Die EU-Institutionen verhandeln zentrale Aspekte der Chatkontrolle. Rat und Parlament streiten, ob Internet-Dienste alle Nutzer freiwillig scannen dürfen oder verdächtige Nutzer verpflichtend scannen müssen. Wir veröffentlichen eingestufte Verhandlungsdokumente.

Seit vier Jahren verhandeln die EU-Institutionen über die Chatkontrolle, seit einem halben Jahr im Trilog. Jetzt verhandeln sie die heikelsten Fragen.

Die Kommission will Hoster und Kommunikations-Dienste verpflichten, die Inhalte aller Nutzer auf Straftaten zu durchsuchen. Das Parlament will Internet-Dienste verpflichten, die Inhalte verdächtiger Nutzer auf Straftaten zu durchsuchen. Die EU-Staaten wollen keine Verpflichtung für Internet-Dienste, sie sollen Inhalte freiwillig scannen dürfen.

Der vierte Trilog fand am 11. Mai statt. Wir veröffentlichen einen Bericht aus Brüssel. Danach hat die Ratspräsidentschaft neue Kompromissvorschläge vorgelegt. Wir veröffentlichen die Entwürfe vom 26. Mai und vom 29. Mai. Im Rat diskutieren die Referent:innen für Justiz und Inneres diese Vorschläge. Wir veröffentlichen eingestufte Protokolle vom 21. Mai und von vorgestern 10. Juni.

Keine verschlüsselten Inhalte

Die EU-Institutionen haben sich „vorläufig darauf geeinigt“, verschlüsselte Inhalte aus dem Anwendungsbereich des Gesetzes auszunehmen. Damit dürfte das umstrittene Client-Side-Scanning raus sein. Wenn das so bleibt, ist das ein großer Erfolg.

Darüber hinaus haben die Gesetzgeber bisher vor allem weniger Kontroverse Punkte verhandelt, darunter Allgemeine Bestimmungen sowie Pflichten zum Entfernen und Sperren bekannter Straftaten.

Seit kurzem bearbeiten sie den größten Brocken: Die „Aufdeckung“ illegaler Inhalte. In dieser Frage liegen die Positionen der EU-Institutionen „besonders weit auseinander“. Eine zentrale Frage ist, ob Anbieter Inhalte ihrer Nutzer scannen dürfen oder müssen. Eine weitere Frage ist, wie viele Nutzer und Inhalte die Anbieter scannen.

Freiwillig oder verpflichtend

Die Ratspräsidentschaft schlägt mehrere Optionen vor: freiwillige Chatkontrolle für nicht-öffentliche Inhalte wie Cloud-Speicher und Kommunikation, verpflichtende Chatkontrolle für öffentliche Inhalte wie Web-Inhalte und verpflichtende Chatkontrolle für nicht-öffentliche Inhalte.

Die EU-Staaten haben sich geeinigt, eine verpflichtende Chatkontrolle abzulehnen. Aber zum Kompromissvorschlag der Ratspräsidentschaft haben sie noch keine einheitliche Meinung.

Seit Jahren scannen einige Big-Tech-Unternehmen die Inhalte ihrer Nutzer anlasslos. Das ist spätestens seit April illegal, sie machen trotzdem weiter.

Freiwillig, aber weitgehend

Einige Staaten wollen, dass solche Unternehmen weiterhin viele Inhalte möglichst vieler Nutzer scannen. Vor allem Frankreich und Ungarn fordern „einen möglichst breiten Anwendungsbereich insbesondere bei freiwilliger Aufdeckung“. Die Franzosen haben „hier keinen Spielraum für Verhandlungen“.

Aber auch Deutschland spricht sich für eine weitgehende Chatkontrolle aus, entgegen anderslautender Äußerungen der Bundesregierung.

Andere Staaten sehen weiterhin jede Chatkontrolle durch Internet-Anbieter kritisch, darunter Italien, Polen und Österreich.

Der juristische Dienst der EU-Staaten bezeichnet eine anlasslose Chatkontrolle von Kommunikation als rechtswidrig. Die Juristen lehnen auch den aktuellen Vorschlag ab, „da man es weiterhin mit genereller Suche in interpersoneller Kommunikation zu tun habe“. Freiwilliges Scannen öffentlicher Inhalte halten sie jedoch für „unproblematisch“.

