digitale Euros schicken können.

Die Banken begrüßen diesen Ansatz, auch weil er ihnen mehr Zeit geben würde, die eigene IT-Infrastruktur für den Digitalen Euro umzubauen. “Bei der schrittweisen Einführung geht es nicht um eine Verwässerung, sondern um die Nachfrage des Marktes und eine erfolgreiche Einführung”, sagte etwa Katharina Paust-Bokrezion von der Deutschen Bank bei einer Podiumsdiskussion im vergangenen März.

Aus Sicht von Befürworter:innen des Digitalen Euros könnte eine stufenweise Einführung auch Verzögerungen bei dessen Einführung verhindern. Sollte die Offline-Variante länger brauchen, könnte so schon einmal mit der Online-Variante gestartet werden, statt dass sich beide verspäten.

Datenschutz auch für kleinere Zahlungen

Für Diskussionen werden voraussichtlich auch noch weitere wichtige Vorschriften für die Digitale Währung sorgen, die etwa Datenschutz und Privatsphäre betreffen. Diese Themen wurden in den Verhandlungen noch nicht im Detail besprochen.

Der Linken-Abgeordnete Martin Schirdewan setzt sich für ein höheres Datenschutzniveau beim Online‑D€ ein. Gegenüber netzpolitik.org erklärte er: “Wir brauchen einen Privatsphäre-Schwellenwert bei kleineren Zahlungen, der ähnlich wie Bargeld die höchstmögliche Anonymität gewährleistet.” Ähnlich lautende Änderungsanträge finden sich quer durch das politische Spektrum. Markus Ferber von der bayerischen CSU etwa schlägt einen Schwellenwert von 100 Euro pro Transaktion vor.

Der Schattenberichterstatter für die Grünen-Fraktion, Damian Boeselager (Volt), schlägt darüber hinaus vor, dass für den D€ das Prinzip “privacy by design and default” (Datenschutz als Standard) gelten soll. Kryptografische Verfahren und „neueste Technologien“ sollen demnach ermöglichen, dass Daten minimiert und nicht verknüpft werden. Dass sich Menschen gegenüber Zahlungsdienstleistern mit biometrischen Daten identifizieren müssen, will Boeselagers Fraktion ebenso wie die fraktionslose Abgeordnete Sibylle Berg (Die PARTEI) verbieten.

Verschiedene Ansichten gibt es hingegen beim „zentralen Zugangspunkt“ (single-access-point). Mit seiner Hilfe sollen einerseits die Haltelimits durchgesetzt, andererseits aber auch der Wechsel zwischen verschiedenen Zahlungsdienstleister ermöglicht werden. Während die meisten Fraktionen auf diesen Vorschlag der Kommission setzen, plädiert etwa Berg für eine dezentrale Speicherung, wie sie auch der Europäische Datenschutzausschuss vorschlägt.

Wie viel Digitale Euro dürfen wir halten?

Die Haltelimits legen fest, wie viele Digitale Euros jede:r Nutzer:in halten darf. Das soll vor allem verhindern, dass die Europäer:innen zu viel Bankguthaben in Digitale Euros umtauschen und den Banken damit die privaten Einlagen ausgehen. Umgekehrt verringert ein zu niedriges Haltelimit möglicherweise die Attraktivität des Digitalen Euros.

Selbst die EVP ist sich hier nicht einig. Eine Mehrheit um Berichterstatter Navarrete, zu der auch Markus Ferber (CSU) gehört, sorgt sich vor allem um die Finanzstabilität und will dies zum zentralen Maßstab bei der Bestimmung der Limits machen. Andere EVP-Abgeordnete stimmen eher mit Sozialdemokrat:innen, Grünen und Linken überein und wollen, dass Haltelimits nicht zu niedrig angesetzt werden.

Bisher wurden Haltelimits zwischen 500 und 3000 D€ pro Person diskutiert. Von den Abgeordneten haben nur die wenigsten konkrete Zahlen vorgeschlagen. Stärker diskutiert wird hingegen, wer die verschiedenen Haltelimits setzen darf. Teile der EVP sowie die liberale Renew-Fraktion wollen, dass die Kommission die Haltelimits bestimmt. Sozialdemokrat:innen, Grüne und Linke sowie einzelne EVP-Abgeordnete sehen hier die EZB in der Verantwortung.

