Die EU-Institutionen verhandeln zentrale Aspekte der Chatkontrolle. Rat und Parlament streiten, ob Internet-Dienste alle Nutzer freiwillig scannen dürfen oder verdächtige Nutzer verpflichtend scannen müssen. Wir veröffentlichen eingestufte Verhandlungsdokumente.

Seit vier Jahren verhandeln die EU-Institutionen über die Chatkontrolle, seit einem halben Jahr im Trilog. Jetzt verhandeln sie die heikelsten Fragen.

Die Kommission will Hoster und Kommunikations-Dienste verpflichten, die Inhalte aller Nutzer auf Straftaten zu durchsuchen. Das Parlament will Internet-Dienste verpflichten, die Inhalte verdächtiger Nutzer auf Straftaten zu durchsuchen. Die EU-Staaten wollen keine Verpflichtung für Internet-Dienste, sie sollen Inhalte freiwillig scannen dürfen.

Der vierte Trilog fand am 11. Mai statt. Wir veröffentlichen einen Bericht aus Brüssel. Danach hat die Ratspräsidentschaft neue Kompromissvorschläge vorgelegt. Wir veröffentlichen die Entwürfe vom 26. Mai und vom 29. Mai. Im Rat diskutieren die Referent:innen für Justiz und Inneres diese Vorschläge. Wir veröffentlichen eingestufte Protokolle vom 21. Mai und von vorgestern 10. Juni.

Keine verschlüsselten Inhalte

Die EU-Institutionen haben sich „vorläufig darauf geeinigt“, verschlüsselte Inhalte aus dem Anwendungsbereich des Gesetzes auszunehmen. Damit dürfte das umstrittene Client-Side-Scanning raus sein. Wenn das so bleibt, ist das ein großer Erfolg.

Darüber hinaus haben die Gesetzgeber bisher vor allem weniger Kontroverse Punkte verhandelt, darunter Allgemeine Bestimmungen sowie Pflichten zum Entfernen und Sperren bekannter Straftaten.

Seit kurzem bearbeiten sie den größten Brocken: Die „Aufdeckung“ illegaler Inhalte. In dieser Frage liegen die Positionen der EU-Institutionen „besonders weit auseinander“. Eine zentrale Frage ist, ob Anbieter Inhalte ihrer Nutzer scannen dürfen oder müssen. Eine weitere Frage ist, wie viele Nutzer und Inhalte die Anbieter scannen.

Freiwillig oder verpflichtend

Die Ratspräsidentschaft schlägt mehrere Optionen vor: freiwillige Chatkontrolle für nicht-öffentliche Inhalte wie Cloud-Speicher und Kommunikation, verpflichtende Chatkontrolle für öffentliche Inhalte wie Web-Inhalte und verpflichtende Chatkontrolle für nicht-öffentliche Inhalte.

Die EU-Staaten haben sich geeinigt, eine verpflichtende Chatkontrolle abzulehnen. Aber zum Kompromissvorschlag der Ratspräsidentschaft haben sie noch keine einheitliche Meinung.

Seit Jahren scannen einige Big-Tech-Unternehmen die Inhalte ihrer Nutzer anlasslos. Das ist spätestens seit April illegal, sie machen trotzdem weiter.

Freiwillig, aber weitgehend

Einige Staaten wollen, dass solche Unternehmen weiterhin viele Inhalte möglichst vieler Nutzer scannen. Vor allem Frankreich und Ungarn fordern „einen möglichst breiten Anwendungsbereich insbesondere bei freiwilliger Aufdeckung“. Die Franzosen haben „hier keinen Spielraum für Verhandlungen“.

Aber auch Deutschland spricht sich für eine weitgehende Chatkontrolle aus, entgegen anderslautender Äußerungen der Bundesregierung.

Andere Staaten sehen weiterhin jede Chatkontrolle durch Internet-Anbieter kritisch, darunter Italien, Polen und Österreich.

Der juristische Dienst der EU-Staaten bezeichnet eine anlasslose Chatkontrolle von Kommunikation als rechtswidrig. Die Juristen lehnen auch den aktuellen Vorschlag ab, „da man es weiterhin mit genereller Suche in interpersoneller Kommunikation zu tun habe“. Freiwilliges Scannen öffentlicher Inhalte halten sie jedoch für „unproblematisch“.

Deutliche Zweifel an Verpflichtung

Kommission und Parlament wollen Anbieter auch gegen deren Willen verpflichten können, Inhalte ihrer Nutzer zu scannen. Das kann Hoster wie Hetzner oder Mail-Dienste wie Posteo betreffen. Die sollen aber nicht alle Nutzer scannen, sondern nur verdächtige Nutzer-Gruppen.

Die EU-Staaten haben „deutliche Zweifel“ an der „Praxistauglichkeit“ dieses Vorschlags. Gegen Verdächtige stehen Ermittlern schon jetzt „andere Instrumente zur Verfügung“. Die Polizei kann dann Nutzer-Daten von den Anbietern anfordern und selbst auswerten.

Österreich kritisiert die verpflichtende Chatkontrolle und fordert, „das Verhältnis zu strafrechtlichen Ermittlungen“ zu klären. Mehrere Staaten schließen sich an und fragen nach der „Trennlinie zu strafrechtlichen Ermittlungen“. Lettland fragt, „wo der Mehrwert sei“. Die Kommission fragt, wer die verdächtigen „Personen oder Gruppen identifiziere und auf welcher Basis“.

Verhandlungen gehen weiter

Ende Juni geht die Ratspräsidentschaft von Zypern an Irland. Wie jede Ratspräsidentschaft will auch Zypern die Verhandlungen unter seinem Vorsitz abschließen. Das bleibt das offizielle Ziel. Gegenüber netzpolitik.org hat ein Sprecher jedoch bereits eingeschränkt, nur noch „möglichst große Fortschritte erzielen“ zu wollen.

Der nächste Termin für den offiziellen Termin ist am 29. Juni. Bis dahin verhandeln die Fachpolitiker der Institutionen.

Wenn sich Parlament und Rat auf eine gemeinsame Version einigen, müssen beide das Gesetz noch formal annehmen.

---

Hier die Dokumente in Volltext:

---

• Datum: 18. Mai 2026
• Von: Deutscher Bundestag
• Betreff: Bericht aus Brüssel

Keine Einigung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet

Zusammenfassung

• Vier Jahre nach Vorlage des Kommissionsvorschlags für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet fand am 11. Mai 2026 der vierte Trilog statt. Trotz Fortschritten konnte keine finale Einigung gefunden werden.
• Besonders weit liegen die Positionen in der Frage nach Aufdeckung auseinander. Während der Rat rein freiwillige Maßnahmen fordert, befürwortet das Europäische Parlament (EP) als letztes Mittel verpflichtende Aufdeckungsanordnungen für Justizbehörden bei begründetem Verdacht.
• Der politische und zeitliche Druck ist groß, denn momentan besteht eine Regelungslücke: Eine Ausnahmeregelung, die es Dienstanbietern ermöglichte, sexuellen Kindesmissbrauch im Internet freiwillig aufzudecken, lief am 3. April 2026 aus und kann nicht verlängert werden, da in der Abstimmung im Europäischen Parlament (EP) keine gemeinsame Position gefunden werden konnte. Die den Providern inzwischen untersagte freiwillige Meldung online gestellter Bilder und Videos sei dabei häufig die einzige Möglichkeit für die Aufdeckung von Fällen sexuellen Missbrauchs gewesen.
• Das Ziel der Verhandlungspartner ist ein Abschluss des Dossiers vor Sommer 2026, doch noch gibt es keine konkreten Ideen für einen gangbaren Kompromisstext.

Nach nunmehr vier Jahren intensiver Beratung über den Verordnungsvorschlag zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vom 11. Mai 2022 (CSAM-Verordnung) brachte auch der vierte Trilog am 11. Mai 2026 keine endgültige Einigung zutage. Von den Beteiligten wird erneut die konstruktive Arbeitsatmosphäre betont, die in den ersten drei Trilogen zur Klärung von weniger umstrittenen Fragen geführt habe, doch der kontroverseste Aspekt im Dossier, die Aufdeckungsanordnung, war erneut nicht auf der Tagesordnung: Diese führte schon bei Vorlage des Kommissionsvorschlags in einigen Mitgliedstaaten, allen voran Deutschlands, für z.T. heftige Reaktionen und Ablehnung. Stattdessen standen u. a. die Entfernungs- und Sperranordnungen im Fokus, um Darstellungen von sexuellem Kindes-missbrauch in allen Mitgliedstaaten entfernen oder sperren zu lassen.

Auch einigte man sich auf Details zu verlängerten Antwortfristen auf Löschanordnungen für Kleinst‑, kleine und mittlere Unternehmen. Einige der erreichten Kompromisse dienten dabei dem Ziel, den Verordnungstext mit dem Gesetz über digitale Dienste (Digital Services Act, DSA) in Einklang zu bringen.

Der zeitliche und politische Druck für eine finale Einigung ist groß. Eine Übergangsregelung, die es Internetanbietern rechtlich erlaubte, Darstellungen von sexuellem Kindesmissbrauch im Internet freiwillig aufzudecken, zu entfernen und den Strafverfolgungsbehörden zu melden, lief am 3. April 2026 aus und wurde vom EP abgelehnt, da keine gemeinsame Position mit dem Rat gefunden werden konnte. Damit besteht aktuell eine Regelungslücke, da kooperationswilligen Internetprovidern nun nicht mehr erlaubt ist, kinderpornografische Inhalte auf ihren Webseiten zu suchen, zu entfernen und den Strafverfolgungsbehörden zu melden.

Zur Erinnerung: Am 11. Mai 2022 legte die Kommission den Entwurf der CSAM-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vor. Ziel war, Anbieter von Online-Diensten zur Verhinderung, Aufdeckung, Meldung und Entfernung von Missbrauchsdarstellungen sowie zur Unterbindung von Grooming (sexuelle Anbahnung) zu verpflichten. Um Opfern mehr Gehör zu verschaffen, soll zudem ein EU-Zentrum als dezentrale EU-Agentur eingerichtet werden, flankiert durch ein Netzwerk nationaler Koordinierungsstellen. Darüber hinaus sollten Anbieter bestimmter Online-Dienste den freiwilligen Einsatz von Technologien zur Bekämpfung des sexuellen Missbrauchs von Kindern ermöglichen. Die bisherige Verordnung, die dies ermöglichte, lief am 3. August 2024 aus und wurde durch die eingangs erwähnte Interimsverordnung ersetzt. Um eine Regelungslücke zu vermeiden, waren die Ko-Gesetzgeber unter dänischer Ratspräsidentschaft ursprünglich bestrebt, die CSAM-Verordnung bis zum Frühjahr 2026 abzuschließen. Nachdem unter zypriotischer Ratspräsidentschaft der erste Trilog am 26. Februar 2026 stattfand, wurde für den Abschluss der CSAM-Verordnung Juni 2026 avisiert. Damals ging man dem Vernehmen nach noch davon aus, dass die Interimsverordnung verlängert werde, da ein Kompromiss bei der Aufdeckungsanordnung durch weit voneinander divergierende Positionen in weiter Ferne schien.

Aufdeckungsanordnung: Freiwillig oder als letztes Mittel verpflichtend

Die Aufdeckungsanordnung, die im ursprünglichen Kommissionsvorschlag Anbieter von Hostingdiensten oder interpersoneller Kommunikationsdienste verpflichtete, mit verschiedenen Technologien sexuellen Kindesmissbrauch in ihren Diensten aufzudecken, wurde im Rat v.a. von Deutschland, aber auch anderen Mitgliedstaaten abgelehnt, da eine anlasslose Überprüfung als unverhältnismäßiger Eingriff in Grundrechte gewertet wurde. Wegen einer befürchteten „Massenüberwachung“ rückten sowohl Rat als auch EP in ihren Positionen weit vom Kommissionsvorschlag ab: Unter dänischer EU-Ratspräsidentschaft gelang die partielle Allgemeine Ausrichtung, die rein freiwillige Aufdeckungsmaßnahmen vorsieht, wie sie bereits in der o. g. Interimsverordnung galten. Im EP gelang dem Berichterstatter Javier Zarzalejos (EVP/ESP) im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) bereits am 24. Oktober 2023 eine Einigung, die ebenfalls eine massenhafte Überprüfung ablehnte. Justizbehörden sollte aber als letztes Mittel die Aufdeckungsanordnungen ermöglicht werden, sofern begründete Verdachtsmomente auf eine, auch indirekte, Verbindung zu Missbrauchsmaterial hindeuten. Einigkeit besteht zwischen den Ko-Gesetzgebern, dass Ende-zu-Ende verschlüsselte Kommunikationsinhalte von Aufdeckungstechnologien ausgenommen bleiben sollen.

Obwohl EP und Rat über die Frage nach einer rein freiwilligen oder bei eindeutigem Verdacht verpflichtenden Aufdeckungsmaßnahme uneins waren, setzte man dem Vernehmen nach in allen drei Institutionen darauf, dass die o. g. Interimsverordnung nach Auslaufen am 3. April 2026 verlängert werde. Die Ablehnung im EP habe im Rat und in der Kommission für großen Unmut gesorgt und wird als Rückschlag für die Prävention von Kindesmissbrauch im Internet gewertet. Der Ablehnung im Parlament waren kurzfristige verschiedene Änderungen zur funktionalen Zusammenarbeit zwischen Internetprovidern und Polizei sowie zum Verbot nach bislang unbekannten Missbrauchsdarstellungen vorausgegangen. Für den abgeänderten Vorschlag fand sich im Ausschuss keine Mehrheit, sodass keine Position des EP beschlossen werden konnte.

Ausblick

Zwar betonen alle Seiten weiterhin eine konstruktive Arbeitsatmosphäre, doch die jahrelangen Verhandlungen zeigen, wie weit die Positionen im Spannungsfeld zwischen Daten- und Kinderschutz voneinander entfernt sind. Dass die Interimsverordnung, die den Verhandlungen mehr Zeit erkauft hätte, am 3. April 2026 ausgelaufen ist und nicht verlängert wurde, sollte den Druck auf die Trilogparteien erhöhen. Doch gehen Beteiligte nicht davon aus, dass ein Kompromiss im fünften Trilog am 29. Juni 2026 unter zypriotischer Ratspräsidentschaft noch gefunden werden kann. Vereinzelt wurde die Meinung vertreten, dass sowohl der Rat als auch das EP in ihren Positionen zur Aufdeckungsanordnung deutlich flexibler werden müssten und eine für beide Seiten tragbare Lösung außerhalb der Verhandlungsmandate des EP und des Rates gefunden werden müsste. Das bringe der Arbeitsebene im EP zufolge aber auch die zusätzliche Gefahr mit sich, dass das Parlament dem Ergebnis der Trilogverhandlungen auf Grundlage eines erweiterten Mandats am Ende doch nicht zustimmen könnte. Ebenfalls werde befürchtet, dass das Momentum verloren gehen könne und festgefahrene Positionen sich auf lange Zeit halten könnten. Die den Providern nun nicht mehr erlaubte freiwillige Meldung von online gestellten Bildern und Videos sei häufig die einzige Möglichkeit gewesen, um auf Fälle sexuellen Missbrauchs aufmerksam zu machen. Es werde aber der Arbeitsebene zufolge nun darauf gehofft, dass die aktuell entstandene Regelungslücke zusätzlichen Druck in den Migliedstaaten erzeugt und so Bewegung in die festgefahrenen Verhandlungen bringt. Der fünfte Trilog ist für den 29. Juni 2026 geplant.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 21. Mai 2026
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMG, BMWE, BMWK
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 21. Mai 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen zur CSA-VO am 21. Mai 2026

Vorsitz verwies eingangs auf die Bezugsdokumente (9139/26, WK 6982/26). Hierzu könnten MS sich bis zum 29. Mai schriftlich äußern.

Anschließend skizzierte Vorsitz kurz die Ergebnisse des letzten Trilogs, wie auch in den Bezugsdokumenten aufgeführt. Es gäbe insbesondere noch Gesprächsbedarf zur Frage, welche Behörde welche Anordnungen erlassen dürfe. Delisting und grenzüberschreitende Anordnungen habe EP nicht in seinem Mandat, zeige hier aber Flexibilität. Bei den blocking orders könne man sich vermutlich nur auf bekanntes Material mit dem EP verständigen. Bei der Frage, ob Audiokommunikation im Anwendungsbereich sein solle, hätte EP jedoch eine rote Linie.

In der anschließenden Aussprache legte AUT Prüfvorbehalt gegen alle die Kompetenzen der jeweiligen Behörden betreffenden Passagen ein und bat um einen eigenen Abschnitt zu Handbüchern. Auch SWE äußerte hier Bedenken und plädierte für eine reinen Verweis auf die CSA-Richtlinie. Wir begrüßten ebenso wie SVN die getroffene Einigung. POL machte darauf aufmerksam, dass die Handbücher nur unter den Anwendungsbereich fallen dürften, wenn sie eindeutig strafbare Inhalte hätten.

FRA bat um Umformulierung von EG 9a), um Vorfestlegungen in der Diskussion zum Zugang zu Daten zu vermeiden. Bei den Anordnungen bitte FRA um Berücksichtigung des bewährten nationalen Systems und entsprechende Textarbeit. Auch LVA bat hierzu um Beibehaltung der Ratsposition bzw. Angleichung an die TCO-VO (ähnlich HUN).

Neben uns begrüßte auch ITA die Begrenzung auf nummernunabhängige Dienste und die vorgesehene review clause, wohingegen sich LVA, HUN und ESP gegen die Begrenzung aussprachen. POL zeigte sich ebenfalls skeptisch und plädierte für eine starke review clause.

ITA sah es als notwendig an, Entfernungsanordnungen nur durch eine justizielle oder unabhängige Behörde zu erstellen oder zumindest unter deren Aufsicht.

HUN, POL, BGR, ESP und SVN plädierten für die Beibehaltung von Audiokommunikation im Anwendungsbereich, da dies für den Aspekt des Grooming wichtig sei.