Deutliche Zweifel an Verpflichtung

Kommission und Parlament wollen Anbieter auch gegen deren Willen verpflichten können, Inhalte ihrer Nutzer zu scannen. Das kann Hoster wie Hetzner oder Mail-Dienste wie Posteo betreffen. Die sollen aber nicht alle Nutzer scannen, sondern nur verdächtige Nutzer-Gruppen.

Die EU-Staaten haben „deutliche Zweifel“ an der „Praxistauglichkeit“ dieses Vorschlags. Gegen Verdächtige stehen Ermittlern schon jetzt „andere Instrumente zur Verfügung“. Die Polizei kann dann Nutzer-Daten von den Anbietern anfordern und selbst auswerten.

Österreich kritisiert die verpflichtende Chatkontrolle und fordert, „das Verhältnis zu strafrechtlichen Ermittlungen“ zu klären. Mehrere Staaten schließen sich an und fragen nach der „Trennlinie zu strafrechtlichen Ermittlungen“. Lettland fragt, „wo der Mehrwert sei“. Die Kommission fragt, wer die verdächtigen „Personen oder Gruppen identifiziere und auf welcher Basis“.

Verhandlungen gehen weiter

Ende Juni geht die Ratspräsidentschaft von Zypern an Irland. Wie jede Ratspräsidentschaft will auch Zypern die Verhandlungen unter seinem Vorsitz abschließen. Das bleibt das offizielle Ziel. Gegenüber netzpolitik.org hat ein Sprecher jedoch bereits eingeschränkt, nur noch „möglichst große Fortschritte erzielen“ zu wollen.

Der nächste Termin für den offiziellen Termin ist am 29. Juni. Bis dahin verhandeln die Fachpolitiker der Institutionen.

Wenn sich Parlament und Rat auf eine gemeinsame Version einigen, müssen beide das Gesetz noch formal annehmen.

---

Hier die Dokumente in Volltext:

---

• Datum: 18. Mai 2026
• Von: Deutscher Bundestag
• Betreff: Bericht aus Brüssel

Keine Einigung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet

Zusammenfassung

• Vier Jahre nach Vorlage des Kommissionsvorschlags für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet fand am 11. Mai 2026 der vierte Trilog statt. Trotz Fortschritten konnte keine finale Einigung gefunden werden.
• Besonders weit liegen die Positionen in der Frage nach Aufdeckung auseinander. Während der Rat rein freiwillige Maßnahmen fordert, befürwortet das Europäische Parlament (EP) als letztes Mittel verpflichtende Aufdeckungsanordnungen für Justizbehörden bei begründetem Verdacht.
• Der politische und zeitliche Druck ist groß, denn momentan besteht eine Regelungslücke: Eine Ausnahmeregelung, die es Dienstanbietern ermöglichte, sexuellen Kindesmissbrauch im Internet freiwillig aufzudecken, lief am 3. April 2026 aus und kann nicht verlängert werden, da in der Abstimmung im Europäischen Parlament (EP) keine gemeinsame Position gefunden werden konnte. Die den Providern inzwischen untersagte freiwillige Meldung online gestellter Bilder und Videos sei dabei häufig die einzige Möglichkeit für die Aufdeckung von Fällen sexuellen Missbrauchs gewesen.
• Das Ziel der Verhandlungspartner ist ein Abschluss des Dossiers vor Sommer 2026, doch noch gibt es keine konkreten Ideen für einen gangbaren Kompromisstext.

Nach nunmehr vier Jahren intensiver Beratung über den Verordnungsvorschlag zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vom 11. Mai 2022 (CSAM-Verordnung) brachte auch der vierte Trilog am 11. Mai 2026 keine endgültige Einigung zutage. Von den Beteiligten wird erneut die konstruktive Arbeitsatmosphäre betont, die in den ersten drei Trilogen zur Klärung von weniger umstrittenen Fragen geführt habe, doch der kontroverseste Aspekt im Dossier, die Aufdeckungsanordnung, war erneut nicht auf der Tagesordnung: Diese führte schon bei Vorlage des Kommissionsvorschlags in einigen Mitgliedstaaten, allen voran Deutschlands, für z.T. heftige Reaktionen und Ablehnung. Stattdessen standen u. a. die Entfernungs- und Sperranordnungen im Fokus, um Darstellungen von sexuellem Kindes-missbrauch in allen Mitgliedstaaten entfernen oder sperren zu lassen.