Die Mitgliedstaaten haben sich bereits darauf geeinigt, selbst eine Obergrenze für die Obergrenze setzen zu wollen. Die EZB dürfte das jeweilige Haltelimit somit nur unterhalb dieser Obergrenze festlegen. Die Mitgliedstaaten brachten auch eine Obergrenze von null Euro für Unternehmen ins Spiel. Dank einer automatischen Umwandlung und der Verknüpfung mit einem herkömmlichen Bankkonto könnten Unternehmen dann zwar trotzdem in D€ Geschäfte abwickeln, selbst jedoch keine Digitalen Euros halten.

Europäische Zentralbank scharrt mit den Hufen

Bis wann all diese Fragen geklärt sind? Markus Ferber von der CSU sagt: „Unser Ziel bleibt unverändert, die Verhandlungsposition des Europäischen Parlaments noch vor der Sommerpause zu fixieren.“

Dass sich das Parlament bis dahin auf den Digitalen Euro einigt, ist wichtig für den Zeitplan. Die Europäische Zentralbank, die das Projekt maßgeblich vorantreibt, scharrt schon mit den Hufen. Im Jahr 2029 möchte sie den Digitalen Euro unter die Menschen bringen. Und schon im nächsten Jahr sollen die eigenen Mitarbeitenden in einem gemeinsamen Pilotprojekt mit anderen europäischen Zentralbanken den D€ testen.

Für die Vorbereitungen braucht die EZB Klarheit darüber, was die europäischen Gesetzgeber für den D€ vorschreiben. Die Zentralbank bestätigt auf netzpolitik.org-Anfrage, dass der Zeitplan des Projekts an den Gesetzgebungsprozess gebunden ist. Bisher rechneten die EZB und die Bundesbank damit, den Zeitplan einhalten zu können, wenn das Gesetz bis 2026 verabschiedet ist.

Ob das aktuell noch gilt, lässt die EZB auf Anfrage offen. Fest stehe hingegen, dass das Pilotprojekt 2027 anlaufen wird, “auch wenn das Gesetzgebungsverfahren bis Ende 2026 noch nicht abgeschlossen sein sollte”, schreibt eine Sprecherin. Und sie fügt hinzu, dass die EZB die Vorbereitungen eines “potenziellen” Digitalen Euros weiter vorantreiben werde, auch wenn der EZB-Rat erst dann eine Entscheidung über dessen Ausgabe treffen werde, wenn die Regulierung der EU verabschiedet wurde.

Trilog unter Zeitdruck

Damit es dazu kommt, müssen sich nicht nur die Abgeordneten unter sich einig werden, sondern auch mit den Mitgliedsstaaten. Solche Trilog-Verhandlungen könnten in der ersten Juli-Hälfte starten, bevor in Brüssel die Sommerpause beginnt. Die Verhandlungen können sich dann ohne weiteres über mehrere Monate hinziehen; bei der KI-Verordnung lagen zwischen Parlamentsposition und endgültiger Annahme rund neun Monate.

Immerhin einigten sich EU-Parlament, Kommission und Rat vergangene Woche noch einmal offiziell darauf, den Digitalen Euro mit höherer Priorität zu behandeln und den Gesetzesprozess noch in diesem Jahr abzuschließen. Wie lange die Verhandlungen aber am Ende tatsächlich dauern werden, hängt maßgeblich davon ab, was das Parlament demnächst beschließt und wie sehr sich seine Position von der des Rates unterscheidet. Sollten die Position weit auseinanderliegen, werde es überaus schwierig, die gesetzte Frist bis zum Jahresende noch einzuhalten, heißt es in Brüssel.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU will unter hohem Zeitdruck ihre Regeln für Künstliche Intelligenz aufweichen. Nun sind eigentlich abschließende Verhandlungen gescheitert. Alle Beteiligten machen sich gegenseitig Vorwürfe, am Ende könnten Regeln zum besseren Schutz vor KI-generierten Nacktbildern unter die Räder geraten.

Die EU-Institutionen können sich weiter nicht auf eine abgeschwächte Fassung der KI-Verordnung einigen. Medienberichten zufolge sind gut zwölfstündige Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Kommission am Dienstag gescheitert.

Ein zentraler Streitpunkt war offenbar eine vorgeschlagene Ausnahme für risikoreiche KI-Systeme in der Industrie, wie Table Media [€] berichtet. Das Parlament hatte demzufolge vorgeschlagen, die sektorspezifischen Regelungen zu ändern: Industriemaschinen sollten demnach aus der Hochrisiko‑Kategorie herausfallen. Entscheidend für eine Einstufung als Hochrisiko sollte stattdessen die tatsächliche Sicherheitsfunktion der KI werden. Rat und Parlament sind sich in dieser Frage jedoch uneins.