Im zweiten Teil der Sitzung stellte Vorsitz erste Überlegungen für einen Umgang mit den verschiedenen Positionen des Rates und des EP zur Aufdeckung von CSAM vor. Eine Lösung könne eine Mischung aus freiwilliger Aufdeckung und gezielten Aufdeckungsanordnungen sein. Man wolle in Teilen die bisherige Interims-VO in die CSAM-VO integrieren. Auch sei eine proactive Suche durch das Zentrum in öffentlich zugänglichem Material angedacht. KOM nannte die Ideen vielversprechend. Es sei klar, dass eine mögliche Lösung von beiden Seiten Kompromisse verlange. Eine Einigung würde aber auf jeden Fall die jetzige Situation verbessern.

Auf LUX Nachfrage stellte Vorsitz klar, dass das Ratsmandat sich nicht mit Ende-zu-Ende Verschlüsselung befasse, weil dort keine Aufdeckungsanordnungen enthalten seien. Angesichts der EP Position sei aber davon auszugehen, dass Ende-zu-Ende Verschlüsselung auch bei einer Kompromisslösung nicht unter den Anwendungsbereich fallen werde.

Vorsitz kündigte an, in Kürze einen Textvorschlag zu übermitteln. Es sei wünschenswert, bis zur nächsten Sitzung der JI-Referent*innen am 2. Juni eine erste Einschätzung bzw. Kommentare/Textvorschläge hierzu zu erhalten. Ein weiteres Treffen der JI-Referent*innen sei Mitte Juni geplant. Sollte man einen Kompromiss mit dem EP erzielen, dann werde man am 24. oder 26. Juni den AStV befassen. Am 29. Juni plane man den letzten Trilog unter CYP Vorsitz. Des Weiteren werde Vorsitz ein Dokument mit Kompromisstexten zu den Art. 22, 33–39 sowie allen Artikeln zum Risikomanagement übersenden.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 11. Juni 2026
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMG, BMWE
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 10. Juni 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen zur CSA-VO am 10. Juni 2026

I. Zusammenfassung und Wertung

Bei der ersten substanziellen Aussprache zum Vorschlag des Vorsitz zu freiwilliger Aufdeckung und Aufdeckungsanordnung zeigte sich ein uneinheitliches Bild.

Während einige MS weiterhin einen möglichst breiten Anwendungsbereich insbesondere bei freiwilliger Aufdeckung bevorzugten (sehr deutlich dazu neben uns auch FRA), zeigten sich POL, AUT, LUX und ITA bekannt kritisch.

An der Praxistauglichkeit der auf einen bestimmten Personenkreis begrenzten Aufdeckungsanordnung gab es deutliche Zweifel und es wurde mehrfach die Frage gestellt, wo man die Trennlinie zu strafrechtlichen Ermittlungen und den entsprechenden Instrumenten ziehe.

KOM begrüßte den vom Vorsitz gewählten Ansatz, welcher zwischen Aufdeckung in öffentlich zugänglichen Inhalten und in nicht-öffentlich zugänglichen Inhalten (u.a. interpersonelle Kommunikation) unterscheide.

JD sah auch bei diesem Vorschlag nicht alle rechtlichen Bedenken ausgeräumt, wobei die freiwillige Aufdeckung in öffentlich zugänglichen Inhalten als unproblematisch erachtet wurde.

II. Im Einzelnen

Auf Bitten des Vorsitz gab es eine volle Tischumfrage zu Dok. 9659/26, wobei Vorsitz vorausschickte, dass man lediglich eine erste Einschätzung erwarte. Schriftliche Kommentare könnten in Vorbereitung der nächsten JI-Referent*innen Sitzung am 17. Juni übermittelt werden.

LTU, GRC, SVK, MLT, BGR, ROU, FIN (mit Hinweis auf kritische Haltung des nationalen Parlaments), SVN, CZE, SWE, DNK und BEL legten Prüfvorbehalt ein, wobei LTU, GRC, MLT, SVN, SWE und BEL diesen als positiv bezeichneten.

ESP macht deutlich, dass man auf Grooming nur verzichten werde, wenn das EP im Gegenzug von einigen seiner Positionen abrücke.

ITA zeigte sich erneut sehr kritisch und stellte folgende Forderungen auf: Definition auch von non-publicly accessible (auch LUX, PRT), own initiative search im öffentlichen und nicht öffentlichen Bereich nur für bekanntes CSAM (auch POL), Ausstellung von Aufdeckungsanordnungen durch Justiz (auch POL), Aufdeckungsanordnungen nur für bekanntes CSAM, ggf. auch neues CSAM, wenn auf Verdächtige begrenzt, keine proaktive Suche durch das Zentrum.

LVA sprach sich für einen weiten Anwendungsbereich (bekanntes Material, neues Material, Grooming) aus (auch HRV, SWE) und unterstützte im Übrigen den Ansatz des Vorsitz bei der freiwilligen Aufdeckung, wobei die Möglichkeit der Untersagung noch geprüft werde. Zu Punkt E stelle sich die Frage, wo der Mehrwert sei, da den Behörden dann andere Instrumente zur Verfügung stünden (auch SWE).

LUX verwies auf die bekannte Position, welche sich nicht geändert habe. Nach wie vor seien die rechtlichen Probleme nicht beseitigt.

NLD stellte die Frage, ob das ganze System funktionieren könne (auch SVN, HUN) und bat um eine systematische Darstellung. Aufdeckung im öffentlichen Bereich werde unterstützt. Es bestehe Klärungsbedarf, wie die Ausführungen zur Verschlüsselung zu verstehen seien. Die gezielte Aufdeckungsanordnung klinge zunächst gut, aber es sei fraglich, ob sie bei diesen engen Voraussetzungen überhaupt jemals zum Einsatz komme (ähnlich SVK).

EST sah es als notwendig an, den Anwendungsbereich anhand der verfügbaren Technologien einzugrenzen. Bekanntes und neues Material wäre weitgehend machbar, aber Technologien zur Detektion von Grooming seien noch zu unsicher. E2EE müsse weiterhin ausgeschlossen werden. Eine Anordnung von Aufdeckungsanordnungen durch die Justiz sei zu aufwändig (auch SWE). Die Rolle des Zentrums müsse noch geklärt werden. Dieses solle die MS unterstützen und nicht mit Bürokratie belasten.

AUT erneuerte die kritische Haltung ggü. Aufdeckungsanordnungen. Es sei auch nicht klar, wer tatsächlich von den nur unter engen Bedingungen auszustellenden Aufdeckungsanordnungen im nicht-öffentlichen Bereich betroffen sein würde. Hier müsse das Verhältnis zu strafrechtlichen Ermittlungen geklärt werden.

HRV stellte die Frage, wer bei der Aufdeckungsanordnung feststelle, ob die Kriterien erfüllt seien, z.B. dass ein Dienst „missbraucht“ werde, und auf welcher Basis dies erfolge. HRV sehe auch die Gefahr, dass Dienstanbieter nicht mehr freiwillig suchen würden, sondern auf Aufdeckungsanordnungen warten würden.

Ich kündigte unsere schriftliche Stellungnahme an und skizzierte die dortigen Kernaussagen.

PRT zeigte sich generell zufrieden mit dem Vorschlag, Grooming könne aber im Anwendungsbereich nicht unterstützt werden.

FRA sah die Notwendigkeit eines breiten Anwendungsbereichs bei der freiwilligen Aufdeckung (auch HUN). Man habe hier keinen Spielraum für Verhandlungen. Es sei ganz klar, dass man nach neuem Material suchen müsse, welche dann ja auch zu bekanntem Material werde. FRA wolle auch die Weiterleitung von Meta- und Verkehrsdaten (auch SWE). Bei Aufdeckungsanordnungen stelle sich die Frage, welche Informationen konkret vom Diensteanbieter verarbeitet würden.

HUN sah die Gefahr, dass man sich möglicherweise bei strafrechtlichen Ermittlungen selbst begrenze, wenn man bestimmte Technologien bei einem „Verdachtsfall“ festschreibe.

Vorsitz erklärte, dass man sich bei den Definitionen an der TCO-VO orientiert habe. Wenn man publicly accessible definiere, sei alles, was nicht darunter falle, non-publicly accessible. Wenn man beides definiere, dann bestehe die Gefahr einer Lücke oder einer Überlappung. Man habe bewusst die Regelungen der vorübergehenden Ausnahme übernommen und mit der Möglichkeit der Untersagung weitere Safeguards hinzugefügt. Zu den Bedingungen für die Aufdeckungsanordnungen sehe man die Anbieter in der Pflicht. Diese müssen die notwendigen Informationen für eine entsprechende Einschätzung haben.

KOM begrüßte den Ansatz des Vorsitz, nach öffentlichem und nicht-öffentlichen Bereichen zu trennen. Auch die Aufdeckungen im öffentlichen Bereich bringe einen Mehrwert. Hier sei es aber dann auch notwendig, dass der Anwendungsbereich breit bleibe. Zum Grooming gäbe es Beispiele, dass eindeutige Schlüsselbegriffe genutzt würden. Auch das Darknet sei als öffentlich zugänglich einzustufen. Die Indikatoren des Zentrums sollten auch für die freiwillige Aufdeckung in öffentlichen Bereich genutzt werden. Dann sei gewährleistet, dass gemeldetes Material auch tatsächlich illegal sei. Bei der auf bestimmte Nutzer oder Gruppen angewandten Aufdeckungsanordnung sei nicht klar, worin der Mehrwert zu strafrechtlichen Ermittlungsinstrumenten bestehe. Es sei auch nicht klar, wer diese Personen oder Gruppen identifiziere und auf welcher Basis.

JD wiederholte die bekannten Positionen. Die Bedenken seien nicht ausgeräumt, da man es weiterhin mit genereller Suche in interpersoneller Kommunikation zu tun habe. Nun wolle man hierfür den Diensteanbietern eine Rechtsgrundlage mit nur geringen Safeguards geben. Die Interims-VO sei immer als Übergangslösung gedacht gewesen und nach gängiger Meinung keine Rechtsgrundlage zum Scannen von interpersoneller Kommunikation. Selbst die Eingrenzung auf Nutzergruppen sei schwierig, weil nicht klar sei, welche Kriterien hier gelten sollten. Nach Sicht des JD brauche ein eine objektive, ausreichende Verbindung zu CSAM. Eine solche Festlegung sei aber eine staatliche Aufgabe und könne nicht den Diensteanbietern überlassen werden. Freiwillige Suche und Aufdeckung im öffentlichen Bereich sei unproblematisch, da es sich nicht um interpersonelle Kommunikation handele, und bedürfe keiner Rechtsgrundlage. Bei einer Aufdeckungsanordnung zum öffentlichen Bereich sei dies jedoch nur bei bekanntem Material rechtlich einwandfrei, da die Treffer keine Überprüfung des Anbieters vor einer Weiterleitung benötigten. Für „Risikoanbieter“ (z.B. Pornoplattformen) sei dies sogar generell möglich. Die Aufdeckung durch das Zentrum sehe JD aufgrund der gewählten Rechtsgrundlage als kritisch an, sofern kein Auftrag durch die MS oder die Anbieter bestehe. Zudem müsse geklärt werden, auf welcher Basis das Zentrum entscheide, welche Diensteanbieter für eine solche Maßnahme ausgewählt würden. Vorsitz ergänzte, dass man aufgrund der Problematik der Rechtsgrundlage das Verfahren der Treffermeldung durch das Zentrum an die Anbieter gewählt habe. Auf DNK Frage, warum man die vorübergehende Ausnahme nicht einfach 1:1 übernehmen könne, antwortete JD, dass es sich hier um eine Rechtsgrundlage und nicht um eine Ausnahme von einem Verbot handele. Die freiwillige Aufdeckung tauche ja z.B. auch bei der Risikominderung auf und der Anwendungsbereich sei breiter, da z.b. auch Hosting-Dienste umfasst seien.

KOM sah einen Ausweg darin, Treffer bei neuem Material und Grooming dahingehend „rechtsicher“ zu machen, dass eine direkte Weiterleitung an das Zentrum erfolge, ohne zusätzliche Verifizierung durch den Diensteanbieter.

Zu Dok. 9835/26 sah HRV eine rote Linie bei der Anzahl der Mitglieder des Technologieausschusses. HRV wolle hier Plätze für alle MS (auch ITA). KOM gab zu bedenken, dass man die Experten nicht auf EU Bürger begrenzen solle. FIN bat darum, ausreichend Zeit für die Umsetzung der VO zu geben und sprach sich gegen eine kurze Umsetzungsfrist aus.

Vorsitz informierte abschließend über die weiteren Schritte:

ITM am 11. Juni zur Fortsetzung vorheriger Diskussionen. Man werde Ende dieser Woche hierzu ein neues Dokument verteilen. Hierzu seien weitere Kommentare willkommen.

Zu den Art. 3 – 5 warte man derzeit auf Kommentare der KOM. Ein neuer Text solle bis Ende nächster Woche vorliegen. Hierzu erbitte Vorsitz dann Stellungnahmen im Hinblick auf die AStV Befassung am 24. Juni und den letzten Trilog unter CYP Vorsitz am 29. Juni.

Das Dokument für den AStV solle spätestens am 19. Juni vorliegen.

Vorsitz werde auch ein neues 4‑Spalten Dokument vorlegen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die neue Open-Source-Strategie der EU-Kommission bringt viele Forderungen der Community auf Papier. Rechtlich bindend sind die Maßnahmen allerdings noch nicht. Die anstehende Reform des EU-Vergaberechts könnte das ändern.

Als Teil ihres Gesetzespakets für digitale Souveränität („Tech Sovereignty Package“) hat die EU-Kommission am vergangenen Mittwoch auch eine neue europäische Open-Source-Strategie vorgestellt. Offene Technologien sollen dabei helfen, Europas Abhängigkeit von außereuropäischen Anbietern in kritischen Bereichen zu verringern.

„Es ist Zeit, dass wir das nutzen, was wir in Europa haben, um die Kontrolle über unsere gewünschte Zukunft zu erlangen“, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung der Strategie. Über drei Millionen Open-Source-Mitwirkende und 500 gewinnorientierte Open-Source-Unternehmen gebe es in Europa. Trotzdem würden jedes Jahr mehr als 260 Milliarden Euro für digitale Produkte und Dienstleistungen aus Nicht-EU-Ländern ausgegeben. Die Kommission argumentiert weiter, dass Europa zwar erhebliche wirtschaftliche Werte durch Open-Source-Projekte schaffe, die daraus entstehenden Gewinne aber häufig außerhalb Europas abgeschöpft würden.

Die neue Strategie soll das ändern. Sie soll die gesamte Kette abdecken: von Forschung und Entwicklung über die Markteinführung und den Einsatz von Open-Source-Software bis hin zur langfristigen Wartung und Steuerung kritischer Open-Source-Komponenten.

Open Source im Mittelpunkt der Digitalpolitik

Ein grundlegender Wandel ist allein der politische Stellenwert, den die Kommission Open Source nun zuschreibt. Die Denkfabrik OpenForum Europe verweist darauf, dass die Kommission erstmals einen umfassenden Rahmen für Open Source geschaffen habe und den entscheidenden Beitrag von Open Source zu Souveränität, Wettbewerbsfähigkeit und Innovationskraft Europas anerkenne. Die gemeinnützige Organisation spricht deshalb von einem „definierenden Moment“ für die europäische Open-Source-Politik.

Das Sozialunternehmen Open Ireland Network hält das Framing der Strategie für ebenso wichtig wie die Verpflichtungen, die sich daraus ergeben. Zum ersten Mal habe die Kommission Open Source als Grundlage für einen europäischen Technologie-Stack positioniert statt wie zuvor als Sparmaßnahme. Die irische Organisation bezeichnet die Strategie als „ehrgeizig“ und stellt konkrete Maßnahmen heraus wie die Mobilisierung von zwei Milliarden Euro über sieben Jahre im öffentlichen und privaten Sektor, ein Open-Source-Wartungsinstrument für kritische Infrastrukturen und das konkrete Ziel von 30 Millionen Nutzenden offener Kollaborationstools bis 2030.

„Wir freuen uns, dass die Strategie viele Prioritäten der Open-Source-Communitys abdeckt“, kommentiert Jordan Maris, Leiter der EU-Politik bei der Open Source Initiative. Dazu zählt er unter anderem Maßnahmen zur Erleichterung der Ansiedlung von Open-Source-Projekten in Europa und zum Abbau von Hindernissen bei der öffentlichen Beschaffung von Open-Source-Software.

Verknüpfung mit digitalen Brieftaschen

Offene Alternativen zu proprietären Lösungen will die Kommission gezielt fördern und dazu mit den Mitgliedstaaten im Konsortium für eine europäische digitale Infrastruktur (EDIC) zusammenarbeiten. Besonders auffällig ist dabei die Verknüpfung mit den digitalen Brieftaschen der EU: der Eudi-Wallet und der European Business Wallet. Die Kommission plant Open Source also direkt in eigene Projekte einzubauen, anstatt nur einzelne Initiativen zu fördern.

Grundsätzlich erklärt die Kommission, selbst mehr Open Source nutzen zu wollen. Öffentliche Verwaltungen sollen zu „Ankerkunden“ werden und zum Open-Source-Ökosystem beitragen. Dafür wird die öffentliche Beschaffung entscheidend. Ausschreibungen sollen „Open-Source-freundlicher“ und die Wiederverwendung öffentlicher Software erleichtert werden. Bei der Gestaltung von Ausschreibungen sollen Behörden zudem beraten werden, Offenheit und Souveränität bei Entscheidungen über Investitionen als Faktoren berücksichtigt werden.

Nach Ansicht vieler Beobachter:innen entscheidet sich hier, ob die Strategie tatsächlich die gewünschten Effekte erzielen wird. Schon in einer Konsultation zu der Strategie im Januar hatten viele Akteure eine Priorität von Open Source in der Beschaffung gefordert, darunter das deutsche Unternehmen Nextcloud. Sein CEO, Frank Karlitschek, begrüßt den Ansatz der neuen Strategie: „Öffentliche Gelder sollten in der Tat für öffentlichen Code ausgegeben werden – Public Money, Public Code.“ Indem die EU als strategischer Kunde auftrete, könne sie dem privaten Sektor das Vertrauen für Investitionen geben.