Auch einigte man sich auf Details zu verlängerten Antwortfristen auf Löschanordnungen für Kleinst‑, kleine und mittlere Unternehmen. Einige der erreichten Kompromisse dienten dabei dem Ziel, den Verordnungstext mit dem Gesetz über digitale Dienste (Digital Services Act, DSA) in Einklang zu bringen.

Der zeitliche und politische Druck für eine finale Einigung ist groß. Eine Übergangsregelung, die es Internetanbietern rechtlich erlaubte, Darstellungen von sexuellem Kindesmissbrauch im Internet freiwillig aufzudecken, zu entfernen und den Strafverfolgungsbehörden zu melden, lief am 3. April 2026 aus und wurde vom EP abgelehnt, da keine gemeinsame Position mit dem Rat gefunden werden konnte. Damit besteht aktuell eine Regelungslücke, da kooperationswilligen Internetprovidern nun nicht mehr erlaubt ist, kinderpornografische Inhalte auf ihren Webseiten zu suchen, zu entfernen und den Strafverfolgungsbehörden zu melden.

Zur Erinnerung: Am 11. Mai 2022 legte die Kommission den Entwurf der CSAM-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vor. Ziel war, Anbieter von Online-Diensten zur Verhinderung, Aufdeckung, Meldung und Entfernung von Missbrauchsdarstellungen sowie zur Unterbindung von Grooming (sexuelle Anbahnung) zu verpflichten. Um Opfern mehr Gehör zu verschaffen, soll zudem ein EU-Zentrum als dezentrale EU-Agentur eingerichtet werden, flankiert durch ein Netzwerk nationaler Koordinierungsstellen. Darüber hinaus sollten Anbieter bestimmter Online-Dienste den freiwilligen Einsatz von Technologien zur Bekämpfung des sexuellen Missbrauchs von Kindern ermöglichen. Die bisherige Verordnung, die dies ermöglichte, lief am 3. August 2024 aus und wurde durch die eingangs erwähnte Interimsverordnung ersetzt. Um eine Regelungslücke zu vermeiden, waren die Ko-Gesetzgeber unter dänischer Ratspräsidentschaft ursprünglich bestrebt, die CSAM-Verordnung bis zum Frühjahr 2026 abzuschließen. Nachdem unter zypriotischer Ratspräsidentschaft der erste Trilog am 26. Februar 2026 stattfand, wurde für den Abschluss der CSAM-Verordnung Juni 2026 avisiert. Damals ging man dem Vernehmen nach noch davon aus, dass die Interimsverordnung verlängert werde, da ein Kompromiss bei der Aufdeckungsanordnung durch weit voneinander divergierende Positionen in weiter Ferne schien.

Aufdeckungsanordnung: Freiwillig oder als letztes Mittel verpflichtend

Die Aufdeckungsanordnung, die im ursprünglichen Kommissionsvorschlag Anbieter von Hostingdiensten oder interpersoneller Kommunikationsdienste verpflichtete, mit verschiedenen Technologien sexuellen Kindesmissbrauch in ihren Diensten aufzudecken, wurde im Rat v.a. von Deutschland, aber auch anderen Mitgliedstaaten abgelehnt, da eine anlasslose Überprüfung als unverhältnismäßiger Eingriff in Grundrechte gewertet wurde. Wegen einer befürchteten „Massenüberwachung“ rückten sowohl Rat als auch EP in ihren Positionen weit vom Kommissionsvorschlag ab: Unter dänischer EU-Ratspräsidentschaft gelang die partielle Allgemeine Ausrichtung, die rein freiwillige Aufdeckungsmaßnahmen vorsieht, wie sie bereits in der o. g. Interimsverordnung galten. Im EP gelang dem Berichterstatter Javier Zarzalejos (EVP/ESP) im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) bereits am 24. Oktober 2023 eine Einigung, die ebenfalls eine massenhafte Überprüfung ablehnte. Justizbehörden sollte aber als letztes Mittel die Aufdeckungsanordnungen ermöglicht werden, sofern begründete Verdachtsmomente auf eine, auch indirekte, Verbindung zu Missbrauchsmaterial hindeuten. Einigkeit besteht zwischen den Ko-Gesetzgebern, dass Ende-zu-Ende verschlüsselte Kommunikationsinhalte von Aufdeckungstechnologien ausgenommen bleiben sollen.