Gestritten wurde dem Bericht zufolge zudem über ein Verbot sogenannte „Nudifier“-Anwendungen. Das sind generative KI‑Systeme, die Menschen auf Foto- oder Videomaterial entkleiden können. Das Parlament möchte nicht‑einvernehmliche intime Inhalte verhindern, es konnte jedoch keine Einigung darüber erzielt werden, welche Körperteile darunterfallen.

Das kritisiert unter anderem Eva Lejla Podgoršek, Senior Policy Managerin bei AlgorithmWatch. Es sei wichtig, „dass die wenigen guten Vorschläge nicht unter die Räder geraten.“ Das geplante Verbot von KI-Systemen, die nicht einvernehmliche sexualisierende Deepfakes ermöglichen, sei ein wichtiger Baustein, um Betroffene wirksam zu schützen.

Wenn drei sich streiten, freut sich niemand

Die Anpassungen der bereits im August 2024 in Kraft getretenen KI-Verordnung sollen im Rahmen des sogenannten Digitalen Omnibus erfolgen. Mit dem von der EU-Kommission vorgeschlagenen Gesetzespaket sollen Vorschriften im digitalen Sektor vereinfacht werden, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Paket ist jedoch umstritten. Es enthält auch Lockerungen der Datenschutzgrundverordnung, etwa beim Training von KI mit personenbezogenen Daten oder einer Neudefinition personenbezogener Daten.

Während die Verhandlungen über den Daten-Omnibus sich offenbar länger hinziehen, machten die Beratungen über den KI-Omnibus schnell Fortschritte. Die Zeit drängt: Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme werden ab dem 2. August 2026 wirksam. Diese Fristen sollen mit dem Omnibus aufgeschoben werden. Gestern sind die finalen Verhandlungen allerdings bereits zum zweiten Mal geplatzt.

Laut Table Briefings sieht die zypriotische Ratspräsidentschaft keine Schuld bei sich: „Wir sind mit einer sehr konstruktiven Haltung in die heutige Sitzung gegangen und haben konkrete Vorschläge zur Lösungsfindung unterbreitet“. Man habe während der Verhandlungen ein hohes Maß an Flexibilität gezeigt, aber keine Einigung mit dem Europäischen Parlament erzielen können. Das Ziel der Vereinfachung werde jedoch weiterhin verfolgt.

Stimmen aus dem Parlament sehen dies anders. Es sei „inakzeptabel, dass die Ratspräsidentschaft nicht bereit war, einen substanziellen Kompromiss zu machen, um die Überregulierung von KI zu beenden“, sagte die Europaabgeordnete Svenja Hahn (FDP). Michael McNamara (parteilos), Verhandlungsführer für das EU-Parlament, räumte in einem Interview mit Tech Policy Press jedoch selbst ein, dass die vorgeschlagene Verlagerung in sektorale Gesetze „eher zu Deregulierung als zu einer Vereinfachung führen könnte“.

Schwere Vorwürfe kommen von den Grünen im EU-Parlament, insbesondere gegenüber deutschen Konservativen, wie Euractiv berichtet. Sie werfen der Europäischen Volkspartei vor, das Omnibus-Gesetz bewusst zu verzögern und dabei auch die Hilfe von rechtsextremen Parteien im Parlament in Anspruch zu nehmen. Merz wolle noch weitergehende Lockerungen der KI-Regeln, als sie derzeit verhandelt würden. Das wiederholte Scheitern lassen der Verhandlungen sei ein Schachzug, um Zeit zu gewinnen und so die Positionen der EU-Mitgliedstaaten zu beeinflussen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die geplante „Vereinfachung“ der europäischen KI-Verordnung könnte den Schutz von Verbraucher:innen vor der Technologie erheblich schwächen. Ein breites Bündnis von 32 Organisationen warnt insbesondere vor Lücken bei Medizingeräten und Spielzeug.

Die Sorge ist groß, dass die geplante „Vereinfachung“ der europäischen KI-Regeln zu deren Aushöhlung führen könnte. Davor warnt die europäische Verbraucherschutzorganisation BEUC gemeinsam mit 31 anderen Organisationen in einem gemeinsamen Brief an die Verhandler des sogenannten KI-Omnibusses: die EU-Kommission, die zypriotische Ratspräsidentschaft und die Berichterstatter:innen des Europaparlaments Arba Kokalari (EVP) und Michael McNamara (Renew).