Allerdings fehlten noch konkrete Ziele und Änderungen im Beschaffungswesen, kommentiert Karlitschek. Ohne diese seien die Pläne zur „Förderung“ und „Unterstützung“ von Open Source „nur gut gemeinte Ausgaben von Steuergeldern, die sofort durch die deutlich umfangreichere Beschaffung von US-amerikanischer proprietärer Technologie untergraben werden“.

Rechtliche Verbindlichkeit fehlt

Die Free Software Foundation Europe (FSFE) kommt zu einer ähnlichen Bewertung. Die ausdrückliche Anerkennung von „Public Money? Public Code!“ in der Strategie, neun Jahre nachdem die FSFE die Initiative ins Leben rief, könne „ein wichtiger Schritt vorwärts für die Softwarefreiheit in Europa“ sein, sagt Johannes Näder, Senior Policy Project Manager bei der FSFE. Jedoch müsste dieser Grundsatz zu einer verbindlichen Anforderung bei öffentlichen Ausschreibungen gemacht werden. „Würde auch nur die Hälfte der 264 Milliarden Euro an öffentlichen IT-Ausgaben in Europa von proprietären Lösungen auf freie Software umgeleitet, würde dies die europäische technologische Souveränität stärken“, meint Näder.

Peter Ganten, Geschäftsführer des deutschen Unternehmens Univention, sieht ebenfalls eine Schwachstelle in der fehlenden Verbindlichkeit. Nach jetzigem Stand würden Mitgliedstaaten nur dazu verpflichtet, Open Source zu „fördern“. Dabei gebe es Ausnahmen, die im Zweifel „fast jede Entscheidung“ nachträglich rechtfertigen könnten. Die zentrale Frage sei: „Wer muss eigentlich begründen, warum Abhängigkeit in Kauf genommen wird und wo ist diese Begründung nachvollziehbar, prüfbar und auditierbar?“ Bislang fehle dieser Durchsetzungsmechanismus.

Die Strategie ist rechtlich nicht bindend. Daher hängt ihr Erfolg „von der entschlossenen Umsetzung“ der EU-Kommission ab, sagt die grüne Europaabgeordnete Alexandra Geese. Die Empfehlungen für die öffentliche Beschaffung könnten allerdings im EU-Vergaberecht verpflichtend gemacht werden. Die Reform der Vergaberichtlinien („Public Procurement Act“) will die Kommission am 1. Juli präsentieren.

Und auch der „Cloud and AI Development Act“ (CADA), ein Gesetz, das die Kommission als Teil des Souveränitätspakets präsentiert hat, ist zentral. Hier wird das Prinzip „Open Source First“ bei der Beschaffung von Cloud und KI festgehalten. Allerdings müssen noch das EU-Parlament und der Rat ihre Position zu dem Gesetz erarbeiten und anschließend im Trilog verhandeln. Selbst ein nicht-bindender Grundsatz könnte also noch im Gesetzgebungsprozess abgewandelt werden.

Kommission will nur zwei Milliarden Euro „mobilisieren“

Neben neuen Beschaffungsregeln wurde in der Konsultation insbesondere eine bessere Finanzierung des Open-Source-Ökosystems gefordert. Der EU-Abgeordnete Matthias Ecke (SPD) erklärt: „Wichtig ist nun, dass auch konkrete Förderinstrumente folgen – denn Open-Source-Projekte sind chronisch unterfinanziert.“ Michiel Leenaars von der niederländischen NLnet Foundation hatte vor Kurzem im Interview mit netzpolitik.org darauf hingewiesen, dass es für 2027 noch kein Budget für das Förderprogramm „Open Internet Stack“ der Kommission gibt. Der mehrjährige EU-Haushalt befindet sich derzeit noch in der Verhandlung.

Für alle Maßnahmen der Strategie will die Brüsseler Behörde zwei Milliarden Euro über sieben Jahre „mobilisieren“. Das sei nur ein kleiner Bruchteil der 264 Milliarden Euro, die jährlich für proprietäre Software und Dienstleistungen ausgegeben werden, kommentiert die Free Software Foundation Europe. In einer Analyse für TechPolicyPress bewerten Vertreter:innen von OpenForum Europe die Summe als „unzureichend“. Zwei Milliarden Euro wären „ein guter Anfang“, schreiben die Autor:innen, aber für alle aufgeführten Maßnahmen zu wenig Geld. Sie ermutigen die Kommission daher, sich um zusätzliche Mittel zu bemühen.

Eine der Maßnahmen, für die schon länger Finanzierung gefordert wurde, ist ein Open-Source-Wartungsinstrument für kritische Infrastrukturen. Es soll sicherstellen, dass kritische Open-Source-Komponenten langfristig gepflegt werden. Diesen Schritt begrüßen viele Akteure ausdrücklich. Die Sovereign Tech Agency, eine GmbH im Auftrag des deutschen Bundesdigitalministeriums, kommentiert etwa: „Das Open-Source-Wartungsinstrument schließt eine strukturelle Lücke, die unsere Arbeit von Anfang an geprägt hat: Kritische Open-Source-Infrastruktur schafft öffentlichen Mehrwert, ist jedoch oft unterfinanziert und institutionell anfällig.“

Kommt ein europäischer Fonds?

Am 19. Juni sollen bei einem Treffen in Paris die ersten Aktivitäten des EDIC starten, informiert die CEO der Sovereign Tech Agency, Adriana Groh. Dort soll auch ein Pilotprojekt für einen Sovereign Tech Fund auf EU-Ebene zur Sprache kommen. In Brüssel wird erwogen, einen solchen europäischen Fonds nach deutschem Vorbild aufzubauen. In Deutschland hat die Sovereign Tech Agency den Fonds aufgebaut.

Ob aus der neuen Strategie tatsächlich ein Wendepunkt für Open Source in Europa wird, hängt von vielen Faktoren ab: der Reform des Vergaberechts, dem Willen der Mitgliedstaaten, der Positionierung des Parlaments. Klar ist jedoch, dass die Kommission viele Punkte aufgenommen hat, die die Open Source Community schon seit Jahren fordert. Und sie versteht Open Source nun als wichtigen Faktor für die digitale Souveränität.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit einem Paket an Gesetzen will die EU-Kommission digital souveräner werden. Aber das positiv besetzte Label verschleiert eine knallharte Industrie-Agenda: Neue Rechenzentren sollen massig Energie verschlingen. Ein Kommentar.

Das Problem verfolgt die Debatte um digitale Souveränität wie ein Schatten: Der Begriff ist nicht definiert. Wer genau sich von wem unabhängiger machen soll, bleibt unklar. Nun will die EU den Ausbau von Rechenzentren als Schritt zu mehr Souveränität verkaufen. Dabei entstehen allerdings neue Abhängigkeiten, und zwar von Energieversorgern.

Am Mittwoch hat Kommissions-Vizepräsidentin Henna Virkkunen das lang erwartete Technological Sovereignty Package präsentiert. Von der Hardware bis zur Software will die Kommission Europa technologisch autonomer und resilienter machen. „Wir können es uns nicht leisten, bei den Technologien, die den Betrieb unserer Krankenhäuser, die Stabilität unserer Energienetze und die Sicherheit unserer Dienste gewährleisten, von anderen abhängig zu sein“, lässt sich Ursula von der Leyen (CDU) zitieren.

Doch die Kommission verfolge eine Definition von digitaler Souveränität, mit der sie „Regulierung und regulatorische Durchsetzungsfähigkeit weitgehend ausblendet“, kritisiert Marielle-Sophie Düh. Sie ist Doktorandin am Centre for Digital Governance der Hertie School und Mitglied der Forschungsgruppe „Politics of Digitalization“ vom Wissenschaftszentrum Berlin für Sozialforschung. Letztlich reduziere die Kommission „Souveränität auf ein industriepolitisches Projekt“.

Energiebedarf: verfünffachen

Daraus macht die Kommission keinen Hehl. Ganz offiziell will sie mit dem Paket „die Wettbewerbsfähigkeit und die geoökonomische Position Europas stärken“, heißt es in einer Zusammenfassung. Hierfür will sie den Weg für mehr Rechenzentren ebnen.

Offenbar waren die Lobby-Bestrebungen von Wirtschaftsverbänden erfolgreich. Im Vorfeld hatte etwa der Verband der Internetwirtschaft eco gewarnt: Europa dürfe „den Ausbau von Rechenzentren nicht durch neue Regulierung selbst ausbremsen“. Dabei ist Deutschland heute schon nach den USA das Land mit den weltweit meisten Rechenzentren.

Nun will die EU-Kommission Genehmigungsverfahren für Rechenzentren unter bestimmten Bedingungen beschleunigen. Wie ein hochrangiger EU-Beamter erklärte, visiert die Kommission mit ihrem Paket an, dass sich der Energiebedarf europäischer Rechenzentren in etwa verfünffachen wird – von zurzeit 12 Gigawatt auf 60 Gigawatt im Jahr 2035.

Damit verschlingen Rechenzentren zunehmend große Teile des Strombedarfs ganzer EU-Länder. Rechenzentren in Irland beanspruchen bereits heute 22 Prozent des dortigen Bedarfs, mehr als ein Fünftel. In Deutschland sind es noch vier Prozent.

Umweltvorschriften: verwässern

Um „den Weg für diese stromfressenden Rechenzentren frei zu machen“, sei die Kommission dazu bereit, „Umweltvorschriften zu verwässern“, kritisiert Bram Vranken. Er ist Forscher und Aktivist beim Corporate Europe Observatory und untersucht die Lobby-Taktiken von Unternehmen wie Meta, Amazon und Google. Dafür werfe die Kommission ihre Klimaziele über den Haufen. So habe Big Tech mithilfe aggressiver Lobbyarbeit den „Plan der Kommission, Mindeststandards für die Nachhaltigkeit von Rechenzentren einzuführen, zum Scheitern gebracht“, so Vranken.

Er warnt: Mit ihrer Wirtschaftspolitik wird die EU „unser aller Stromrechnungen in die Höhe treiben“. In Irland ist das seit mindestens einem Jahr bittere Realität.

KI-Wettlauf: mithalten

Mit den Rechenzentren und ihrem Energiehunger will die EU im weltweiten KI-Wettlauf mithalten. Dafür hat die Kommission schon vor gut einem Jahr den Aktionsplan „Kontinent KI“ aufgestellt, wonach sogenannte Künstliche Intelligenz die Wettbewerbsfähigkeit Europas entscheidend bestimme.

Auch wenn Tech-Konzerne gerne ein anderes Bild vermitteln, verbraucht vor allem generative KI viel Energie und treibt den Bedarf weiter in die Höhe: So erwartet die Internationale Energieagentur, dass der Stromverbrauch aller Rechenzentren weltweit bis 2030 auf rund 945 Terrawattstunden ansteigt. Das wäre doppelt so viel wie im Jahr 2024.

Die Kommission will zwar an der Energieeffizienz schrauben, um den Bedarf an teurer Energie aus fossilen Brennstoffen zu begrenzen und stärker auf erneuerbare Energien zu setzen. Aber in welchem Ausmaß wird das gelingen? In Deutschland geht Wirtschaftsministerin Katherina Reiche (CDU) einen ganz anderen Weg. Die Ex-CEO des Strom- und Gasnetzbetreibers Westenergie bastelt an der Ausschreibung für mehr Kapazität bei Gastkraftwerken: 20 Gigawatt bis 2030.

Für die„AI First“-Mentalität der EU-Kommission ist „digitale Souveränität“ bloß ein Label. Im Zentrum steht der globale Industrie-Wettbewerb – nicht Folgen für Umwelt oder Gesellschaft. Jüngst hat die EU-Kommission den Siemens-Vorstandsvorsitzenden Jim Hagemann Snabe als Berater für industrielle KI eingesetzt. In Brüssel gab es dafür viel Kritik, immerhin hatte sich Snabe dafür eingesetzt, KI-Vorschriften in der EU zu schleifen. Die Folgen der KI-Politik dürften jedoch alle treffen, spätestens bei der Stromrechnung.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Meta wollte seinen Facebook Messenger und den Marketplace nicht als marktmächtige Kerndienste eingestuft sehen. Der US-Konzern wehrte sich vor Gericht gegen die strengeren Auflagen des Digital Markets Act, bekam aber nur in einem Punkt recht.

Der Messenger von Meta gilt weiterhin als sogenannter Gatekeeper im Sinne des Digital Markets Act (DMA) und muss sich an strengere Vorgaben halten als kleinere Wettbewerber. Das hat heute das zweithöchste EU-Gericht in Luxemburg entschieden.

Der DMA richtet sich in erster Linie an marktmächtige Digitalunternehmen. Erlangen sie in einem bestimmten Marktsegment eine kritische Größe, müssen sie sicherstellen, dass der Wettbewerb gewahrt bleibt. In diesem Fall war Meta etwa gezwungen, Interoperabilität herzustellen, also den Austausch von Nachrichten mit anderen Messenger-Anbietern zu erlauben.

Meta war gegen die Einstufung des Messengers als Gatekeeper vor Gericht gezogen, blieb dabei jedoch erfolglos. Dem Urteil zufolge kann der Messenger unabhängig und eigenständig von sonstigen Angeboten Metas genutzt werden, beispielsweise Facebook oder Instagram. Den Einwand, dass Meta die Produkte integriert anbieten würde, ließ das Gericht nicht gelten. Damit stufte das Gericht den Messenger als einen vom sozialen Netzwerk Facebook getrennten interpersonellen Kommunikationsdienst ein, der auch alleine als Gatekeeper gelten würde.

Mit strengen Regeln gegen Tech-Riesen

Urspünglich hatte die EU-Kommission im Herbst 2023 eine ganze Reihe von Meta-Produkten als Gatekeeper eingestuft, darunter Facebook, Instagram, WhatsApp, die Werbeplattform Meta Ads und den Facebook Marketplace. Meta nahm die Entscheidung weitgehend an, wehrte sich jedoch beim Messenger sowie beim Marketplace juristisch dagegen.

Zwar hat die Kommission die Designierung des Marketplace als Gatekeeper im Vorjahr zurückgezogen, da der Schwellenwert gewerblicher Nutzer nicht erreicht wurde. Das Gerichtsverfahren lief jedoch davon unberührt weiter.

Hierbei schloss sich der Gerichtshof der Meinung von Meta an. Laut dem Urteil hat die Kommission vor allem formale Fehler begangen. So hätten sich die Brüsseler Wettbewerbswächter fälschlicherweise ausschließlich auf Daten der letzten drei Jahre vor der Benennung gestützt, ohne Änderungen zu berücksichtigen, die Ende Juli 2023 eintraten.

Entsprechend sei ihr Beschluss unzureichend begründet, so das Gericht. Weder habe die Kommission eine konkrete Analyse der von Meta vorgenommenen Änderungen vorgelegt noch deren Auswirkungen auf ihre Schlussfolgerung erläutert. Die im Beschluss angeführten Argumente blieben „hypothetisch und unvollständig“, sodass ihn das Gericht für nichtig erklärte.

Eine Berufung gegen das Urteil ist vor dem Europäischen Gerichtshof (EuGH) möglich. Ob die Kommission einen erneuten Anlauf starten wird, den Marketplace strenger zu regulieren, bliebt vorerst offen. Auf Anfrage teilte ein Kommissionssprecher gegenüber netzpolitik.org mit, die Entscheidung des Gerichts prüfen zu wollen. Allerdings seien die Auswirkungen beim Marketplace „gering“, da der Dienst nicht mehr als Gatekeeper eingestuft ist. Solange die Nutzungszahlen nicht sprunghaft ansteigen, dürfte sich daran nichts ändern.

Das Urteil in puncto Messenger bewertet die EU-Kommission hingegen als „wichtigen Schritt“, um Fairness auf digitalen Märkten zu gewährleisten. So müsse Meta weiterhin darauf hinarbeiten, die Interoperabilität zwischen seinem Messenger und anderen vergleichbaren Kommunikationsdiensten sicherzustellen – „ähnlich wie bereits bei WhatsApp“, so der Sprecher.

Regulierung unter Beschuss

Der DMA hat sich seit seinem Start im Jahr 2023 sowohl als wirtschaftlicher als auch geopolitischer Zankapfel erwiesen. Viele dominante Tech-Konzerne stammen aus den USA und sind entsprechend stärker betroffen als etwa europäische Unternehmen. Neben Meta müssen unter anderem Amazon, Apple und Microsoft derart eingestufte Kerndienste für die Konkurrenz öffnen.

Parallel zu etwaigen gerichtlichen Auseinandersetzungen spannen sie die Regierung des US-Präsidenten Donald Trump ein, um auf politischer Ebene gegen den DMA zu lobbyieren. Zuletzt wurde bekannt, dass die EU-Kommission ein eigenes Gremium einrichten will, in dem die USA und die EU „verstärkt“ bei der Regulierung von Tech-Riesen zusammenarbeiten sollen. Das hat wiederholt für Unmut in Brüssel und europäischen Hautstädten gesorgt.

Indes streitet die Kommission ab, europäische Digitalgesetze aufweichen zu wollen. Im Vorjahr verhängte sie erstmals millionenschwere DMA-Geldbußen gegen Meta und Apple, zudem untersucht sie weitere potenzielle Verstöße gegen das Gesetz. In einer ersten Evaluation des Digitalgesetzes zog sie jüngst eine grundsätzlich positive Bilanz.

Ungeachtet dessen läuft ein weiteres DMA-Verfahren vor dem Gerichtshof der Europäischen Union weiter. In dem Fall wehrt sich Bytedance, der Eigentümer des Videodienstes TikTok, ebenfalls gegen eine Einstufung als übermächtiger Gatekeeper. Im Mai fand eine mündliche Verhandlung vor dem Gericht statt, mit einem Urteil wird im Laufe des Jahres gerechnet.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU will die KI-Verordnung aufweichen. Eine erste Einigung sieht nun vor, bestimmte Regulierungen für die Industrie abzuschwächen und zeitlich deutlich nach hinten zu verschieben. Hinzugekommen ist ein Verbot von KI-Anwendungen, mit denen sexualisierte Deepfakes erstellt werden können.