Obwohl EP und Rat über die Frage nach einer rein freiwilligen oder bei eindeutigem Verdacht verpflichtenden Aufdeckungsmaßnahme uneins waren, setzte man dem Vernehmen nach in allen drei Institutionen darauf, dass die o. g. Interimsverordnung nach Auslaufen am 3. April 2026 verlängert werde. Die Ablehnung im EP habe im Rat und in der Kommission für großen Unmut gesorgt und wird als Rückschlag für die Prävention von Kindesmissbrauch im Internet gewertet. Der Ablehnung im Parlament waren kurzfristige verschiedene Änderungen zur funktionalen Zusammenarbeit zwischen Internetprovidern und Polizei sowie zum Verbot nach bislang unbekannten Missbrauchsdarstellungen vorausgegangen. Für den abgeänderten Vorschlag fand sich im Ausschuss keine Mehrheit, sodass keine Position des EP beschlossen werden konnte.

Ausblick

Zwar betonen alle Seiten weiterhin eine konstruktive Arbeitsatmosphäre, doch die jahrelangen Verhandlungen zeigen, wie weit die Positionen im Spannungsfeld zwischen Daten- und Kinderschutz voneinander entfernt sind. Dass die Interimsverordnung, die den Verhandlungen mehr Zeit erkauft hätte, am 3. April 2026 ausgelaufen ist und nicht verlängert wurde, sollte den Druck auf die Trilogparteien erhöhen. Doch gehen Beteiligte nicht davon aus, dass ein Kompromiss im fünften Trilog am 29. Juni 2026 unter zypriotischer Ratspräsidentschaft noch gefunden werden kann. Vereinzelt wurde die Meinung vertreten, dass sowohl der Rat als auch das EP in ihren Positionen zur Aufdeckungsanordnung deutlich flexibler werden müssten und eine für beide Seiten tragbare Lösung außerhalb der Verhandlungsmandate des EP und des Rates gefunden werden müsste. Das bringe der Arbeitsebene im EP zufolge aber auch die zusätzliche Gefahr mit sich, dass das Parlament dem Ergebnis der Trilogverhandlungen auf Grundlage eines erweiterten Mandats am Ende doch nicht zustimmen könnte. Ebenfalls werde befürchtet, dass das Momentum verloren gehen könne und festgefahrene Positionen sich auf lange Zeit halten könnten. Die den Providern nun nicht mehr erlaubte freiwillige Meldung von online gestellten Bildern und Videos sei häufig die einzige Möglichkeit gewesen, um auf Fälle sexuellen Missbrauchs aufmerksam zu machen. Es werde aber der Arbeitsebene zufolge nun darauf gehofft, dass die aktuell entstandene Regelungslücke zusätzlichen Druck in den Migliedstaaten erzeugt und so Bewegung in die festgefahrenen Verhandlungen bringt. Der fünfte Trilog ist für den 29. Juni 2026 geplant.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 21. Mai 2026
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMG, BMWE, BMWK
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 21. Mai 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen zur CSA-VO am 21. Mai 2026

Vorsitz verwies eingangs auf die Bezugsdokumente (9139/26, WK 6982/26). Hierzu könnten MS sich bis zum 29. Mai schriftlich äußern.