Die unterzeichnenden Organisationen vertreten neben Verbraucher:innen und der Zivilgesellschaft auch Ärzt:innen, Krankenhäuser und Gesundheitsdienste, Prüfstellen wie den TÜV sowie die Wissenschaft. Sie befürchten, dass in den aktuellen Trilog-Verhandlungen zwischen EU-Parlament, den EU-Ländern und der Kommission zentrale Elemente der KI-Verordnung zur Diskussion gestellt werden könnten. Die angestrebte Vereinfachung dürfe nicht auf Kosten des Verbraucherschutzes und der Grundrechte gehen, bekräftigt der Brief.

Im Zentrum der Kritik steht eine mögliche Änderung, die das Europäische Parlament in die laufenden Trilog-Verhandlungen einbringt: Bestimmte Sektoren sollen aus dem unmittelbaren Anwendungsbereich der KI-Verordnung ausgenommen werden, darunter Medizintechnik, Funkgeräte, Spielzeug und Maschinen. Abgeordnete und Industrievertreter argumentierten, dass diese Produkte schon unter eigene Sicherheitsvorschriften fallen würden und die Hersteller ansonsten einem doppelten Aufwand ausgesetzt seien.

Zivilgesellschaft warnt vor Lücke

Die Autor:innen des Briefs sehen dies anders: Sie betonen, dass die KI-Verordnung spezifische KI-Risiken reguliere, die in den sektorspezifischen Regeln nicht behandelt würden. Dazu zählen etwa Diskriminierung, Intransparenz und die kontinuierliche Veränderung der Systeme. Durch die Ausnahmen würde eine Regulierungslücke entstehen.

Als Beispiel für die möglichen Nachteile dieser Änderung für Verbraucher:innen nennen sie Medizingeräte. Diese würden zunehmend über KI-Funktionen verfügen, die bei der Diagnose, Behandlung oder Überwachung von Patient:innen zum Einsatz kommen würden. Die derzeitigen sektoralen Regeln für Medizingeräte würden KI-spezifische Risiken aber nicht ausdrücklich berücksichtigen. Ähnliches gelte für Kinderspielzeug.

Die Organisationen bekräftigen darüber hinaus, dass die Regulierung durch diese Änderung komplexer würde statt einfacher. Erstens würde Unsicherheit darüber entstehen, welche KI-Systeme weiterhin der EU-Verordnung unterliegen. Zweitens würde sich die Regulierung zersplittern: Anstatt ein einziges Gesetz für KI zu haben, würden die unterschiedlichen sektoralen Regulierungen gelten. Sollten KI-Risiken dort nachträglich ergänzt werden, müssten womöglich Dutzende Gesetze geändert werden.

Ein fragmentierter und unnötig komplexer Regulierungsrahmen würde nur die Rechtsunsicherheit erhöhen, warnt der Brief: „In einer Zeit, in der die EU bestrebt ist, das Vertrauen in KI zu stärken und ihre technologische Souveränität zu festigen, ist die Wahrung des Vertrauens in einen kohärenten und effektiven Rahmen für die KI-Governance von entscheidender Bedeutung.“

Ergebnis bis Ende April

Beim KI-Omnibus hat die EU bislang ein hohes Tempo vorgelegt. Im November von der EU-Kommission vorgestellt, haben die EU-Länder sowie das Parlament im März ihre jeweiligen Verhandlungspositionen festgezurrt. Ende März fand bereits das erste Trilog-Treffen statt. Aktuell verhandeln die EU-Institutionen in technischen Meetings miteinander, schon am 28. April wollen sie sich auf den finalen Kompromiss einigen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Frontex führt seit November von den Kapverden aus Flüge zur Migrationsabwehr durch. Die Mission startete ohne ein Abkommen zur Datenweitergabe, zeigt die Antwort auf eine Frage aus dem EU-Parlament.

Die EU-Grenzagentur Frontex hat im November ihre Luftüberwachung auf die Gewässer vor Westafrika erweitert. Regelmäßige Einsätze erfolgen seitdem immer wieder von der Insel Santiago, die zu den Kapverden gehört. Für die Stationierung eines Flugzeugs war Frontex-Direktor Hans Leijtens selbst in die kapverdische Hauptstadt Praia gereist. Dort traf sich der Niederländer mit dem Staatsminister, dem Verteidigungs- sowie dem Innenminister und weiteren hochrangigen Regierungsmitgliedern.