Nachdem die EU-Verhandlungen zum digitalen Omnibus Ende April 2026 vorübergehend geplatzt waren, konnten Rat und Parlament gestern Nacht im Trilog eine vorläufige Einigung erzielen; die Kommission war als Vermittlerin beteiligt.

Die Einigung betrifft die Aufnahme des Verbots von sogenannten KI-Nudifiern in die KI-Verordnung. „Nudifier“ sind Anwendungen, mit deren Hilfe sexualisierte Deepfakes erstellt werden können. Außerdem sollen Auflagen für die Industrie beim Einsatz von risikoreichen KI-Systemen begrenzt sowie zentrale Pflichten aus dem AI Act für Hochrisiko-Systeme deutlich nach hinten verschoben werden – auf Ende 2027 und 2028. Der vorliegende Kompromiss zwischen Rat und Parlament muss noch formal bestätigt werden.

Der Trilog war zuvor an der Frage gescheitert, wie in der Industrie mit der Hochrisiko-Kategorie für KI-Systeme umgegangen werden soll, die bereits durch sektorale Bestimmungen reguliert werden. Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme sollten eigentlich bereits ab dem 2. August 2026 wirksam werden. Der Kompromiss sieht nun vor, dass die Anwendung der KI-Verordnung dort begrenzt wird, wo sektorale Sicherheitsanforderungen vergleichbare KI-Regeln enthalten.

Die EU verabschiedete den AI Act (Verordnung über künstliche Intelligenz) im Mai 2024. Er ordnet KI-Technologie vier abgestuften Risikokategorien zu und regelt Pflichten für die Hersteller und Anbieter von KI-Systemen oder Produkten, die KI-Technologie enthalten. KI-Systeme mit inakzeptablem Risiko können verboten werden.

Die EU-Kommission möchte die Regelungen im Rahmen des sogenannten Digitalen Omnibus jedoch vereinfachen, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Gesetzespaket ist umstritten. Es enthält unter anderem Lockerungen bei der Datenschutzgrundverordnung oder beim Training von KI mit personenbezogenen Daten.

Verbot von KI-„Nudifiern“

Konkret haben sich Parlament und Rat darauf geeinigt, in Zukunft KI-Anwendungen zu verbieten, mit deren Hilfe man sexualisierte Deepfakes erstellen kann. Das Thema wurde zu einem zentralen Vorhaben, nachdem Nutzer*innen mit dem Chatbot Grok Anfang des Jahres binnen weniger Tage Millionen von nicht-einvernehmlichen Deepfakes erstellt hatten.

Bereits Ende März hatte sich das Parlament dafür ausgesprochen, solche KI-Anwendungen zu verbieten. Im Trilog ging es noch um die Details der Formulierung. Das Verbot umfasst jetzt explizit auch das Erstellen von Inhalten, die sexuellen Missbrauch von Kindern zeigen. Zudem soll es untersagt sein, KI-Anwendungen auf den Markt zu bringen, die ohne Zustimmung Deepfakes von “intimen Teilen einer identifizierbaren Person” oder die Person bei sexuellen Handlungen zeigen.

Die geplante Verschärfung ist nicht die erste EU-Regelung zu Deepfakes. Eine andere Richtlinie sieht bereits vor, dass Mitgliedstaaten die Verbreitung von sexualisierten Deepfakes unter Strafe stellen, wenn diese geeignet sind, einer Person schweren Schaden zuzufügen. Deutschland setzt dies mit dem geplanten Gesetz gegen digitale Gewalt derzeit um. Das geplante Verbot in der KI-Verordnung würde den Fokus von der Bestrafung der Täter*innen auf die Anbieter solcher Anwendungen verschieben.

Im geplanten Text steht nun auch die fehlende Zustimmung der gezeigten Personen als definierendes Merkmal. Fachleute forderten das seit langem. Zugleich kritisiert etwa Ana Ornelas von der European Sex Workers’ Rights Alliance (ESWA), die Beschränkung auf „identifizierbare Personen“. Sie fürchtet, dass dies in der Durchsetzung zu Schlupflöchern führen könnte.

Lockerungen und Fristverlängerung für Industrie

Hochrisiko-KI-Systeme in Bereichen wie Beschäftigung, Bildung, Migration, Strafverfolgung oder kritische Infrastruktur sollen Anforderungen aus dem AI Act erst ab dem 2. Dezember 2027 erfüllen müssen. Für KI in Medizinprodukten, Maschinen oder Spielzeug gilt der 2. August 2028. Anbieter von KI-Systemen müssen diese grundsätzlich in der EU-Datenbank für risikoreiche Systeme registrieren – auch wenn sie der Ansicht sind, die Einstufung als risikoreich träfe nicht zu oder sei ausgenommen.

Die Sonderregelung für Maschinenverordnung schwächt nach Meinung des europäischen Verbraucherverbands BEUC den Verbraucherschutz. Konkret kritisiert der Verband, dass Alltagsgeräte wie Industriemaschinen aus der KI-Aufsicht herausfallen würden. Bei deren Versagen könnten Menschen zu Schaden kommen. Der Deal enthält offenbar auch eine Klausel, mit der die EU-Kommission später weitere KI-Systeme ohne neues Gesetzgebungsverfahren aus dem Geltungsbereich des AI Acts herausnehmen kann. Die Kommission erhalte damit eine Hintertür für künftige KI-Deregulierung.

BEUC-Generaldirektor Agustín Reyna meint, der überhastete Prozess habe ein Gesetz hervorgebracht, das komplizierter und weniger wirksam als vorher sei und vor allem der Industrie nutze.

Zumindest an manchen Stellen scheint der Kompromiss strenger. Die EU-Kommission wollte die Verarbeitung sensibler personenbezogener Daten – etwa Angaben, aus denen Ethnie oder Religion hervorgehen können – zur Bias-Erkennung erleichtern. Rat und Parlament begrenzten hier durch striktere Maßstäbe.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Alterskontroll-App der EU- Kommission nutzt ein Verfahren von Google-Entwicklern. IT-Fachleute warnen vor Abhängigkeiten und Datenschutzrisiken – auch mit Blick auf die geplante EUDI-Wallet.

Mit einer Handy-App sollen Menschen in der EU schon bald ihr Alter gegenüber Online-Diensten nachweisen können. Noch gibt es diese App nicht. Die EU-Kommission hat aber Code für Komponenten und Spezifikationen bereitgestellt, aus dem Entwickler:innen eigene Versionen der App bauen und auf den Markt bringen sollen. Die Alterskontroll-App könne ein weltweiter „Goldstandard“ werden, so die Hoffnung der Kommission.

Doch bei der App hat sich die Kommission für ein Verfahren zweier Software-Entwickler entschieden, die für den US-Konzern Google arbeiten. Die Technologie ist Open Source. Doch eine ebenfalls offene Alternative, die seit Jahren gut erforscht und nicht an ein kommerzielles Unternehmen gebunden ist, lehnte die Kommission ab.

Sicherheitsexpert:innen kritisieren die Entscheidung, weil die von der Kommission gewählten Verfahren weniger effizient und risikobehaftet seien. Außerdem fordern sie, Standards zu nutzen, die Abhängigkeiten von einzelnen Anbietern vermeiden. Nur so ließen sich bestimmte Funktionen und ein hohes Datenschutzniveau sicherstellen.

Der datensparsame Null-Wissen-Beweis

Die Alterskontroll-App ist quasi ein Vorläufer der geplanten EUDI-Wallet, die Ende 2026 EU-weit starten soll. Mit der App sollen Nutzer:innen gegenüber Online-Plattformen nachweisen können, dass sie ein bestimmtes Mindestalter erreicht haben.

Um ausschließlich die erforderliche Information – Mindestalter ja oder nein – zu offenbaren, lässt sich ein sogenannter Zero Knowledge Proof (ZKP) nutzen, zu Deutsch: Null-Wissen-Beweis. Das erlaubt eine datensparsame Verifizierung, ohne die zugrundeliegenden Daten der Nutzer:innen wie etwa das genaue Alter preiszugegeben.

Damit die Authentisierung sicher erfolgen kann, braucht es digitale Signaturen. Sie sichern weite Teile des Internets und die meisten digitalen Transaktionen ab, indem sie etwa – vergleichbar mit einer handschriftlichen Unterschrift – mathematisch beweisen, dass eine Nachricht von einem bestimmten Absender stammt.

Beweisen, dass es einen Beweis gibt

Bei der Alterskontroll-App wird das Attribut, das eine Person älter als X Jahre ist, vom sogenannten „Attestation Provider“ signiert. Diese Aufgabe können Banken, Mobilfunkanbieter oder staatliche Behörden übernehmen. Sie bestätigen so als vertrauenswürdige Stelle die Echtheit von Altersbestätigungen digital und geben diese an die App aus.

Allerdings gibt es noch ein Problem zu lösen: Wäre diese Bestätigung, die bei einem Altersnachweis mitgeliefert wird, immer gleich, lassen sich damit verschiedene Nachweisaktionen bei unterschiedlichen Behörden, Händlern oder Plattformen miteinander verknüpfen.

Das sollen „Anonymous Credentials“ verhindern, zu Deutsch: „anonyme Anmeldedaten“. Hier werden bei jeder Altersübermittlung neue, einmalige Beweise erzeugt, die an verschiedene Dienste, die den Nachweis prüfen, weitergegeben werden. Damit belegen Nutzer:innen, dass sie eine gültige Signatur für ihren Altersnachweis haben – ohne den Nachweis selbst oder die Signatur preiszugeben. Dank dieser wechselnden Beweise können die sogenannten Verifier nicht erkennen, dass es sich um dieselbe Person handelt – selbst wenn sie die Beweise untereinander vergleichen.

Zwei konkurrierende kryptografische Verfahren

Damit der Zero Knowledge Proof mit der Alterskontroll-App gelingt, kommen mehrere kryptografische Verfahren für Anonymous Credentials grundsätzlich infrage.

Aus Sicht vieler Kryptografen wäre etwa BBS ein etabliertes Verfahren. Es ist nach den Erfindern Dan Boneh, Xavier Boyen und Hovav Shacham benannt, wurde 2004 entwickelt und 2013 als ISO-Standard aufgenommen. BBS gilt als gut erforscht, ist allerdings bisher kaum im Praxiseinsatz.

Ein alternatives Verfahren baut auf ECDSA-Signaturen auf. Der „Elliptic Curve Digital Signature Algorithm“ ist als kryptografisches Verfahren weit verbreitet. Es wurde allerdings nicht dafür gebaut, um ZKP zu erstellen. Um einen Null-Wissen-Beweis auf Basis einer ECDSA-Signatur erzeugen zu können, braucht es technisch aufwendige Anpassungen. Im Vergleich zu BBS-basierten Verfahren gelten daher ECDSA-basierte Anonymous Credentials in der Fachwelt als langsamer und komplexer.

Kommission hat sich für ECDSA-Signaturen entschieden

Dennoch hat sich die Kommission bei ihrer Alterskontroll-App für ECDSA-basierte Anonymous Credentials entschieden. Laut dem technischen Blaupausen-Dokument hatte die Kommission zuvor fünf Optionen geprüft, drei von ihnen basieren auf BBS. „Unter diesen erscheinen ‚ECDSA Anonymous Credentials’ aufgrund ihrer Kompatibilität mit bestehenden Anmeldeformaten und Ausstellungsabläufen am vielversprechendsten“, schreibt die Kommission.

Anja Lehmann hält das für einen riskanten Ansatz. Sie ist Professorin am Hasso-Plattner-Institut der Universität Potsdam und forscht unter anderem zur datensparsamen Authentisierung in digitalen Wallets. „Nach außen wirkt der ECDSA-basierte Ansatz einfach, gerade weil er kompatibel mit bestehenden Systemen ist“, sagt Lehmann gegenüber netzpolitik.org. „Aber um diese Kompatibilität zu erreichen, braucht man ein kryptographisches Verfahren mit rund 20.000 Zeilen Code.“ Das sei langfristig eine große Herausforderung etwa für die Sicherheit und Standardisierung von kryptografischen Verfahren.

Auch Carmela Troncoso sieht die Entscheidung der Kommission kritisch: „Googles Ansatz ist neu, und obwohl er auf bekannter Kryptografie basiert, ist er noch nicht ausreichend erforscht“, sagt die IT-Sicherheitsexpertin vom Max-Planck-Institut für Sicherheit und Privatsphäre. „BBS ist hingegen eine etablierte Methode, um anonyme Zugangsdaten zu erzeugen, die wissenschaftlich gründlich untersucht wurde. Das ist ihr Hauptvorteil gegenüber Googles Verfahren.“

Beide IT-Sicherheitsfachleute gehören einer internationalen Gruppe von Kryptograf:innen an, die die EU-Kommission bereits im Juni 2024 dafür kritisierte, für die EUDI-Wallet veraltete Verschlüsselungsverfahren einsetzen zu wollen. Das Problem ließe sich nur beheben, wenn grundlegend andere kryptografische Lösungen wie BBS zum Einsatz kommen, lautete damals die Empfehlung der Kryptograf:innen.

Digitale Unabhängigkeit – mit Google?

Aus Sicht von Lehmann und Troncoso sprechen auch organisatorische Gründe gegen das Google-Verfahren. Entscheidet man sich für eine Lösung, die so komplex ist, dass die unterliegende Krypto-Bibliothek nur von sehr wenigen Fachleuten weiterentwickelt werden kann, begebe man sich in eine unnötige Abhängigkeit, warnt Lehmann. „Die Bibliothek bestimmt maßgeblich darüber, welche Funktionalität und welches Datenschutzniveau unterstützt wird“, sagt sie.

Dass die Technologie Open Source ist, verspricht aus Sicht von Carmela Troncoso nicht per se viel mehr Spielraum. „Google entscheidet darüber, was wie authentisiert und wie das angepasst werden kann“, sagt Troncoso. „Will man die hochgradig optimierten ZKP-Bibliotheken verändern, ist besonderes Fachwissen erforderlich, über das derzeit vor allem Google verfügt.“ Daher warnt Troncoso davor, „Google zum Herzen der europäischen Identitätsinfrastruktur zu machen“.

Die Kommission teilt diese Sorge offenkundig nicht. Auf Nachfrage von netzpolitik.org definiert sie digitale Souveränität als „operative Kontrolle“ etwa über Spezifikationen und die rechtlichen Rahmenbedingungen. Die ECDSA-basierten Verfahren erfüllten hier viele Anforderungen: Es gebe Open-Source-Implementierungen, eine unabhängige Sicherheitsüberprüfung durch die Internet Security Research Group und einen Standardisierungsprozess.

Tatsächlich ist ECDSA als Signaturverfahren standardisiert – „allerdings nicht das Anonymous-Credentials-Verfahren, das darauf aufbaut“, ordnet Anja Lehmann ein. Für BBS-Signaturen gebe es bereits seit 2013 einen ISO-Standard und auch eine aktuelle IRTF Standardisierung. Zwar decke der Standard nur ein einzelnes signiertes Attribut ab, eine Erweiterung auf mehrere Attribute sei aus kryptographischer Sicht aber trivial, so die Sicherheitsexpertin.

Mögliche Weichenstellung für die EUDI-Wallet

Ob die EU-Kommission mit ihrer Wahl für Google bei der Alterskontroll-App auch eine Weichenstellung für die EUDI-Wallet gewählt hat, wird sich vermutlich in den kommenden Monaten zeigen.

Eine Entscheidung will die Kommission nach einer Aussage erst dann treffen, wenn die technischen Arbeiten, die fortlaufende Überprüfung durch die European Cybersecurity Certification Group und die Konformitätswerkzeuge vorangeschritten sind. „Es wurde noch kein Termin festgelegt“, so ein Kommissionssprecher gegenüber netzpolitik.org.

Auch einen Vortrag von Paolo De Rosa will die Kommission nicht als Hinweis auf eine vorzeitige Richtungsentscheidung verstehen. De Rosa ist „EUDI-Wallet-CTO“ der EU-Kommission. Ende März präsentierte er gemeinsam mit Abhi Shelat die EUDI-Wallet auf einer IT-Sicherheitskonferenz in San Francisco. Shelat ist Co-Autor des ECDSA-basierten Anonymous-Credentials-Ansatzes und Entwickler bei Google.

Es gehöre zur Arbeitsweise der Kommission, direkt mit Forschenden zusammenzuarbeiten und mit ihnen „auf Augenhöhe“ Vorträge zu halten, schreibt die Kommission.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Laut dem nun vorliegenden Entwurf eines Rahmenabkommens über eine „Grenzpartnerschaft“ mit der Trump-Administration dürfen US-Behörden in EU-Staaten nicht nur Gesichtsbilder, sondern auch Namen, Gesundheitsdaten oder sexuelle Orientierung in Polizeidatenbanken abfragen.

Die Europäische Kommission hat nach Erteilung ihres Verhandlungsmandats im vergangenen Dezember ein Rahmenabkommen mit den USA über eine „Grenzpartnerschaft“ fertig ausgehandelt. Den Entwurf hat die britische Bürgerrechtsorganisation Statewatch veröffentlicht. Demzufolge geht das geplante Abkommen weit über die bislang bekannten US-Forderungen hinaus.

Den Abschluss einer „Enhanced Border Security Partnership“ (EBSP) hatte die US-Regierung bereits 2022 von allen Teilnehmerstaaten des Visa-Waiver-Programms (VWP) verlangt – mit einer Frist bis Ende 2026. Das VWP ermöglicht Staatsangehörigen aus 43 befreundeten Ländern im Rahmen von Kurzaufenthalten bis zu 90 Tagen visafreies Reisen in die USA – und umgekehrt.

Nun knüpft die Regierung in Washington die weitere Teilnahme an dem Programm an den Abschluss der „Grenzpartnerschaft“: Die beteiligten Staaten sollen ihre Polizeidatenbanken für US-Behörden öffnen. Wer sich weigert, verliert den visafreien Status. Das Abkommen soll dem Entwurf zufolge auf dem Prinzip der Gegenseitigkeit beruhen. EU-Mitgliedstaaten sollen also ihrerseits Zugriff auf US-Datenbanken erhalten – sofern sich die US-Regierung nicht dagegen sperrt.