Anschließend skizzierte Vorsitz kurz die Ergebnisse des letzten Trilogs, wie auch in den Bezugsdokumenten aufgeführt. Es gäbe insbesondere noch Gesprächsbedarf zur Frage, welche Behörde welche Anordnungen erlassen dürfe. Delisting und grenzüberschreitende Anordnungen habe EP nicht in seinem Mandat, zeige hier aber Flexibilität. Bei den blocking orders könne man sich vermutlich nur auf bekanntes Material mit dem EP verständigen. Bei der Frage, ob Audiokommunikation im Anwendungsbereich sein solle, hätte EP jedoch eine rote Linie.

In der anschließenden Aussprache legte AUT Prüfvorbehalt gegen alle die Kompetenzen der jeweiligen Behörden betreffenden Passagen ein und bat um einen eigenen Abschnitt zu Handbüchern. Auch SWE äußerte hier Bedenken und plädierte für eine reinen Verweis auf die CSA-Richtlinie. Wir begrüßten ebenso wie SVN die getroffene Einigung. POL machte darauf aufmerksam, dass die Handbücher nur unter den Anwendungsbereich fallen dürften, wenn sie eindeutig strafbare Inhalte hätten.

FRA bat um Umformulierung von EG 9a), um Vorfestlegungen in der Diskussion zum Zugang zu Daten zu vermeiden. Bei den Anordnungen bitte FRA um Berücksichtigung des bewährten nationalen Systems und entsprechende Textarbeit. Auch LVA bat hierzu um Beibehaltung der Ratsposition bzw. Angleichung an die TCO-VO (ähnlich HUN).

Neben uns begrüßte auch ITA die Begrenzung auf nummernunabhängige Dienste und die vorgesehene review clause, wohingegen sich LVA, HUN und ESP gegen die Begrenzung aussprachen. POL zeigte sich ebenfalls skeptisch und plädierte für eine starke review clause.

ITA sah es als notwendig an, Entfernungsanordnungen nur durch eine justizielle oder unabhängige Behörde zu erstellen oder zumindest unter deren Aufsicht.

HUN, POL, BGR, ESP und SVN plädierten für die Beibehaltung von Audiokommunikation im Anwendungsbereich, da dies für den Aspekt des Grooming wichtig sei.

Im zweiten Teil der Sitzung stellte Vorsitz erste Überlegungen für einen Umgang mit den verschiedenen Positionen des Rates und des EP zur Aufdeckung von CSAM vor. Eine Lösung könne eine Mischung aus freiwilliger Aufdeckung und gezielten Aufdeckungsanordnungen sein. Man wolle in Teilen die bisherige Interims-VO in die CSAM-VO integrieren. Auch sei eine proactive Suche durch das Zentrum in öffentlich zugänglichem Material angedacht. KOM nannte die Ideen vielversprechend. Es sei klar, dass eine mögliche Lösung von beiden Seiten Kompromisse verlange. Eine Einigung würde aber auf jeden Fall die jetzige Situation verbessern.

Auf LUX Nachfrage stellte Vorsitz klar, dass das Ratsmandat sich nicht mit Ende-zu-Ende Verschlüsselung befasse, weil dort keine Aufdeckungsanordnungen enthalten seien. Angesichts der EP Position sei aber davon auszugehen, dass Ende-zu-Ende Verschlüsselung auch bei einer Kompromisslösung nicht unter den Anwendungsbereich fallen werde.

Vorsitz kündigte an, in Kürze einen Textvorschlag zu übermitteln. Es sei wünschenswert, bis zur nächsten Sitzung der JI-Referent*innen am 2. Juni eine erste Einschätzung bzw. Kommentare/Textvorschläge hierzu zu erhalten. Ein weiteres Treffen der JI-Referent*innen sei Mitte Juni geplant. Sollte man einen Kompromiss mit dem EP erzielen, dann werde man am 24. oder 26. Juni den AStV befassen. Am 29. Juni plane man den letzten Trilog unter CYP Vorsitz. Des Weiteren werde Vorsitz ein Dokument mit Kompromisstexten zu den Art. 22, 33–39 sowie allen Artikeln zum Risikomanagement übersenden.

---

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 11. Juni 2026
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMG, BMWE
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 10. Juni 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der JI-Referent*innen zur CSA-VO am 10. Juni 2026

I. Zusammenfassung und Wertung

Bei der ersten substanziellen Aussprache zum Vorschlag des Vorsitz zu freiwilliger Aufdeckung und Aufdeckungsanordnung zeigte sich ein uneinheitliches Bild.