Die Luftüberwachung von Praia aus ist der erste derartige Einsatz von Frontex in einem afrikanischen Land. An den Gesprächen zur technischen Umsetzung waren auch Behörden aus Portugal beteiligt – die beiden Länder arbeiten nach der Unabhängigkeit des Inselstaats Kap Verde auch zu maritimer Sicherheit eng zusammen. Nach Angaben eines Frontex-Sprechers stimmt sich die EU-Grenzagentur auch mit spanischen Behörden zu den Flügen ab.

Die zu Spanien gehörenden Kanarischen Inseln sind oft Ziel der Überfahrten von Booten mit Migrant*innen, die von Gambia, Guinea-Bissau, Senegal oder Mauretanien in Richtung Europa ablegen. Auf sie hat es Frontex abgesehen.

Hochgerüstete Überwachungsflugzeuge

Mit den ausgeweiteten Flügen ihrer „Multipurpose Aerial Surveillance“ will Frontex die EU-Migrationsabwehr verstärken. Bei privaten Firmen gecharterte Luftfahrzeuge halten dazu Ausschau in den Such- und Rettungsregionen im Atlantik vor Senegal und Mauretanien. Bei Sichtung eines Bootes informiert die Besatzung die zuständigen Behörden der westafrikanischen Länder. Deren Küstenwachen sollen die Menschen abfangen und zurückholen. Ein solches Pullback-System praktiziert Frontex bereits seit 2017 mit der Küstenwache in Libyen.

Allerdings startet die neue Frontex-Mission ohne ein neues Arbeitsabkommen mit den Kapverden. Wie aus einer aktuellen Antwort auf eine parlamentarische Anfrage hervorgeht, bezeichnet Frontex den aktuellen Betrieb deshalb als „Phase 1“. In diesem Zeitraum findet demnach kein erweiterter Austausch von Daten aus der Überwachung mit kapverdischen Behörden statt – dies soll erst nach Unterzeichnung einer entsprechenden Vereinbarung in „Phase 2“ erfolgen.

Auch ohne Abkommen zum Datentausch können in der „Phase 1“ Informationen zu gesichteten Booten an die Küstenwache der Kapverden übermittelt werden – jedenfalls in einem Seenotfall. Dies könne über das internationale Seerecht erfolgen, das im Rahmen von Such- und Rettungseinsätzen die Benachrichtigung von maritimen Leitstellen benachbarter Staaten vorschreibt, erklärt Frontex.

Kapverden benennen „Eurosur-Koordinierungszentrum“

Nach Unterzeichnung eines Arbeitsabkommens soll dann „Phase 2“ beginnen. Dann würde der Informationsaustausch zu Booten auf dem Weg zu den Kanaren über ein Lagezentrum der Marine erfolgen, das Kap Verde dafür benannt hat. Frontex bezeichnet dieses COSMAR, das Zentrum für maritime Sicherheitsoperationen, als „Eurosur-Koordinierungszentrum“. Eurosur ist das Überwachungsnetzwerk, an das seit 2014 alle Schengen-Staaten mit dem Frontex-Hauptquartier in Warschau vernetzt sind. Dorthin werden auch die von Flugzeugen aufgenommenen Videos in Echtzeit gestreamt.

Die Antwort auf die parlamentarische Anfrage gibt auch Auskunft zur Sensortechnik an dem bei der britischen Firma DEA mit einem Rahmenvertrag gecharterten Flugzeug. Dazu gehören eine giro-stabilisierte elektro-optische und Infrarot-Kamera mit Wärmebildfunktion und Tageslicht-Zoomkamera, außerdem ein AIS-Transponder zur Schiffsidentifikation und ein Seeüberwachungsradar.

Derartige Ausrüstung gilt als Dual-Use-Technik, die auch militärisch verwendet werden kann. Schiffe der zivilen Seenotrettung dürfen sie deshalb nicht erwerben oder einsetzen, ansonsten können sie auch wegen Spionage verfolgt werden.

„Operative Verbindungsbeamte“ in Warschau

Mit der Anbindung an Eurosur erhalten die „eingebetteten kapverdischen Behörden“ laut Frontex die gleichen Informationen wie Portugal und Spanien. Dazu stationiert die Regierung in „Phase 2“ außerdem „operative Verbindungsbeamte“ in Warschau. Umgekehrt will Frontex aber kein eigenes Personal auf den Kapverden stationieren.

Die Frontex-Mission von den Kapverden aus soll eine Lücke schließen, die gescheiterte Verhandlungen mit Senegal und Mauretanien hinterließen: Die EU-Grenzagentur wollte ursprünglich Statusabkommen mit diesen Ländern schließen, um auch dort operieren zu dürfen. Trotz vorheriger positiver Signale verweigerten die Regierungen jedoch entsprechende Gespräche.