Mehr als Fingerabdrücke und Gesichtsbilder

Im Entwurf für das Rahmenabkommen ist nun auch die Rede davon, die Datenabfrage dazu zu nutzen dass „Personen, die ein echtes Risiko für die öffentliche Sicherheit oder öffentliche Ordnung darstellen“, daran gehindert werden, in den USA „zu verbleiben“. Es geht also auch um Abschiebungen, wie sie derzeit monatlich tausendfach von der brutalen US-Einwanderungsbehörde ICE durchgeführt werden. Ursprünglich hieß es, die „Grenzpartnerschaft“ solle nur bei Einreisen in die USA angewandt werden.
Außerdem galt bislang, dass US-Grenzbehörden nur Zugriff auf Fingerabdrücke und Lichtbilder in Polizeidatenbanken der VWP-Staaten verlangen. Im von der EU-Kommission ausgehandelten Entwurf steht darüber hinaus, dass auch „alphanumerische Daten zur Identifizierung einer Person, wie Vorname, Nachname und Geburtsdatum“ abgefragt werden können.

Kommt es bei einer Anfrage zu einem Treffer, darf die angefragte Behörde – in Deutschland etwa das Bundeskriminalamt – ihrerseits nachfragen, was das Interesse an der Person ausgelöst hat und alle „bei der anfragenden zuständigen Behörde verfügbaren alphanumerischen und kontextuellen Daten zu derselben Person anfordern“.

Weitergabe an Drittstaaten möglich

Unter bestimmten Bedingungen dürfen laut Entwurf auch besonders sensible Kategorien personenbezogener Daten übermittelt werden, darunter Informationen zu „rassischer oder ethnischer Herkunft, politischen Ansichten oder religiösen oder sonstigen Überzeugungen, Gewerkschaftszugehörigkeit“ sowie Angaben zu „Gesundheit oder Sexualleben“.

Der Entwurf erlaubt sogar die Weitergabe empfangener Daten an Behörden in Drittstaaten oder internationale Organisationen – allerdings nur mit vorheriger Zustimmung der übermittelnden Behörde. Welche Drittstaaten konkret gemeint sein könnten, lässt der Entwurf offen. In Betracht kämen neben Interpol auch enge Verbündete der USA, etwa Großbritannien oder andere Staaten des Commonwealth sowie Israel, das eigene Abkommen zum Datentausch mit den USA geschlossen hat.

In Deutschland wären Millionen Datensätze betroffen

Angaben zu den abfrageberechtigten Behörden – auf US-Seite kämen vor allem der Zoll- und Grenzschutz (Customs and Border Protection, CBP) sowie ICE in Frage – enthält der nun veröffentlichte Rahmenentwurf nicht. Das soll jeweils in bilateralen Umsetzungsabkommen geregelt werden, die jeder betroffene Staat separat mit Washington schließen muss.

In Deutschland beträfe dies wohl die INPOL-Datenbank aller Polizeien des Bundes und der Länder, die derzeit Fotos und Fingerabdrücke von 5,4 Millionen Personen enthält – darunter mehr als die Hälfte Asylsuchende. Selbst innerhalb der EU gibt es bislang keinen gegenseitigen Direktzugriff auf derartig umfangreiche Informationssysteme einzelner Mitgliedstaaten – das geplante Abkommen mit den USA ist deshalb besonders intrusiv.

Das Rahmenabkommen regelt auch den Einsatz von Software zur Erstellung von Prognosen aus den abgefragten Datensätzen. Zwar sollen Entscheidungen mit „erheblichen nachteiligen Auswirkungen“ nicht ausschließlich automatisiert erfolgen, sondern stets mit „menschlicher Beteiligung“. Vollautomatische Entscheidungen sind aber erlaubt, wenn dies „nach dem jeweiligen Rechtsrahmen der Vertragsparteien zulässig“ ist. In der EU wäre dies nach der KI-Verordnung ausgeschlossen, in den USA gibt es einen vergleichbaren Rechtsakt nicht.

Eingeschränkte Rechte für Betroffene

Der Entwurf enthält auch Vorgaben zur Protokollierung für „Prüftätigkeiten“ unter anderem von Datenschutzbehörden. Das Abkommen sieht außerdem vor, dass betroffene Personen Auskunft über ihre gespeicherten Daten sowie deren Berichtigung oder Löschung beantragen können.

Diese Rechte stehen jedoch unter Einschränkungsvorbehalt: Verwehrt werden darf der Zugang unter anderem aus Gründen der nationalen Sicherheit, zum Schutz laufender Ermittlungen oder zur Strafverfolgung.

Den Entwurf des Rahmenabkommens werden die EU-Innen- und Justizminister*innen auf einer ihrer kommenden Sitzungen beraten. Nach derzeitigem Stand wird das Parlament daran nicht beteiligt. Die endgültige Entscheidung über den Abschluss wird dann im Rat der Europäischen Union von den 27 Mitgliedstaaten getroffen. Ob dies noch vor der Sommerpause erfolgt, ist unklar. Auch die US-Regierung muss ihre Zustimmung zu dem Entwurf geben. Bis zur Deadline am 31. Dezember 2026 könnte es dann in Kraft treten.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU will unter hohem Zeitdruck ihre Regeln für Künstliche Intelligenz aufweichen. Nun sind eigentlich abschließende Verhandlungen gescheitert. Alle Beteiligten machen sich gegenseitig Vorwürfe, am Ende könnten Regeln zum besseren Schutz vor KI-generierten Nacktbildern unter die Räder geraten.

Die EU-Institutionen können sich weiter nicht auf eine abgeschwächte Fassung der KI-Verordnung einigen. Medienberichten zufolge sind gut zwölfstündige Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Kommission am Dienstag gescheitert.

Ein zentraler Streitpunkt war offenbar eine vorgeschlagene Ausnahme für risikoreiche KI-Systeme in der Industrie, wie Table Media [€] berichtet. Das Parlament hatte demzufolge vorgeschlagen, die sektorspezifischen Regelungen zu ändern: Industriemaschinen sollten demnach aus der Hochrisiko‑Kategorie herausfallen. Entscheidend für eine Einstufung als Hochrisiko sollte stattdessen die tatsächliche Sicherheitsfunktion der KI werden. Rat und Parlament sind sich in dieser Frage jedoch uneins.

Gestritten wurde dem Bericht zufolge zudem über ein Verbot sogenannte „Nudifier“-Anwendungen. Das sind generative KI‑Systeme, die Menschen auf Foto- oder Videomaterial entkleiden können. Das Parlament möchte nicht‑einvernehmliche intime Inhalte verhindern, es konnte jedoch keine Einigung darüber erzielt werden, welche Körperteile darunterfallen.

Das kritisiert unter anderem Eva Lejla Podgoršek, Senior Policy Managerin bei AlgorithmWatch. Es sei wichtig, „dass die wenigen guten Vorschläge nicht unter die Räder geraten.“ Das geplante Verbot von KI-Systemen, die nicht einvernehmliche sexualisierende Deepfakes ermöglichen, sei ein wichtiger Baustein, um Betroffene wirksam zu schützen.

Wenn drei sich streiten, freut sich niemand

Die Anpassungen der bereits im August 2024 in Kraft getretenen KI-Verordnung sollen im Rahmen des sogenannten Digitalen Omnibus erfolgen. Mit dem von der EU-Kommission vorgeschlagenen Gesetzespaket sollen Vorschriften im digitalen Sektor vereinfacht werden, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Paket ist jedoch umstritten. Es enthält auch Lockerungen der Datenschutzgrundverordnung, etwa beim Training von KI mit personenbezogenen Daten oder einer Neudefinition personenbezogener Daten.

Während die Verhandlungen über den Daten-Omnibus sich offenbar länger hinziehen, machten die Beratungen über den KI-Omnibus schnell Fortschritte. Die Zeit drängt: Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme werden ab dem 2. August 2026 wirksam. Diese Fristen sollen mit dem Omnibus aufgeschoben werden. Gestern sind die finalen Verhandlungen allerdings bereits zum zweiten Mal geplatzt.

Laut Table Briefings sieht die zypriotische Ratspräsidentschaft keine Schuld bei sich: „Wir sind mit einer sehr konstruktiven Haltung in die heutige Sitzung gegangen und haben konkrete Vorschläge zur Lösungsfindung unterbreitet“. Man habe während der Verhandlungen ein hohes Maß an Flexibilität gezeigt, aber keine Einigung mit dem Europäischen Parlament erzielen können. Das Ziel der Vereinfachung werde jedoch weiterhin verfolgt.

Stimmen aus dem Parlament sehen dies anders. Es sei „inakzeptabel, dass die Ratspräsidentschaft nicht bereit war, einen substanziellen Kompromiss zu machen, um die Überregulierung von KI zu beenden“, sagte die Europaabgeordnete Svenja Hahn (FDP). Michael McNamara (parteilos), Verhandlungsführer für das EU-Parlament, räumte in einem Interview mit Tech Policy Press jedoch selbst ein, dass die vorgeschlagene Verlagerung in sektorale Gesetze „eher zu Deregulierung als zu einer Vereinfachung führen könnte“.

Schwere Vorwürfe kommen von den Grünen im EU-Parlament, insbesondere gegenüber deutschen Konservativen, wie Euractiv berichtet. Sie werfen der Europäischen Volkspartei vor, das Omnibus-Gesetz bewusst zu verzögern und dabei auch die Hilfe von rechtsextremen Parteien im Parlament in Anspruch zu nehmen. Merz wolle noch weitergehende Lockerungen der KI-Regeln, als sie derzeit verhandelt würden. Das wiederholte Scheitern lassen der Verhandlungen sei ein Schachzug, um Zeit zu gewinnen und so die Positionen der EU-Mitgliedstaaten zu beeinflussen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Soziale Netzwerke und ihre auf Überwachung und Personalisierung basierenden Geschäftsmodelle schaffen Anreize, die letztlich die Demokratie gefährden. Für die EU ist es höchste Zeit, dem etwas entgegenzusetzen, fordert eine umfassende Studie der Forschungsabteilung der EU-Kommission.

Es ist schon eine Ansage: Die EU sollte in ihrem Streben nach digitaler Souveränität neue Geschäftsmodelle im digitalen Raum entwickeln, die besser mit der Demokratie vereinbar sind. Zu diesem Schluss kommt eine neue Studie der Gemeinsamen Forschungsstelle der EU-Kommission.

Der Titel der englischsprachigen Studie ist so alarmierend wie programmatisch: „Fractured reality – How democracy can win the global struggle over the information space“ (auf Deutsch: „Zersplitterte Realität – Wie die Demokratie den globalen Kampf um den Informationsraum gewinnen kann“). Verfasst haben sie ein Dutzend renommierter Forscher:innen zu dem Thema, darunter die Hauptautoren, der Kognitionspsychologe Stephan Lewandowsky und der Verhaltensforscher Mario Scharfbillig.

Aufmerksamkeitsökonomie unter der Lupe

In der heutigen „Aufmerksamkeitsökonomie“ ist die Zeit und Aufnahmefähigkeit von Menschen begrenzt, schreiben die Autor:innen. Viele Online-Dienste, insbesondere soziale Medien, kämpfen geschickt um das kostbare Gut: Sie haben ihre personalisierten Produkte so gestaltet, dass Nutzer:innen möglichst lange auf ihrem Dienst bleiben. Dann können sie ihnen möglichst viele und passgenaue Werbeanzeigen einblenden.

Dies begünstige „strukturell – wenn auch unbeabsichtigt – Inhalte, die die Demokratie bedrohen, da die menschliche Aufmerksamkeit Informationen bevorzugt, die negativ, emotional und konfliktgeladen sind“, heißt es in der Studie. Zudem würden die Dienste den Weg zu Echokammern ebnen. In diesen würden sich Menschen gegenseitig unwidersprochen ihre Ansichten bestätigen.

Grundsätzlich neu sei dieses Phänomen zwar nicht, jedoch ermögliche Technologie eine zuvor ungekannte Vielfalt und Fragmentierung von Wahrnehmungen der Realität. Dies sei ein Problem: „Demokratische Institutionen und die Demokratie selbst können ohne ein gewisses Maß an gemeinsamer Realität nicht überleben.“

Wenn sich soziale Medien nun zunehmend zu einer wichtigen Informationsquelle entwickeln und sich strukturell bedingt Informationen minderwertiger Qualität schneller verbreiten, öffnet das die Tür für Falschnachrichten, ob unbeabsichtigt (Misinformation) oder bewusst gestreut (Desinformation). Inzwischen habe sich das Phänomen jedoch gewandelt: Es gehe nicht mehr darum, konkrete Behauptungen aufzustellen oder anzufechten, sondern darum, den Informationsraum zu überfluten („flooding the zone“).

Dominanter Fantasie-Industrie-Komplex

Während Informationsmanipulation früher auf „systematischen Lügen“ basierte, setze sich die heutige Situation aus einer Mischung aus Desinformation, Täuschung, irreführenden Informationen und wahren Kernen zusammen. Die Autor:innen beschreiben dies als „Fantasie-Industrie-Komplex“, der sich selbst organisiere und lose koordiniert sei.

Ziel der Informationsmanipulation sei es heute oft nicht, Menschen von bestimmten falschen Behauptungen zu überzeugen, sondern „abzulenken, Misstrauen zu schüren und antidemokratische Normen, autoritäre Instinkte und Verhaltensweisen zu aktivieren“. Dies sei ein systemisches Problem, betonen die Autor:innen. „Einzelpersonen für Fehlinformationen verantwortlich zu machen, verkennt die eigentliche Ursache.“

Mit diesem „Fantasie-Industrie-Komplex“ ist eine der Ko-Autor:innen allzu gut vertraut. Als Studentin hatte die heute an der Georgetown University lehrende Desinformationsforscherin Renée DiResta ein Praktikum beim US-Geheimdienst CIA absolviert. Daraus drehten ihr rechte und rechtsextreme US-Influencer:innen einen Strick: Unter anderem Elon Musk nutzte seinen Einfluss sowie die Tatsache, den Kurznachrichtendienst X zu besitzen, um mit vermeintlichen Enthüllungen über einen „Zensur-Industrie-Komplex“ politisch Stimmung zu machen.

Im Zentrum der Auseinandersetzung fand sich DiResta wieder. In einschlägigen Ecken des Internets als „CIA Renee“ verunglimpft, ging es ihren Widersacher:innen vor allem darum, ihre Glaubwürdigkeit und in weiterer Folge die des Stanford Internet Observatory (SIO) zu beschädigen. Zu dieser Zeit forschte DiResta dort zu Desinformation und landete im Visier von US-Republikanern. Denen gefiel nicht, dass das SIO ihre oft auf Lügen basierende Wahlkampftaktik offenlegte.

Republikaner hacken Forschung kurz und klein

Der konzertierte Angriff auf das SIO und eine Reihe anderer vergleichbarer Institute, der auch aus Anhörungen im republikanischen Repräsentantenhaus bestand, hatte schließlich Erfolg. Verträge wurden nicht verlängert, das Budget gekürzt, im Jahr 2024 machte die Stanford University das SIO ganz dicht – gerade noch rechtzeitig vor den US-Präsidentschaftswahlen im Herbst.

Auf den Druck von rechts reagierten neben US-Universitäten auch einige prominente soziale Netzwerke: Meta kündigte etwa öffentlichkeitswirksam an, zeitgleich zum Amtsantritt Donald Trumps seine Moderationsregeln auf Facebook und Instagram zurückzuschrauben. Im Sommer darauf zog auch YouTube still und heimlich nach. Solange Falschinformationen rund um Themen wie Impfungen, Minderheiten oder Wahlbetrug im „öffentlichen Interesse“ stehen, bleiben sie auf dem größten Video-Streamingportal der Welt unmoderiert stehen.

Vor dieser von der Realität weitgehend losgelösten Entwicklung warnen die Autor:innen der EU-Studie. „Demokratie braucht einen gesunden Informationsraum, der ausreichend genaue und überprüfbare Informationen enthält, eine politische Vielfalt an Meinungen und Stimmen zulässt, breit gefächerte Besitzverhältnisse im Medienbereich umfasst sowie ein geringes Maß an schädlichen Inhalten und Fehlinformationen aufweist, wenn wir ein gewisses Realitätsgefühl erhalten wollen“.

Abkehr von der Aufmerksamkeitsökonomie

Um dem etwas entgegenzusetzen, bringen die Autor:innen konkrete Empfehlungen mit. Zuvorderst müssten wir alternative öffentliche Räume schaffen, sowohl online als auch offline, die nicht von der Aufmerksamkeitsökonomie abhängen. Wir sollten uns auch vom Erfolg crowd-basierter und dezentraler Ansätze wie jenem der Online-Enzyklopädie Wikipedia inspirieren lassen.

Nutzer:innen sollten zugleich mehr Autonomie erhalten, etwa mit einer Verbesserung des Plattformdesigns durch Erkenntnisse aus der Verhaltensforschung. Beispielsweise durch Abkühlphasen – etwas, was der anstehende Digital Fairness Act der EU durchaus auf dem Schirm hat.

Verbesserungsmöglichkeiten macht die Studie auch bei Faktenchecks aus. Selbst wenn diese stattfinden, erreichen sie oft ihr Zielpublikum nicht. Das ließe sich durch angepasste Ausspiel-Mechanismen verändern. Zudem sollten ausgewiesene Verbreiter:innen von Falschinformationen demonetarisiert werden: „Solange Desinformation profitabel ist, wird sie nicht verschwinden“.

Indes weisen die Autor:innen darauf hin, dass keine dieser Maßnahmen ausreiche, wenn keine Alternativen zu den derzeitigen Geschäftsmodellen entstehen, die auf „Engagement“ basierten. Als Alternativen stellen sie unter anderem Abo-Modelle in den Raum, eine Besteuerung digitaler Werbeanzeigen, oder auch Gebühren für Online-Dienste, die besonders viel Falschinformationen verbreiten. Helfen könnten auch Auflagen zu Interoperabilität, mit der Nutzer:innen ihre Daten möglichst einfach von einem Anbieter zu einem anderen mitnehmen und umziehen könnten.