Während einige MS weiterhin einen möglichst breiten Anwendungsbereich insbesondere bei freiwilliger Aufdeckung bevorzugten (sehr deutlich dazu neben uns auch FRA), zeigten sich POL, AUT, LUX und ITA bekannt kritisch.

An der Praxistauglichkeit der auf einen bestimmten Personenkreis begrenzten Aufdeckungsanordnung gab es deutliche Zweifel und es wurde mehrfach die Frage gestellt, wo man die Trennlinie zu strafrechtlichen Ermittlungen und den entsprechenden Instrumenten ziehe.

KOM begrüßte den vom Vorsitz gewählten Ansatz, welcher zwischen Aufdeckung in öffentlich zugänglichen Inhalten und in nicht-öffentlich zugänglichen Inhalten (u.a. interpersonelle Kommunikation) unterscheide.

JD sah auch bei diesem Vorschlag nicht alle rechtlichen Bedenken ausgeräumt, wobei die freiwillige Aufdeckung in öffentlich zugänglichen Inhalten als unproblematisch erachtet wurde.

II. Im Einzelnen

Auf Bitten des Vorsitz gab es eine volle Tischumfrage zu Dok. 9659/26, wobei Vorsitz vorausschickte, dass man lediglich eine erste Einschätzung erwarte. Schriftliche Kommentare könnten in Vorbereitung der nächsten JI-Referent*innen Sitzung am 17. Juni übermittelt werden.

LTU, GRC, SVK, MLT, BGR, ROU, FIN (mit Hinweis auf kritische Haltung des nationalen Parlaments), SVN, CZE, SWE, DNK und BEL legten Prüfvorbehalt ein, wobei LTU, GRC, MLT, SVN, SWE und BEL diesen als positiv bezeichneten.

ESP macht deutlich, dass man auf Grooming nur verzichten werde, wenn das EP im Gegenzug von einigen seiner Positionen abrücke.

ITA zeigte sich erneut sehr kritisch und stellte folgende Forderungen auf: Definition auch von non-publicly accessible (auch LUX, PRT), own initiative search im öffentlichen und nicht öffentlichen Bereich nur für bekanntes CSAM (auch POL), Ausstellung von Aufdeckungsanordnungen durch Justiz (auch POL), Aufdeckungsanordnungen nur für bekanntes CSAM, ggf. auch neues CSAM, wenn auf Verdächtige begrenzt, keine proaktive Suche durch das Zentrum.

LVA sprach sich für einen weiten Anwendungsbereich (bekanntes Material, neues Material, Grooming) aus (auch HRV, SWE) und unterstützte im Übrigen den Ansatz des Vorsitz bei der freiwilligen Aufdeckung, wobei die Möglichkeit der Untersagung noch geprüft werde. Zu Punkt E stelle sich die Frage, wo der Mehrwert sei, da den Behörden dann andere Instrumente zur Verfügung stünden (auch SWE).

LUX verwies auf die bekannte Position, welche sich nicht geändert habe. Nach wie vor seien die rechtlichen Probleme nicht beseitigt.

NLD stellte die Frage, ob das ganze System funktionieren könne (auch SVN, HUN) und bat um eine systematische Darstellung. Aufdeckung im öffentlichen Bereich werde unterstützt. Es bestehe Klärungsbedarf, wie die Ausführungen zur Verschlüsselung zu verstehen seien. Die gezielte Aufdeckungsanordnung klinge zunächst gut, aber es sei fraglich, ob sie bei diesen engen Voraussetzungen überhaupt jemals zum Einsatz komme (ähnlich SVK).

EST sah es als notwendig an, den Anwendungsbereich anhand der verfügbaren Technologien einzugrenzen. Bekanntes und neues Material wäre weitgehend machbar, aber Technologien zur Detektion von Grooming seien noch zu unsicher. E2EE müsse weiterhin ausgeschlossen werden. Eine Anordnung von Aufdeckungsanordnungen durch die Justiz sei zu aufwändig (auch SWE). Die Rolle des Zentrums müsse noch geklärt werden. Dieses solle die MS unterstützen und nicht mit Bürokratie belasten.