Die Flüge von Praia erfolgen deshalb außerhalb der Zwölfmeilenzone von Senegal und Mauretanien und damit im internationalen Seegebiet. So zeigt es auch ein ADSB-Tracker für das Flugzeug.

Grundrechtsbeauftragter äußert sich kritisch

Auch der Frontex-Grundrechtsbeauftragte Jonas Grimheden hatte sich bereits mit den Flügen von Praia aus beschäftigt – und äußerte sich schon im Planungsstadium kritisch. Denn die Flugzeuge sollen Informationen über entdeckte Migrant*innen an Such- und Rettungsbehörden der betreffenden Staaten weitergeben. In Mauretanien und Senegal gibt es aber Berichte über Defizite beim Schutz der Menschenrechte. Deshalb hätten vor der Inbetriebnahme des Flugdienstes wirksame Schutzmaßnahmen eingeführt werden sollen, meint Grimheden.

Das Büro des Grundrechtsbeauftragten forderte daher einen Aktionsplan, der die Probleme adressiert. Besonders das Verbot des Non-Refoulement – also das Verbot, Menschen in Länder zurückzuschicken, wo ihnen Verfolgung droht – müsse darin berücksichtigt werden, so Grimheden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln.

Wer wird neuer Europäischer Datenschutzbeauftragter? Diese Frage sollten gestern und heute Parlament und Rat klären. Sie ernennen zusammen den Beamten, der darüber wacht, dass sich die EU-Institutionen an den Datenschutz halten. Dabei kam es heute aber zu einer noch nie dagewesenen Situation: Parlament und Rat stimmten für unterschiedliche Personen.

Der Innenausschuss des EU-Parlaments hatte gestern für Bruno Gencarelli gestimmt. Gencarelli ist momentan in der EU-Kommission für Datenschutzpolitik zuständig und verhandelte verschiedene internationale Abkommen zum Datenaustausch.

Die Mitgliedstaaten im Rat wählten heute dagegen den aktuellen Amtsinhaber Wojciech Wiewiórowski. Er ist seit 2019 Europäischer Datenschutzbeauftragter und hat in dieser Zeit EU-Institutionen einige Male die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte.

Polnische Verbindung

Die Abgeordneten im Parlament hatten gestern mit 32 Stimmen Gencarelli unterstützt. Wiewiórowski hatte 26 Stimmen erhalten, der französische Datenschützer François Pellegrini 30 Stimmen. Anna Pouliou leitet aktuell den Datenschutz am CERN-Forschungszentrum, für sie votierten 11 Abgeordnete.

Die Mitgliedstaaten stimmten heute im Ausschuss der Ständigen Vertreter ab. Darin sitzen quasi die EU-Botschafter der Mitgliedstaaten. Dort erhielt Wiewiórowski die meisten Stimmen, gefolgt von Gencarelli, Pellegrini und Pouliou. Ein Umstand dürfte Wiewiórowski dabei hilfreich gewesen sein: Er kommt aus Polen. Polen hat momentan den alle sechs Monate rotierenden Vorsitz des EU-Rats inne. Damit hat das Land zusätzlichen Einfluss – und ein Interesse daran, Landsleute in mächtige Positionen zu bringen oder sie dort zu halten.

Das Gesetz schreibt aber vor, dass Parlament und Rat den Posten des Datenschutzbeauftragten „im gegenseitigen Einvernehmen“ besetzen. Die beiden Institutionen müssen also nun verhandeln und sich auf einen gemeinsamen Kandidaten einigen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

EU-weit soll die Einführung einer sogenannten ID-Wallet vorangetrieben werden, mit der sich Menschen digital ausweisen können und die dafür deren Identitätsdaten speichert. Auch juristische Personen sollen die Möglichkeit bekommen, diese ID-Wallets zu nutzen. Für den Gesetzesvorschlag der EU-Kommission gibt es jedoch keineswegs nur Lob – im Gegenteil.

In der Europäischen Union trat 2014 die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt in Kraft, die nun reformiert werden soll. Diese überarbeitete eIDAS-Verordnung soll allen EU-Bürgern die Möglichkeit zu einer digitalen Identität schmackhaft machen, die den Namen „European Digital Identity Wallet“ bekommen wird. Die ID-Wallet soll jeweils in der Hoheit der einzelnen EU-Mitgliedstaaten bereitgestellt werden, aber eine überall kompatible EU-weite Lösung sein.