Papiertiger ohne europäische Alternativen

Bleibt aber immer noch das Problem, dass die meisten großen Online-Dienste derzeit nicht aus Europa stammen. Forschungsergebnisse deuten der EU-Studie zufolge darauf hin, dass Algorithmen von Plattformbetreibern zu deren Gunsten instrumentalisiert werden – was sich wohl am deutlichsten an dem zur rechten Propagandaplattform umgebauten X ablesen lässt.

„Die Informationsdiät der Europäer liegt somit in den Händen ausländischer Akteure, die möglicherweise nicht die europäischen demokratischen Werte teilen“, warnen die Autor:innen. Trotz der vorangegangenen Empfehlungen lassen sich diese Werte ohne digitale Souveränität und Autonomie der EU nicht vollständig schützen, schreiben sie.

Dabei dürfe die EU jedoch nicht in offenkundige Fallen tappen, warnt die Studie: „Es besteht derzeit die Gefahr, dass ein verstärktes Streben nach digitaler Souveränität auf Technologieebene die Chance auf einen besseren demokratischen Rahmen verspielt und ähnliche Probleme in Europa wiederholt, insbesondere wenn Geschäftsmodelle nicht mit demokratischen Prinzipien vereinbar sind.“

Mit demokratischen Modellen experimentieren

Um die Stellung der EU im digitalen Raum zu stärken, sollte Europa in dezentrale System wie Atmosphere, Fediverse, Mastodon oder Eurosky investieren und zugleich eine europäische Cloud-Infrastruktur samt ausreichender Rechenkapazität schaffen. Damit ließe sich die Macht ausländischer Unternehmen schwächen, während die alternativen Dienste „demokratische Modelle in Echtzeit“ erforschen könnten. Neben finanzieller Förderung solcher Ansätze könnten etwa Verpflichtungen für öffentliche Einrichtungen und Behörden, die entstehenden Online-Dienste zu nutzen, anstatt auf X und Co. zu verharren, deren Attraktivität steigern.

Darüber hinaus sollte die EU bei der Forschung keine Kompromisse machen. „Das rasante Tempo des Wandels stellt die Forschung vor die Herausforderung, Schritt zu halten und Auswirkungen zu untersuchen, zumal Plattformdaten größtenteils privat bleiben“, heißt es in der Studie. Den im Digital Services Act (DSA) enthaltenen Zugang für die Wissenschaft, der bis heute noch nicht so recht vollständig umgesetzt ist, geht den Autor:innen augenscheinlich nicht weit genug.

Angesichts des Bedarfs an schnellerer Forschung und Evaluierung digitaler Strategien sei ein europäisches „CERN für Daten und Demokratie“ erforderlich, um die in Europa fragmentierten Kapazitäten für die kontinuierliche Plattformforschung im industriellen Maßstab zu bündeln. Trotz ihrer globalen Vorreiterrolle bei der Digitalregulierung sollte sich die EU lieber beeilen: „Ein globaler Innovationswettlauf ohne Berücksichtigung seiner gesellschaftlichen Folgen könnte die Fähigkeit der Gesellschaften überfordern, diese Veränderungen friedlich zu bewältigen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit der finnischen EU-Abgeordneten Aura Salla soll eine ehemalige Meta-Lobbyistin maßgeblich am geplanten digitalen Regulierungsabbau in der EU mitwirken. Nun fordern mehrere Nichtregierungsorganisationen ihre Abberufung als Chef-Verhandlerin des EU-Parlaments.

Die finnische EU-Abgeordnete Aura Salla ist in Brüssel bestens vernetzt. Vor ihrer Zeit im EU-Parlament war die konservative Politikerin dort Chef-Lobbyistin von Meta. Davor hatte Salla diverse Positionen in der EU-Kommission bekleidet, unter anderem war sie im Kabinett des damaligen Vize-Präsidenten Jyrki Katainen tätig.

Von der Politik in die Privatwirtschaft und wieder zurück: Das als „Revolving Door“ bekannte Phänomen sorgt immer wieder für Probleme, da es schnell zu Interessenskonflikten führt. Zumindest auf dem Papier ist die EU dagegen gewappnet: Ein detailliertes Regelwerk soll verhindern, dass Beamt:innen nahtlos von einer Rolle in die nächste schlüpfen und dabei etwa Kontakte und Wissen mitnehmen, das sie im neuen Job eigentlich nicht haben sollten.

Für Aura Salla könnte es deshalb nun eng werden. Eine Reihe zivilgesellschaftlicher Organisationen, darunter Corporate Europe Observatory (CEO), LobbyControl und Transparency International EU fordern in einem heute veröffentlichten offenen Brief an den Industrieausschuss (ITRE) im EU-Parlament, Salla von ihrer Rolle als Berichterstatterin für den sogenannten Digitalen Omnibus abzuberufen.

Unter diesem Begriff verhandelt die EU derzeit ein Gesetzespaket, mit dem die Digitalregulierung überarbeitet und entschlackt werden soll. Ziel sind vereinfachte Regeln, um die Wettbewerbsfähigkeit Europas zu verbessern. Kritiker:innen weisen darauf hin, dass mit dem Regulierungsabbau unter anderem das Datenschutzniveau empfindlich abgesenkt würde. Als eine der Berichterstatterinnen – und damit Verhandlungsführerinnen – des EU-Parlaments hätte Aura Salla dabei viel Einfluss auf das fertige Gesetz.

Ehemalige Meta-Lobbyistin mischt kräftig mit

„Die Ernennung einer ehemaligen Big-Tech-Lobbyistin, um Digitalgesetze zu überarbeiten und zu schwächen, wirft schwerwiegende Fragen hinsichtlich unzulässiger Einflussnahme auf den Gesetzgebungsprozess auf“, so die NGOs in ihrem Schreiben. Gerade Meta, zu dem Facebook, Instagram und WhatsApp gehören, steht bekanntlich mit Vorgaben wie jenen zum Datenschutz auf Kriegsfuß. Rund 2,5 Milliarden Euro an Geldbußen wurden dem Datenkonzern wegen wiederholter Vergehen in der EU auferlegt.

„Das Unternehmen hat ein starkes Interesse daran, die Datenschutz-Grundverordnung (DSGVO) durch den Digitalen Omnibus zu schwächen, und kann seine engen Verbindungen zu Frau Salla nutzen, um dies zu erreichen“, warnen die NGOs. Tatsächlich habe sich Salla als Abgeordnete bereits mehrfach mit ihrem ehemaligen Arbeitgeber getroffen, unter anderem bei einem Lobbytreffen im September 2024 und einem weiteren im Januar 2025.

Bereits jetzt lässt sich am Omnibus-Entwurf der Kommission der Einfluss der Wirtschaft ablesen, wie eine gemeinsame Analyse von CEO und LobbyControl im Januar ergeben hatte. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge durchziehen den gesamten Entwurf, der in der Leseart der NGOs einen „beispiellosen Angriff auf digitale Rechte“ darstellt. Zudem lese sich der Vorschlag wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, anstatt europäische Unternehmen zu stärken.

Voll auf Deregulierungslinie

Ähnliche Positionen wie die Tech-Konzerne vertritt auch Aura Salla. Die zur konservativen EVP-Fraktion gehörende Politikerin warnte etwa vor einem „Regulierungs-Tsunami“, fürchtet Überregulierung durch Gesetze wie den Digital Services Act und möchte Tech-Konzernen erlauben, Verkehrs- und Metadaten ihrer Nutzer:innen möglichst ungehindert zum Trainieren ihrer KI-Systeme verwenden zu können.

Nach ihrer Bestellung zur Berichterstatterin zeigte Salla auf, in welche Richtung sie den Digitalen Omnibus lenken will: „Jahrelang konzentrierte sich die EU auf die Regulierung ihrer eigenen Unternehmen, während China und die USA in Wachstum und technologische Entwicklung investierten. Das endlose Klicken durch Cookie-Einstellungen und die sich überschneidenden und unklaren Regeln für Unternehmen haben das Internet nicht sicherer gemacht, sondern das Wachstum europäischer Unternehmen gebremst. Europäische Unternehmen müssen endlich Priorität haben“, schrieb sie in einer Pressemitteilung.

Zugleich sieht Salla die EU nicht notwendigerweise in der Verantwortung: „Big Tech sollte in ihren Heimatkontinenten reguliert werden“, sagte sie Ende 2024 dem Magazin Wired. In vielen Fällen wären das die USA, so Salla – ein Land, das traditionell reichlich wenig von Regulierung hält, erst recht unter Präsident Donald Trump und seinen Tech-Oligarchen wie Mark Zuckerberg im Schlepptau. Indes schlägt Salla „Maßnahmen wie Zölle, Datenpreismechanismen oder eine Digitalsteuer für Unternehmen außerhalb der EU“ vor. Diese Ansätze dürften jedoch kaum im Digitalen Omnibus verhandelt werden.

Halb verdeckte Interessenkonflikte

Ein ungünstiges Licht auf Salla werfe zudem ihre Tendenz, „wiederholt potenzielle Interessenkonflikte zu verschleiern“, kritisieren die NGOs. So hatte sie etwa nicht offengelegt, Anteile an Rüstungsbetrieben zu halten, obwohl diese Transparenz EU-Abgeordneten ausdrücklich vorgeschrieben ist. Erst Berichterstattung des Online-Mediums Follow the Money hat sie letztlich gezwungen, ihre Aktien zu verkaufen.

Auch als Omnibus-Berichterstatterin sieht Salla keine Interessenskonflikte. In ihrer offiziellen Erklärung hierzu – eine Pflicht für Berichterstatter:innen – hat sie im Februar die einschlägige Frage verneint. Aus Sicht der NGOs verstößt sie damit gegen die Transparenzregeln, die für Abgeordnete gelten.

Auf Anfrage weist Salla die Vorwürfe zurück. Ab ihrem Eintritt in den Mutterschutz im Februar 2023 habe sie nicht mehr für Meta gearbeitet und seit ihrem endgültigen Abschied im Mai 2023 auch kein Geld bekommen, sagt Salla zu netzpolitik.org:„Selbstverständlich habe ich seit meinem Ausscheiden keine Zahlungen mehr von dem Unternehmen erhalten“. Im Zusammenhang mit der Berichterstatterrolle „habe ich keine laufende berufliche Tätigkeit, keine finanziellen Interessen und keine persönlichen Interessen, die einen Interessenkonflikt darstellen könnten“, sagt Salla.

Als Berichterstatterin wolle sie dem europäischen öffentlichen Interesse dienen und die Wettbewerbsfähigkeit Europas stärken, so die Abgeordnete. „Ich habe meine Ansichten zur Notwendigkeit der technologischen Souveränität der EU, zur Beseitigung der Abhängigkeit von amerikanischen Technologiekonzernen und zur Förderung europäischer Alternativen stets deutlich zum Ausdruck gebracht“, sagt die Finnin.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es ist das erste Signal des Rates im Ringen um den sogenannten Datenomnibus: In einem ersten Positionierungsentwurf stellen sich die Mitgliedstaaten gegen mehrere Vorschläge der EU-Kommission, die von Datenschutz-Expert:innen kritisiert worden waren. Wir veröffentlichen den Zwischenstand.

Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.

Industrieverbänden geht dieser nicht weit genug, zivilgesellschaftlichen Organisationen und Datenschützer:innen zu weit.

Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.

Keine Neudefinition personenbezogener Daten

Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.

Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.

Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.

Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.

Wo steht Deutschland?

Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.

Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch sind. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.

Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.

Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat X ein Bußgeld auferlegt, weil der Datenzugang, den die Plattform Forschenden zur Verfügung stellt, nicht DSA-konform ist. Die Urteilsbegründung ist bemerkenswert: Forschung wird darin nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Im Dezember vergangenen Jahres hat die Europäische Kommission erstmals ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei unter anderem zu dem Ergebnis, dass das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, nicht DSA-konform ist. Die Kommission verhängte eine Strafe von 120 Millionen Euro; X hat bis Anfang März Zeit, seine Plattform anzupassen. Der DSA ist das zentrale EU-Gesetz zur Regulierung großer Online-Plattformen und soll unter anderem Transparenz schaffen, Risiken für die öffentliche Meinungsbildung begrenzen und Forschung zu diesen Risiken ermöglichen.

Inzwischen liegt die Begründung der Kommissionsentscheidung vor. Am 28. Januar veröffentlichte der von Republikanern geführte Justizausschuss des US-Repräsentantenhauses ein Dokument der Europäischen Kommission, das die Gründe für ihre Entscheidung gegen X im Dezember darlegt. Es zeigt, wie die EU den DSA konkret durchsetzen will – und welche Rolle Datenzugang und wissenschaftliche Evidenz dabei spielen.

Die politisch motivierte Veröffentlichung und Einordnung durch den Justizausschuss, der im DSA vor allem europäische Zensurabsichten sieht, sind zwar fragwürdig. Sie ändern aber nichts an der inhaltlichen Bedeutung der Begründung selbst. Ein zentraler Bestandteil der Begründung betrifft Versäumnisse beim Gewähren von Datenzugang für Forschende nach Artikel 40(12) DSA. Dieser Datenzugang soll es ermöglichen, systemische Risiken für die EU zu erforschen – etwa Desinformation oder süchtigmachende Plattform-Designs.

Dass Plattformen diesen Zugang bislang häufig nicht freiwillig gewährten, war einer der Gründe für die Einführung des DSA. Aus dem Urteil liest sich, dass X nur knapp fünf Prozent der Anfragen von Wissenschaftler:innen genehmigt hat. Es handelt sich hier also um ein strukturelles Problem.

Enge Auslegung und Verzögerungstaktiken sind unzulässig

Die EU-Kommission stellt unmissverständlich klar, dass Plattformen das gesetzlich verankerte Recht auf Datenzugang nicht in ein von ihnen kontrolliertes Privileg umdeuten dürfen. X hatte Anträge systematisch abgelehnt, wenn Forschende nicht zweifelsfrei nachweisen konnten, dass die beantragten Daten ausschließlich der Erforschung systemischer Risiken dienen. Diese enge Auslegung widerspricht laut Kommission dem Zweck des Gesetzes. Forschende müssen nicht beweisen, dass man aus „Mehl, Butter und Eiern nur einen einzigen Kuchen backen kann“.

Erstmals wird zudem konkretisiert, was als unzulässige Verzögerung gilt: Eine Bearbeitungszeit von mehr als zwei Monaten ordnet die Kommission ausdrücklich als „undue delay“ ein – also als unerlaubteVerzögerung. Damit erhalten Forschende erstmals eine belastbare rechtliche Orientierung. Auch der Versuch, Datenzugang an Kosten, institutionelle Zugehörigkeit oder einen EU-Standort zu knüpfen, weist die Europäische Kommission zurück.

Scraping ist zulässig – auch ohne Plattformgenehmigung

Eine weitere wegweisende Klarstellung betrifft das Scraping, also das automatisierte Auslesen öffentlich zugänglicher Inhalte. Diese Zugangsform ist zentral, um Plattformdaten auch ohne Mitwirkung der Anbieter zu erheben und von Plattformen bereitgestellte Daten überprüfen zu können.

Die Kommission stellt klar, dass Forschenden dieses Recht zusteht, sofern sie die Kriterien aus Artikel 40(12) und 40(8) DSA erfüllen: Forschung zu systemischen Risiken, kein kommerzielles Interesse, transparenter Umgang mit Finanzierung und nachweisbare Datenschutz- sowie Sicherheitsmaßnahmen.

Plattformen dürfen Scraping nicht pauschal über ihre Nutzungsbedingungen untersagen, und eine vorherige Genehmigung ist nicht erforderlich – gerade weil hier die Gefahr eines „undue delay“ besteht.

Evidenz aus der Forschung hat Beweiswert

Besonders bemerkenswert ist, wie die Kommission mit der Frage der Evidenz umgeht. Sie weist die Vorstellung zurück, der Beweiswert müsse an akademische Seniorität, große Stichproben oder klassische Peer-Review-Formate gebunden sein. Entscheidend seien stattdessen methodische Sorgfalt und faktische Relevanz für den konkreten Fall.

In diesem Zusammenhang verweist die Begründung mehrfach auf den vom DSA40 Data Access Collaboratory am Weizenbaum-Institut betriebenen Data Access Tracker. Obwohl die Daten aus der wissenschaftlichen Community gesammelt wurden und keine Zufallsstichprobe darstellen, attestiert die Kommission der Erhebung ausdrücklich Beweiswert im juristischen Sinne. Auch ein von X kritisierter Preprint – ein noch nicht begutachteter Forschungsartikel – wird als relevante Evidenz anerkannt, nicht zuletzt, weil er später peer-reviewed veröffentlicht wurde.

Methodisch nachvollziehbare Forschung wird hier selbst zur Grundlage regulatorischer Durchsetzung.

Relevanz nicht nur für X

Politisch ist die Begründung der Kommission damit weit mehr als eine Einzelfallentscheidung gegen X. Sie markiert einen Meilenstein in der Durchsetzung des Digital Services Act: Forschung wird nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Indem die Kommission methodisch nachvollziehbare Forschung ausdrücklich als rechtlich relevante Evidenz anerkennt und Plattformen klare Grenzen bei Verzögerung, Kosten und Zugangsbeschränkungen setzt, verschiebt sich das Machtgefüge zugunsten von Öffentlichkeit und Wissenschaft. Ob diese Standards künftig konsequent durchgesetzt werden und möglichen Klagen der Plattformen standhalten, wird entscheidend dafür sein, ob der DSA sein zentrales Versprechen einlösen kann: Plattformregulierung nicht nur auf dem Papier, sondern auf Basis überprüfbarer Beweise.

Dass diese Prinzipien nicht nur abstrakt gelten, sondern praktisch durchsetzbar sind, zeigt der jüngste Erfolg von Democracy Reporting International gegen X. Gerichte bestätigen zunehmend, dass Forschende ihren Anspruch auf Datenzugang aktiv einklagen können – und damit eine zentrale Rolle bei der demokratischen Kontrolle von Plattformen einnehmen.