Der Entwurf der EU-Kommission zur eIDAS-Neuregelung vom Juni 2021 (eIDAS: electronic IDentification, Authentication and trust Services) hat in der Wirtschaft überwiegend positives Feedback bekommen, er trifft jedoch auf breite Kritik und Nachbesserungswünsche von Bürgerrechtsorganisationen, Datenschützern und Experten für IT-Sicherheit. Die Kritik ist nicht ganz neu, schon im Juli 2021 (pdf) hatte der Europäische Datenschutzbeauftragte Schwachpunkte der geplanten Reformierung aufgezeigt, die aus Sicht des Datenschutzes bestehen. Eine öffentliche Konsultation hatte im Sommer zu Stellungnahmen aufgefordert.

Es existieren in Europa teilweise schon jahrelang Lösungen für nationale elektronische Identitäten, aber mit Dänemark, Deutschland, Schweden und Ungarn haben noch vier Staaten inkompatible Eigenkreationen. Die nun zur Überarbeitung vorgesehene Verordnung hat eine europaweit nutzbare ID-Wallet zum Ziel.

Von der Leyen verspricht eine sichere europäische elektronische Identität

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, hatte höchstselbst in ihrer Rede zur Lage der Union 2020 für die einheitliche ID-Wallet geworben. Sie beschrieb, dass niemand in der Praxis wissen können, was mit den eigenen Daten passiere und wie aber der geplante neue digitale EU-Identitätsspeicher die Kontrolle zurückbrächte:

Jedes Mal, wenn eine Website uns aufgefordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht. Aus diesem Grund wird die Kommission demnächst eine sichere europäische digitale Identität vorschlagen. Eine, der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.

Ganz so rosig wie in von der Leyens schwärmenden Worten wird die Umsetzung der ID-Wallet-Idee derzeit nicht bewertet, jedenfalls nicht aus Sicht von Datenschützern und IT-Sicherheitsfachleuten. Eine öffentliche Anhörung zu eIDAS beim Parlamentsausschuss für Industrie, Forschung und Energie brachte am Donnerstag Experten für eine Diskussion zusammen. Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, erneuerte dort gleich zu Beginn seine Kritik, warnte vor Gefahren und forderte Nachbesserungen.

Ein weiterer der angehörten Kritiker der geplanten Verordnungsreform war Thomas Lohninger, Geschäftsführer des Vereins epicenter.works aus Österreich und Vizepräsident von European Digital Rights. Eine Konsequenz der neuen digitalen Brieftasche könne ein für die Privatsphäre von Menschen gefährliches Szenario sein, vor dem Lohninger auch in seiner Stellungnahme (pdf) warnt: Gezielte Werbung könnte mit der staatlich garantierten Identität gekoppelt werden. Die Werbewirtschaft wüsste dann quasi mit staatlichem Stempel, mit wem sie es namentlich zu tun hat und wem konkret sie Werbung unterjubelt.

Lohninger betonte, es fehle an „Schutzmaßnahmen gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“. Hier müsse man dringend nachbessern. Es bestehe keine besondere Eile bei der Gesetzgebung, insofern plädiere er dafür, diesen Mangel zu beseitigen. Er rate auch zu einer Art Negativ-Liste, in der verständlich festgehalten werden solle, wofür die Daten der ID-Wallet keinesfalls verwendet werden dürfen. Auf jeden Fall müsse verhindert werden, dass mit der ID-Wallet am Ende nur die Tracking- und Werbewirtschaft und insbesondere auch die großen außereuropäischen Tech-Konzerne gestärkt werden.

Informationssammlung beim ID-Wallet-Herausgeber

Ein anderer potentiell gefährlicher Datenmissbrauch droht wegen der Daten, die bei der Nutzung des Identitätsspeichers beim Wallet-Herausgeber anfallen. Die Vorschläge der EU-Kommission schreiben zwar fest, dass der Nutzer über seine European Digital Identity Wallet die volle Kontrolle behalten soll. Über die Nutzung der Wallet soll der Herausgeber keine Informationen sammeln, die nicht notwendig für die Wallet-Dienstleistungen sind. Datenschutzexperte und Informatiker Lukasz Olejnik rät jedoch wegen dieser sensiblen Nutzungsdaten in seiner Stellungnahme, die Rechte der Nutzer weiter zu stärken und zusätzlich vorzuschreiben, dass nicht mehr benötigte, aber bereits gesammelte Daten über die Wallet-Nutzung gelöscht werden sollen. Mehr als zwei Jahre sollten sie keinesfalls festgehalten werden, so Olejnik, wünschenswert wäre eine viel kürzere Frist von nur einem Monat.

Lohninger kritisiert, dass nicht schon von vornherein ein technischer Ansatz vorgeschrieben werde, um die Nutzungsdaten beim Wallet-Herausgeber zu minimieren. Er optiert für eine technische Infrastruktur, die eine Informationssammlung beim Herausgeber weitgehend unterbinde. Die entsprechende Passage müsse schon deswegen geändert werden, weil das Vertrauen der potentiellen Nutzer in die ID-Wallet durch technische Maßnahmen zum Datenschutz viel deutlicher gestärkt werden müsse. Denn ohne Vertrauen seitens der Nutzer drohe das ganze Vorhaben zu scheitern.

Damit die ID-Wallet breite Akzeptanz findet, muss es neben dem Vertrauensvorschuss auch möglichst viele Angebote geben, die von Menschen genutzt werden könnten. Sonst endet der Vorschlag vielleicht wie die deutsche eID im Personalausweis, die – selbst nachdem sie per Gesetz zwingend aktiviert ist – noch immer kaum Nutzer findet. Der Entwurf der Verordnung sieht daher eine Verpflichtung zur Akzeptanz der ID-Wallet bei Staat und Wirtschaft vor, versucht also durch eine vielfältige Angebotsseite die Nutzung anzuregen. Die sehr großen Plattformbetreiber sollen daher mitmachen müssen, aber auch eine ganze Reihe anderer Wirtschaftsbranchen, etwa Transport, Energie, Banken, Gesundheit, Post, Telekommunikation und weitere sollen verpflichtet werden.

Die IT-Sicherheit bei Smartphones

Ein in der Anhörung vielfach vorgebrachter Kritikpunkt ist das Fehlen vieler rechtlicher und technischer Details für das Design und die Nutzungsmöglichkeiten der Wallet: Das mache eine Risikoanalyse und eine sinnvolle Datenschutz-Folgenabschätzung im Sinne der Datenschutzgrundverordnung fast unmöglich, so Lohninger. Das betonte auch der Europäische Datenschutzbeauftragte Wiewiórowski, der anmerkte, eine Prüfung, ob alle Standards der DSGVO eingehalten werden, sei aktuell nicht möglich.

Schwierig sei zudem, dass die IT-Sicherheit der ID-Wallet als App von der IT-Sicherheit von Smartphones abhänge, sagte Lohninger. Das stelle viele Menschen vor Probleme, etwa wenn sie nicht die finanziellen Mittel hätten, um neuere Smartphones mit regelmäßigen Updates zu nutzen. Schon deswegen müsse in die Vorschläge zur ID-Wallet eine Anti-Diskriminierungsklausel hinein, damit nicht Menschen mit weniger Geld nach der Einführung der Digital-Brieftasche auch noch Aufpreise zahlen müssen, wenn sie diese digitale Identität nicht nutzen können. In seinem Heimatland Österreich sei das bereits zu beobachten.

Millionen Browser-Nutzer gefährdet

Besonders in der Kritik von Seiten vieler IT-Experten steht auch der geplante Artikel 45 der Verordnung. Darin geht es um Zertifikate in Browsern. Solche Zertifikate werden von Certificate Authorities (CAs) verwaltet. Sie haben eine Funktion wie ein Notar, der beglaubigt, dass Zertifikate echt sind. Der Kommissionsvorschlag würde eine staatliche Zertifikatsinfrastruktur über solche CAs in Browsern verpflichtend vorschreiben. Lukasz Olejnik hält das Vorhaben in seiner Stellungnahme für hochgefährlich und schlägt vor, den Artikel 45 wegen seiner potentiellen Auswirkungen auf die IT-Sicherheit und auf Grundrechte komplett zu streichen oder aber mindestens statt einer Verpflichtung eine Opt-In-Lösung aufzunehmen.

Die Electronic Frontier Foundation fand in einer im Dezember veröffentlichten Stellungnahme deutliche Worte, was die Folgen angeht, würde der Vorschlag so in Kraft treten: „Die Sicherheit von HTTPS im Browser könnte um vieles schlimmer werden.“ Millionen Browser-Nutzer wären außerdem betroffen. Auch Lohninger kritisiert, dass der Vorschlag für die IT-Sicherheit von Browsern gefährlich wäre und verheerende Konsequenzen („devastating consequences“) drohen würden. Er appellierte bei der Anhörung an die EU-Parlamentarier: „Please don’t break the web!“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.