Dr. Jakob Ohme leitet die Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und untersucht dort die Rolle des digitalen Journalismus im Spannungsfeld von Influencern und Künstlicher Intelligenz. Er ist zudem Co-Principal Investigator im #DSA40 Collaboratory und arbeitet dort an kooperativen Modellen für den Zugang zu Plattformdaten im Rahmen des Digital Services Act der EU. LK Seiling ist Plattformforscher in der Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und koordiniert die Arbeit des #DSA40 Collaboratory als Experte für Forschungsdatenzugang.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Nach Temu ermittelt die EU-Kommission nun auch gegen einen zweiten Online-Händler aus China. Die Fast-Fashion-Plattform Shein unternimmt vermutlich zu wenig gegen die Risiken, denen sie ihre Nutzer*innen aussetzt. Zur Debatte stehen gleich mehrere Verstöße gegen den Digital Services Act.

Mit dem Digital Services Act (DSA) verpflichtet die EU sehr große Online-Plattformen, Risiken ihrer Angebote zu identifizieren und zu beheben. Weil der chinesische Fast-Fashion-Händler Shein diesen Vorgaben möglicherweise nicht ausreichend nachgekommen ist, hat die EU-Kommission nun ein Verfahren gegen das Unternehmen eröffnet. Das teilte sie am heutigen zweijährigen Geburtstag der EU-Verordnung über digitale Dienste mit.

Die Shopping-Plattform soll monatlich etwa 126 Millionen aktive Nutzer*innen in der EU haben. Seit Juni 2024 hatte die Kommission mehrfach Informationen von Shein angefragt. Die Entscheidung, eine Untersuchung einzuleiten, basiert auf diesen Auskunftsersuchen, auf einer vorläufigen Analyse der von Shein vorgelegten Risikobewertungsberichte und auf Einschätzungen dritter Parteien.

In Frankreich hatte sich im letzten Jahr bereits Widerstand gegen den Online-Händler geregt, jedoch war die französische Regierung mit dem Versuch gescheitert, die Plattform für drei Monate zu sperren.

„Illegale Produkte sind verboten“

Die Kommission attestiert dem Konzern Handlungsbedarf in drei Bereichen. An erster Stelle steht der Verkauf illegaler Waren, wegen dem der Fast-Fashion-Händler in der Vergangenheit bereits in Kritik stand. Zum Beispiel konnten genehmigungspflichtigen Waffen oder kinderähnliche Sexpuppen auf dem Marktplatz erworben werden.

Bei der Untersuchung geht es jedoch nicht darum, dass die EU gezielt den Verkauf einzelner Produktgruppen kontrollieren will. Vielmehr will sie dafür sorgen, dass die Plattform selbst ihre Systeme so gestaltet, dass Risiken minimiert werden. Konkret muss Shein also dafür sorgen, dass auf dem Marktplatz keine illegalen Waren gehandelt werden können.

„In der EU sind illegale Produkte verboten – egal, ob sie im Ladenregal oder auf einem Online-Marktplatz angeboten werden“, so EU-Kommissionsvizepräsidentin Henna Virkkunen zu dem Verfahren. „Der Digital Services Act schützt die Sicherheit und das Wohlergehen von Käufern und versorgt sie mit Informationen über die Algorithmen, mit denen sie interagieren.“

Ein zweiter Kritikpunkt betrifft mutmaßlich süchtig machendes Design des Online-Händlers. Er vergibt unter anderem Verbraucherpunkte oder Belohnungen für Engagement auf der Plattform. Das könne Suchtpotenzial entwickeln, welches sich negativ auf das Wohlbefinden der Nutzer*innen und den Verbraucherschutz im Internet auswirkt.

Außerdem kritisiert die Kommission mangelnde Transparenz des algorithmischen Empfehlungssystems von Shein. Dieses muss nach dem DSA zudem so gestaltet sein, dass sich Nutzer*innen optional für ein nicht-personalisiertes Empfehlungssystem entscheiden können.

EU ermittelt auch gegen Temu

Shein ist die zweite sehr große Plattform im Bereich Online-Handel, gegen die eine Untersuchung wegen süchtig machender Designpraktiken besteht. Bereits im Jahr 2024 hatte die EU-Kommission aus den gleichen Gründen ein Verfahren gegen Temu eröffnet.

Sollte die Kommission im Zuge der formalen Untersuchung zu einer Nichteinhaltungsentscheidung kommen, also einen tatsächlichen Verstoß gegen den DSA feststellen, kann sie zum Beispiel Bußgelder gegen das Unternehmen verhängen. Bis dahin ist es der Online-Plattform aber möglich, auf Forderungen zu reagieren und Anpassungen vorzunehmen. Wann es zu einer Entscheidung in dem Verfahren kommt, bleibt jedoch offen, denn der DSA schreibt hierfür keine Frist vor.

Der Online-Händler zeigt sich nach Angaben von Zeit.de bisher kooperationswillig: „Wir teilen das Ziel der Kommission, eine sichere und vertrauenswürdige Online-Umgebung zu gewährleisten, und werden uns weiterhin konstruktiv an diesem Verfahren beteiligen.“ Bei altersbeschränkten Produkten habe man bereits weitere Sicherheitsvorkehrungen ergriffen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat einen Aktionsplan gegen Cybermobbing unter Minderjährigen vorgelegt. Dazu gehört eine neue Melde-App, die viele Nachrichtenmedien aufgreifen. Bei näherer Betrachtung kratzt der Aktionsplan jedoch nur an der Oberfläche. Eine Analyse.

„Du stinkst“, „du bist hässlich“, „geh sterben“ – auf dem Schulhof können Sätze fallen, die viele Erwachsene selten hören. Häufen sich solche Dinge gegenüber einer bestimmten Person über längere Zeit, spricht man von Mobbing. Inzwischen passiert das auch online.

Gegen dieses sogenannte Cybermobbing will die EU-Kommission mit einem neuen Aktionsplan vorgehen. Ihre Ankündigung hat sie mit dem Bild aus einer Fotodatenbank illustriert. Zu sehen ist eine sonderbare Computer-Tastatur. Statt einer Umschalttaste hat sie eine feuerrote Taste mit der Aufschrift „STOP Cyberbullying“. Ein Finger bewegt sich vom rechten Bildrand auf diese Taste zu. Das erweckt den Eindruck, man könne Cybermobbing quasi per Knopfdruck beenden.

Was wir auf dem Bild nicht sehen: Menschen. Etwa einen Teenager, der sich einer Pädagogin anvertraut oder zwei Freund*innen, die sich gegenseitig Trost spenden. Es könnte eine Nebensache sein, doch in diesem Fall ist das Motiv mit der fiktiven Tastatur ein Sinnbild dafür, wie die EU-Kommission das Thema vorwiegend angeht: technisch und distanziert.

Die EU-Kommission, so geht es aus dem 18-seitigen Aktionsplan hervor, möchte Cybermobbing primär als ein Problem von Plattformregulierung und digitaler Infrastruktur bearbeiten. Die Beziehungen zwischen Kindern, Jugendlichen und Erwachsenen spielen eine Nebenrolle. Zeit und Vertrauen – die für gute Fürsorge oftmals entscheidenden knappen Ressourcen – stehen nicht im Zentrum. Das zeigt ein näherer Blick auf die drei Säulen des Aktionsplans.

Erste Säule: Mit Plattformregulierung gegen Cybermobbing

In der ersten von drei Säulen des Aktionsplans gegen Cybermobbing zitiert die EU-Kommission einschlägige Digitalgesetze, allen voran das Gesetz über digitale Dienste (DSA). Es ist das wohl wichtigste Regelwerk für Plattformen, auf denen auch Minderjährige Inhalte teilen können, etwa Instagram, TikTok, Snapchat.

„Soziale Medien sind der primäre Kanal, über den Kinder und Heranwachsende Cybermobbing ausgesetzt werden“, heißt es im Aktionsplan. Folglich will die EU-Kommission bei der bevorstehenden Prüfung der DSA-Regeln für Minderjährige den „Fokus“ auf Cybermobbing und Meldemechanismen stärken. Zudem gebe es bald Leitlinien für vertrauensvolle Hinweisgeber*innen („Trusted Flaggers“). Das sind zum Beispiel NGOs, die mit besonderer Expertise Inhalte auf Plattformen recherchieren und melden.

Dabei fällt unter den Tisch, dass Inhalte auf Plattformen nur ein Symptom von Mobbing unter Kindern und Jugendlichen sind. Primär geht es beim Mobbing allerdings nicht um regulierbaren „Content“, sondern um zwischenmenschliche Beziehungen.

Mehr als 80 Prozent der Fälle von Cybermobbing geschehen im schulischen Umfeld, das zeigt eine deutsche Studie des „Bündnis gegen Cybermobbing“ aus dem Jahr 2024. Dafür haben rund 4.200 Schüler*innen von sieben bis 20 Jahren, 1.000 Eltern und 630 Lehrer*innen ihre Erfahrungen geschildert. Demnach kennen zwei Drittel der Betroffenen die Täter*innen persönlich. Offline und online gehören beim Mobbing eng zusammen.

Eine ebenso 2024 veröffentlichte Umfrage des Deutschen Jugendinstituts (DJI) macht anschaulich, welche Form Cybermobbing häufig annimmt. Demnach gibt es Kinder und Jugendliche, die andere online bedrohen oder beleidigen, deren Fotos verbreiten, sie aus Online-Gruppen ausschließen – oder neue Gruppen gründen, um sich dort über sie lustig zu machen.

Wo genau Cybermobbing mehrheitlich geschieht, hat wiederum das Sinus-Institut mit der Krankenkasse Barmer näher erforscht. Das Ergebnis: „Eindeutiger Spitzenreiter unter den Cybermobbing-Kanälen ist weiterhin unangefochten WhatsApp.“ Diesen Messenger nannte demnach jede*r zweite Befragte. Das dürfte damit zusammenhängen, dass WhatsApp für viele die Plattform schlechthin für Klassenchats ist. Wer nachts im Klassenchat gemobbt wird, sitzt am nächsten Morgen wieder mit den Bullys zusammen im Klassenzimmer.

Nachrichten auf WhatsApp sind allerdings Ende-zu-Ende-verschlüsselt und deshalb privat. Das heißt, ein großer Teil von Cybermobbing bietet kaum Anknüpfungspunkte für Plattformregulierung. Für Betroffene steht vielmehr im Mittelpunkt, wie Konflikte in der eigenen Schulklasse ausgetragen werden, wie Lehrer*innen und Aufsichtspersonen helfen können.

Zweite Säule: Mit Info-Material gegen Cybermobbing

Die zweite Säule der EU-Kommission dreht sich um Prävention und Aufklärung. Wie die Kommission betont, müsse Prävention alle Akteur*innen einbeziehen – Gleichaltrige, Täter*innen, Eltern, Betreuer*innen, Lehrkräfte, „die gesamte Schulgemeinschaft“ und die Zivilgesellschaft.

Laut Aktionsplan will die EU-Kommission diesen Akteur*innen vor allem eines bieten: Infomaterial. Es geht primär um Leitlinien, Ressourcen und Werkzeugkästen, um Digitalkompetenz und Bildung.

Kaum eine Rolle spielt im Aktionsplan, dass es beispielsweise in deutschen Schulen vor allem an Zeit und Personal fehlt. Zuletzt hatte etwa die Leopoldina dieses Thema behandelt. In ihrem Diskussionspapier schreiben die Forschenden der Wissenschaftsgesellschaft darüber, wie sich soziale Medien auf die psychische Gesundheit von Kindern und Jugendlichen auswirken. Demnach gebe es in Deutschland keinen Mangel an Infomaterial. „Häufig scheitert schlicht die Umsetzung in den Schulen.“ Die Gründe dafür seien vielfältig. „Es fehlt unter anderem an Fachpersonal, Zeit“ oder „Fortbildungsmöglichkeiten für Lehrkräfte“, so die Leopoldina.

Info-Kampagnen kosten vergleichsweise wenig. Teuer ist es dagegen, Pädagog*innen einzustellen, sie auf Fortbildungen zu schicken und ihnen die Zeit einzuräumen, ihre Kenntnisse im schulischen Alltag anzuwenden. Die Zuständigkeit dafür liegt in den Mitgliedstaaten, in Deutschland bei den Bundesländern.

Spielräume hat die EU dennoch. Darauf geht der Aktionsplan zumindest in Ansätzen ein. So nennt die Kommission etwa das Programm Erasmus+. Es soll „allgemeine und berufliche Bildung, Jugend und Sport“ fördern. Dafür müssen Organisationen Anträge stellen. Bei deren Prüfung will die EU verstärkt auf Projekte für gutes Schulklima achten. Der Einfluss auf Cybermobbing geschieht also eher indirekt. Der Aktionsplan macht keine direkten finanziellen Zusagen und nennt keine messbaren Zielgrößen.

Dritte Säule: Mit einer App gegen Cybermobbing

Die dritte und letzte Säule aus dem Aktionsplan hat Nachrichtenmedien offenbar am meisten interessiert: „EU will mit Melde-App gegen Cybermobbing vorgehen“, titelte zum Beispiel tagesschau.de.

In einer separaten Ankündigung schreibt die EU-Kommission von einer „Online-Sicherheits-App“, mit der Opfer „zurückschlagen“ können, auf Englisch: „fight back“. Zumindest auf dem dazugehörigen Symbolbild sind Menschen zu sehen: drei Jungs – möglicherweise bereit „zurückzuschlagen“.

Einen Prototypen für die App will die EU-Kommission laut Aktionsplan selbst vorlegen. Auf dessen Basis könnten die Mitgliedstaaten ab dem dritten Quartal dieses Jahres eigene Versionen entwickeln.

Was die Online-Safety-App genau können soll, beschreibt die Kommission eher knapp. Drei Schwerpunkte lassen sich herauslesen.

1. Helfen. Demnach könnte die App Anlaufstellen und Beratungsangebote für Betroffene bündeln. Die Rede ist etwa von Hilfs-Hotlines und Kinderschutz. Es geht also um fachliche und emotionale Begleitung. Vorbild sei die französische App „3018“ der NGO E-Enfance. Im Google Play Store wurde die App nur rund 10.000 Mal heruntergeladen. Die EU-Kommission bezeichnet „3018“ als „erfolgreich“.
2. Löschen. Die Online-Safety-App könne laut Aktionsplan per Programmierschnittstelle einen direkten Draht zu Online-Plattformen bekommen. So könnten Nutzer*innen über die App deren Inhalte melden. Grundlage ist der DSA, der Plattformen dazu verpflichtet, solche Meldungen zeitnah zu prüfen. Allerdings müssen Plattformen laut DSA auch selbst zugängliche und benutzerfreundliche Meldeverfahren einrichten. Das wirft die Frage auf, welchen Sinn der Umweg über eine separate App hätte.
3. Anzeigen. Offenbar stellt sich die EU-Kommission vor, dass Minderjährige über die App auch die Polizei einschalten können. Im Aktionsplan ist das allerdings noch nicht kindgerecht formuliert. Die Rede ist von „maßgeschneiderter Unterstützung durch koordinierte Überweisung an zum Beispiel Strafverfolgungsbehörden“. Die App soll auch elektronische Beweise sicher „speichern und übermitteln“ können.

Je nach Ausgestaltung könnte die „Online-Safety-App“ also sehr unterschiedliche Richtungen einschlagen. Laut EU-Kommission hänge der Erfolg der App davon ab, ob Mitgliedstaaten sie zugänglich machen und unterstützen. Der Erfolg dürfte allerdings vielmehr davon abhängen, ob Kinder und Jugendliche die App überhaupt benutzen möchten.

In Deutschland gibt es bereits Anlaufstellen für hilfesuchende Kinder und Jugendliche, etwa die Nummer gegen Kummer oder Juuport. Beides sind gemeinnützige Vereine. Arbeit im sozialen Bereich ist oft ehrenamtlich oder prekär. Anfang 2025 hat die Stadt Berlin der „Nummer gegen Kummer“ Mittel gestrichen. Betroffen sind demnach 100 der insgesamt 3.800 ehrenamtlichen Mitarbeiter*innen in Deutschland.

Geht es nach dem Aktionsplan der EU-Kommission, bekommen Hilfsangebote wie die „Nummer gegen Kummer“ zwar keine Aussicht auf bessere Finanzierung. Aber sie sollen sich wohl um die Integration in eine Melde-App kümmern – zusammen mit unter anderem TikTok, Facebook, Instagram und Polizeibehörden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Endloses Scrollen, mehrstündige Screentime und ständiges Öffnen der App: Die EU-Kommission nimmt an, dass TikTok nicht genug macht, um die negativen Effekte seiner Plattform zu beschränken, und verlangt drastische Änderungen.

Das Gesetz für digitale Dienste (Digital Services Act, DSA) verpflichtet sehr große Plattformen wie die chinesische Video-App TikTok dazu, ihre Risiken zu bewerten und sie zu mindern. Vor zwei Jahren hat die Europäische Kommission ein Verfahren gegen TikTok gestartet, um spezifisch das süchtig machende Design zu analysieren.

Heute hat die Behörde das vorläufige Ergebnis der Untersuchung geteilt: TikTok geht nicht effektiv genug gegen die Risiken vor. Diese Feststellung ist ein Schritt vor einer möglichen Strafe.

Besonders dramatisch bewertet die Kommission die Risiken für die mentale Gesundheit von Kindern und Jugendlichen, die ihre TikTok-Nutzung noch nicht so gut selbst steuern könnten. Viele Studien aus verschiedenen europäischen Ländern zeigten die stundenlange TikTok-Nutzung von Minderjährigen, die Öffnung der App etwa 20 Mal am Tag und die Nutzung nach Mitternacht, sagte ein Kommissionsbeamter heute gegenüber Journalist:innen. Allerdings seien auch andere Altersgruppen von der problematischen Nutzung betroffen.

Natürlich hätten Erziehungsberechtigte eine Verantwortung, auf die Social-Media-Nutzung von Kindern zu achten, sagte eine zweite Kommissionsbeamte. Doch auch Plattformen hätten eine Sorgfaltspflicht.

Tools zur Kontrolle der Bildschirmzeit sind nicht effektiv genug

Mittlerweile habe TikTok schon Optionen zur Kontrolle der eigenen Nutzungszeit eingeführt, doch diese sind laut der Kommission nicht effektiv genug. Pausen könnten sehr einfach durch die Eingabe des Codes „1234“ weggeklickt werden. Und auch das Tool für Eltern lasse zu wünschen übrig.

Die Kommission verlangt daher Änderungen in drei Bereichen: Erstens sollen Nutzer:innen dazu in der Lage sein, Push-Benachrichtigungen einfacher abzustellen. Ebenso soll das Design der Plattform bezüglich des Scrollings geändert werden. Zweitens soll das Empfehlungssystem von TikTok auch explizite Wünsche der Nutzer:innen anerkennen, anstatt nur implizit durch das Engagement gesteuert zu werden.

Der dritte Aspekt ist vielleicht der gravierendste. Die Kommission wünscht sich strengere Schutzmaßnahmen, darunter verpflichtende Begrenzungen der Bildschirmzeit, verpflichtende Pausen und eine nächtliche Sperre. Das würde bedeuten, dass die App nach einer bestimmten Zeit und zu gewissen Uhrzeiten nicht mehr genutzt werden kann. Diese Maßnahmen würden nicht nur Minderjährige treffen, sondern alle Nutzer:innen.

TikTok war bisher „kooperativ“

Diese Änderungen gehen an den Kern des App-Designs, das gibt auch die Kommission zu. Gleichzeitig betonen die Beamten, wie kooperativ TikTok in den letzten zwei Jahren gewesen sei. Sie erinnern daran, dass die neue App „TikTok Lite“ damals in der EU zurückgezogen wurde, nachdem die Kommission vor dem Belohnungssystem warnte. „In unserer Erfahrung können wir durch Diskussionen Fortschritte erzielen“, sagte die Kommissionsbeamte.

TikTok hat nun die Gelegenheit, auf die Vorwürfe zu antworten und das System entsprechend anzupassen. Eine genaue Frist dafür gibt es nicht. Sollte die Kommission nicht mit TikToks Reaktion zufrieden sein, könnte sie im letzten Schritt einen Verstoß feststellen und eine Strafe verhängen. Das geschah im Dezember mit X zum ersten Mal in der Laufbahn des Gesetzes für digitale Dienste.

Wegen ähnlichen Vorwürfen laufen auch Verfahren gegen Facebook und Instagram. Die TikTok-Untersuchung sei lediglich zuerst gekommen und kein Zeichen, dass Plattformen unterschiedlich behandelt würden, sagte ein Kommissionsbeamter auf Nachfrage von Journalist:innen.

Als Teil der Untersuchung zum süchtig machenden Design von TikTok schaut die Kommission auch darauf, wie sicher Minderjährige auf der Plattform sind. Außerdem läuft noch ein paralleles Verfahren gegen TikTok zur Desinformation und Einmischung in Wahlen, welches im Anschluss an die Wahlen in Rumänien eröffnet wurde.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen.

Erstmals hat die EU-Kommission ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei zu dem Ergebnis, dass die Plattform X gegen den DSA verstößt. Zugleich entschied sie, dass TikTok angemessen auf einen bereits Ende Oktober gerügten Mangel reagiert hat und die Anzeigendatenbank der Videoplattform nun gesetzeskonform sei.

Die Entscheidung gegen X betrifft grundsätzlich die fehlende Transparenz der Plattform. Konkret bemängelt die Kommission dreierlei: Erstens stellten die blauen Haken ein täuschendes Design dar, weil sie den Eindruck erwecken würden, dass die so gekennzeichneten Accounts verifiziert seien. Tatsächlich aber können Nutzende die Haken seit einigen Jahren kaufen. Zweitens stellt X nur eine unzureichend funktionierende Datenbank für Anzeigen nach DSA-Kriterien bereit. Der dritte Kritikpunkt bezieht sich auf den Datenzugang für Forschende. Das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, sei nicht DSA-konform.

120 Millionen Euro Strafe

Aus diesem Grund hat die Kommission heute eine Strafe von 120 Millionen Euro gegen X verhängt. Diese Summe orientiere sich nicht prozentual am Umsatz des Unternehmens, sondern entspreche der Schwere der Verstöße.

Da die Verstöße weitreichende gesellschaftliche Auswirkungen hätten, könne die Strafe nicht durch eine einfache „ökonomische Formel“ berechnet werden, heißt es aus der Kommission. Trotzdem seien bei der Berechnung auch wirtschaftliche Elemente wie die Kosten der blauen Haken und die geschätzten Gewinne für X eingeflossen.

Die Strafzahlung setzt sich aus drei Teilstrafen für die jeweiligen Verstöße zusammen: Für die blauen Haken stellt die Kommission 45 Millionen Euro Strafe in Rechnung, für den Datenzugang 40 Millionen und für die Anzeigendatenbank 35 Millionen Euro.

X hat 90 Tage Zeit für Anpassungen

X wurde über die Entscheidung informiert und kann sich nun verteidigen. Das Unternehmen hat Zugang zu allen Untersuchungsdokumenten der Kommission und kann seine Plattform innerhalb von 90 Werktagen anpassen.

Der Kommissionsbeamte betonte, dass von dem Unternehmen keine „dramatischen Änderungen“ erwartet würden; andere Unternehmen hätten ähnliche Anforderungen erfolgreich umgesetzt. Sollte X seine Dienste allerdings nicht anpassen, könnten in Zukunft weitere Strafen verhängt werden. So sieht es das Gesetz vor.

Bereits im Vorfeld der Kommissionsentscheidung hatte sich der US-amerikanische Vizepräsident J.D. Vance geäußert. „Es kursieren Gerüchte, wonach die EU-Kommission gegen X mehrere hundert Millionen Dollar Strafe verhängen wird, weil die Plattform keine Zensur betreibt“, schrieb Vance am Donnerstag auf X. „Die EU sollte die Meinungsfreiheit unterstützen, anstatt amerikanische Unternehmen wegen Unsinn anzugreifen.“

Weitere Verfahren gegen X in der Schwebe

Derzeit laufen noch weitere DSA-Verfahren gegen X. So untersucht die Kommission, ob der Mechanismus zur Meldung von illegalen Inhalten auf X gegen bestehende Regeln verstößt. Diesbezüglich hat die Kommission erst kürzlich einen vorläufigen Verstoß bei Instagram und Facebook festgestellt.

Die Kommission will zudem die Funktionsweise des Algorithmus auf der Plattform X verstehen und hat die Plattform angewiesen, entsprechende Dokumente aufzubewahren. Außerdem geht die Kommission der Frage nach, wie X Desinformation bekämpft und wie erfolgreich die Plattform dabei ist, die Risiken auf den gesellschaftlichen Diskurs und Wahlen zu verringern.

DSA-Umsetzung soll nun schneller vorangehen

Der Jurist Jürgen Bering leitet bei der Gesellschaft für Freiheitsrechte das Center for User Rights und sieht die Strafe als wichtigen Schritt bei der DSA-Durchsetzung. Er kommentiert: „Die Entscheidung zeigt: Die EU meint es ernst mit dem Schutz demokratischer Diskurse und der Plattformverantwortung. Jetzt braucht es ebenso konsequente Durchsetzung bei allen großen Anbietern. Der DSA ist kein Wertebekenntnis, sondern geltendes Recht – und es ist entscheidend, dass er spürbare Verbesserungen für Nutzer*innen in Europa bringt.“

Die Kommission geht davon aus, dass die DSA-Umsetzung jetzt schneller vorangehen wird, wie Digitalkommissarin Henna Virkkunen bereits vor wenigen Wochen in einer Pressekonferenz sagte.

In den vergangenen Jahren habe die Kommission zunächst eine interne Regulierungsstruktur aufbauen müssen, ergänzte ein EU-Beamter heute. Das Verfahren gegen X wurde bereits vor zwei Jahren eröffnet. Die Hoffnung der Kommission ist, dass auch die Unternehmen nun schneller darin werden, die Regeln zu befolgen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen.

Das Irish Council for Civil Liberties (ICCL) hat am 28. Oktober eine formale Beschwerde bei der EU-Kommission eingereicht. Darin kritisiert die Menschenrechtsorganisation die Ernennung von Niamh Sweeney zur Leiterin der irischen Data Protection Commission (DPC). Die Berufung stelle die Unabhängigkeit der Datenschutzbehörde infrage.

Bereits vergangene Woche hatten mehrere Nichtregierungsorganisationen der irischen Regierung einen Beschwerdebrief übergeben, in dem sie die Ernennung Sweeneys kritisieren. Als Grund führen sie zum einen an, dass diese mehr als sechs Jahre als Lobbyistin für den Tech-Konzern Meta tätig war. Meta ist eines der Unternehmen, das die DPC überwacht.

Zum anderen kritisieren die NGOs das Auswahlverfahren selbst. Dafür stellte das Unternehmen publicjobs ein Gremium aus fünf Personen zusammen. Darunter war auch Leo Moore. Der Anwalt der Kanzlei William Fry hat mit mehreren Big-Tech-Unternehmen zusammengearbeitet. Neben Moore gehörte außerdem ein Vertreter des irischen Justizministeriums dem Auswahlgremium an: Deputy Secretary General Doncha O’Sullivan.

Irland: Liebling der Tech-Branche

In seiner Beschwerde betont das ICCL, dass die DPC eine Schlüsselposition bei der Durchsetzung der europäischen Datenschutzgrundverordnung (DSGVO) einnehme. Außerdem müsse die irische Datenschutzkommission laut EU-Recht vollkommen unabhängig gegenüber jeglichen Weisungen von außen agieren – auch gegenüber möglicher Einflussnahme der irischen Regierung.

Viele Technologiekonzerne haben ihren europäischen Hauptsitz in Irland, darunter Meta, Google, Apple, Microsoft und TikTok. Die Unternehmen tragen einen erheblichen Teil zu Irlands Wirtschaft bei. Und Meta allein zahlte im Jahr 2023 mehr als 280 Millionen Euro Steuern an die irischen Behörden.

Derweil geriet die Durchsetzung der DSGVO in Irland den vergangenen Jahren immer wieder ins Stocken. Im Jahr 2022 klagte die DPC sogar gegen eine Entscheidung des ihr übergeordneten European Data Protection Board, um keine weitergehenden Ermittlungen zu Metas Datenverarbeitung aufnehmen zu müssen.

Die Berufung Sweeneys zur dritten Datenschutzkommissarin lässt den ICCL an der Unabhängigkeit der Datenschutzbehörde zweifeln. In ihrer Beschwerde an die EU Kommission schreibt die Organisation:

„Angesichts der bisherigen Bilanz der irischen Datenschutzkommission und der begründeten Zweifel an ihr hätte Irland sich über jeden Vorwurf [der Parteilichkeit] erheben müssen, unter anderem durch die Einführung von Verfahrensgarantien für die Ernennung der Mitglieder seiner Behörde.“

EU-Kommission will offenbar nicht eingreifen

Bei einer Pressekonferenz der EU-Kommission am 29. Oktober erkundigte sich eine Journalistin bei einem Kommissionssprecher, ob die Kommission die Beschwerde des ICCL annehmen werde. Der Sprecher antwortete, dass die europäischen Mitgliedstaaten für die Besetzung ihrer jeweiligen Datenschutzbehörde zuständig seien.

Die Kommission sei nicht in das Auswahlverfahren involviert gewesen und habe auch keine Kompetenzen einzuschreiten. Zugleich versuche die Kommission „immer sicherzustellen […], dass alle europäischen Datenschutzbehörden die Mittel und Unabhängigkeit haben, um ihrer Arbeit nachzugehen“.

Die Reaktion der EU-Kommission kritisiert Itxaso Domínguez de Olazábal vom Verband europäischer Digitalorganisationen European Digital Rights (EDRi): „Die Kommission kann nicht weiter wegschauen, während eine nationale Regulierungsbehörde die Grundsätze der Union untergräbt“, sagt de Olazábal gegenüber netzpolitik.org. „Der Schutz personenbezogener Daten und Grundrechte ist Teil dessen, wofür die EU steht – und die Kommission muss entsprechend handeln.“

Domínguez betont, dass die Beschwerde des ICCL nicht nur auf das Auswahlverfahren, sondern auch auf die Unabhängigkeit der DPC beziehe. Daher liege das Verfahren durchaus im Zuständigkeitsbereich der Kommission. „Die Kommission konzentriert sich offenbar auf das Auswahlverfahren und übersieht dabei das tieferliegende Problem: die anhaltende mangelnde Unabhängigkeit der irischen Datenschutzbehörde, die durch diese Ernennung offengelegt wird“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz.

Weite Teile des Internets, insbesondere wenn es um Geld geht, sind fein säuberlich gestaltet. Nicht nur von Techniker:innen oder Grafiker:innen, sondern vor allem von Psycholog:innen. Die Tech-Branche beschäftigt Heerschaaren speziell ausgebildeter Leute, die genau wissen, wie das menschliche Unterbewusstsein tickt – und wie es sich in Geld verwandeln lässt.

Oft setzen sie dabei auf manipulatives Design, auch bekannt als Dark Patterns. Sie sind seit langem Methode, durchziehen viele Online-Dienste und sollen Nutzer:innen beeinflussen: Der Zähler, der zum schnellen Kauf eines angeblich billigeren Flugtickets animieren soll; die verwirrend gestaltete Cookie-Abfrage, die im frustrierten Akzeptieren aller Partnerangebote endet; endloses Scrollen und automatisch abspielende Videos, um Nutzer:innen möglichst lange auf der Plattform zu halten.

Verantwortung nicht auf Nutzer:innen abwälzen

Solchen systemischen Problem will die EU im kommenden Jahr mit einem eigenen Gesetz begegnen, dem Digital Fairness Act. Es soll die Lücken schließen, die andere Gesetze offenlassen, etwa das Gesetz über digitale Dienste (DSA) oder sonstige Regeln zum Verbraucherschutz.

Generell sollte dabei die Verantwortung nicht mehr auf einzelne Nutzer:innen abgewälzt werden, da dies „ineffektiv und kontraproduktiv“ sei, fordern etwa die beiden Forscher:innen Lorena Sánchez Chamorro und Thomas Eßmeyer. Die beiden haben sich an der jüngst zu Ende gegangenen EU-Konsultation zu den bislang nur grob skizzierten Plänen beteiligt.

Über 4.000 Stellungnahmen sind dabei bei der EU-Kommission eingegangen. Einer der Ausgangspunkte war ein „Fitness Check“ der Kommission aus dem Vorjahr. In dem Bericht hat sie potenzielle Lücken bestehender Gesetze im Digitalbereich untersucht und dabei Nachholbedarf festgestellt. Sonst drohe, dass die digitale Wirtschaft das EU-Verbraucherschutzrecht aushöhlt. Bereits jetzt soll sich der Schaden auf mindestens acht Milliarden Euro pro Jahr belaufen, schätzt die Kommission.

„Grundlegende Neujustierung“ gefordert

Mit der Materie vertraute Organisationen teilen diese Sicht. So stelle die zunehmende Digitalisierung sowohl die Wirksamkeit des europäischen Verbraucherrechts als auch das Vertrauen, das für ein faires Miteinander auf Märkten notwendig sei, auf eine „harte Probe“. Das schreibt der Verbraucherzentrale Bundesverband (vzbv) in einem ausführlichen Positionspapier zum geplanten Digitalgesetz. Entsprechend sei es mit kleinen Anpassungen nicht getan. Nötig sei eine „grundlegende Neujustierung des europäischen Verbraucherrechts“, mahnt der vzbv.

Zum einen soll das mit dem Verbot oder der Einschränkung einzelner manipulativer Praktiken gelingen, etwa mit einem Verbot von „domain- und geräteübergreifendem Tracking“. Auch das „Zusammenführen gesammelter Daten in Profilen zu Werbezwecken“ solle verboten werden. Bei personalisierten Angeboten oder Preisen sei mindestens mehr Transparenz notwendig, so die Verbraucherschützer:innen.

Darüber hinaus brauche es aber eine „Generalklausel für digitale Fairness by Design und by Default auf allen verbraucherrelevanten Online-Schnittstellen wie Webseiten oder Apps“, argumentiert der Verband. Vor allem im digitalen Bereich seien Unternehmen gegenüber Nutzer:innen „ganz überwiegend im Vorteil“. Mit Hilfe von Tracking und Big Data könnten Algorithmen unser Verhalten analysieren, unsere Vorlieben berechnen und Kaufimpulse anreizen, die gegen die eigenen Interessen gehen können, heißt es im Positionspapier.

Betrugsversuche im Netz steigen an

Für einen „holistischen Ansatz“ wirbt auch BEREC, der Dachverband europäischer Regulierungsstellen für Telekommunikation. Die Behörde hat in den vergangenen Jahren diverse Aspekte der digitalen Ökonomie untersucht. Neben der zunehmenden Nachfrage nach breitbandigen und vor allem mobilen Internetverbindungen sei demnach ein „signifikanter Anstieg betrügerischen Datenverkehrs und Betrugsversuche“ zu beobachten, schreibt BEREC über die aus seiner Sicht wichtigsten Entwicklungen der jüngeren Vergangenheit.

Dieser Trend dürfte sich fortsetzen. Bei der Behebung von Schutzlücken müsse die EU jedoch sorgsam vorgehen, fordert der Dachverband. Neben horizontalen, für alle Anbieter geltenden Regeln zum Verbraucherschutz stünden sektorspezifische Vorschriften, die weiter ihre Berechtigung hätten. Neue Regeln müssten deshalb „komplementär“ ausgestaltet sein und eine Doppelung oder gar Konflikte mit bestehenden Gesetzen vermeiden.

Dies dürfte im Interesse der EU-Kommission sein. Die hat sich für die laufende Regierungsperiode einen drastischen Abbau von Bürokratie und generell Deregulierung vorgenommen, um die europäische Wirtschaft anzukurbeln. Eine florierende Ökonomie und Verbraucherschutz gehen aus Sicht von BEREC allerdings Hand in Hand. Demnach könnten auf Online-Dienste ausgerichtete, „klare, vorhersehbare und durchsetzbare Rechte“ Vertrauen fördern, und damit auch „Wettbewerb und Innovation“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.