AUT erneuerte die kritische Haltung ggü. Aufdeckungsanordnungen. Es sei auch nicht klar, wer tatsächlich von den nur unter engen Bedingungen auszustellenden Aufdeckungsanordnungen im nicht-öffentlichen Bereich betroffen sein würde. Hier müsse das Verhältnis zu strafrechtlichen Ermittlungen geklärt werden.

HRV stellte die Frage, wer bei der Aufdeckungsanordnung feststelle, ob die Kriterien erfüllt seien, z.B. dass ein Dienst „missbraucht“ werde, und auf welcher Basis dies erfolge. HRV sehe auch die Gefahr, dass Dienstanbieter nicht mehr freiwillig suchen würden, sondern auf Aufdeckungsanordnungen warten würden.

Ich kündigte unsere schriftliche Stellungnahme an und skizzierte die dortigen Kernaussagen.

PRT zeigte sich generell zufrieden mit dem Vorschlag, Grooming könne aber im Anwendungsbereich nicht unterstützt werden.

FRA sah die Notwendigkeit eines breiten Anwendungsbereichs bei der freiwilligen Aufdeckung (auch HUN). Man habe hier keinen Spielraum für Verhandlungen. Es sei ganz klar, dass man nach neuem Material suchen müsse, welche dann ja auch zu bekanntem Material werde. FRA wolle auch die Weiterleitung von Meta- und Verkehrsdaten (auch SWE). Bei Aufdeckungsanordnungen stelle sich die Frage, welche Informationen konkret vom Diensteanbieter verarbeitet würden.

HUN sah die Gefahr, dass man sich möglicherweise bei strafrechtlichen Ermittlungen selbst begrenze, wenn man bestimmte Technologien bei einem „Verdachtsfall“ festschreibe.

Vorsitz erklärte, dass man sich bei den Definitionen an der TCO-VO orientiert habe. Wenn man publicly accessible definiere, sei alles, was nicht darunter falle, non-publicly accessible. Wenn man beides definiere, dann bestehe die Gefahr einer Lücke oder einer Überlappung. Man habe bewusst die Regelungen der vorübergehenden Ausnahme übernommen und mit der Möglichkeit der Untersagung weitere Safeguards hinzugefügt. Zu den Bedingungen für die Aufdeckungsanordnungen sehe man die Anbieter in der Pflicht. Diese müssen die notwendigen Informationen für eine entsprechende Einschätzung haben.

KOM begrüßte den Ansatz des Vorsitz, nach öffentlichem und nicht-öffentlichen Bereichen zu trennen. Auch die Aufdeckungen im öffentlichen Bereich bringe einen Mehrwert. Hier sei es aber dann auch notwendig, dass der Anwendungsbereich breit bleibe. Zum Grooming gäbe es Beispiele, dass eindeutige Schlüsselbegriffe genutzt würden. Auch das Darknet sei als öffentlich zugänglich einzustufen. Die Indikatoren des Zentrums sollten auch für die freiwillige Aufdeckung in öffentlichen Bereich genutzt werden. Dann sei gewährleistet, dass gemeldetes Material auch tatsächlich illegal sei. Bei der auf bestimmte Nutzer oder Gruppen angewandten Aufdeckungsanordnung sei nicht klar, worin der Mehrwert zu strafrechtlichen Ermittlungsinstrumenten bestehe. Es sei auch nicht klar, wer diese Personen oder Gruppen identifiziere und auf welcher Basis.

JD wiederholte die bekannten Positionen. Die Bedenken seien nicht ausgeräumt, da man es weiterhin mit genereller Suche in interpersoneller Kommunikation zu tun habe. Nun wolle man hierfür den Diensteanbietern eine Rechtsgrundlage mit nur geringen Safeguards geben. Die Interims-VO sei immer als Übergangslösung gedacht gewesen und nach gängiger Meinung keine Rechtsgrundlage zum Scannen von interpersoneller Kommunikation. Selbst die Eingrenzung auf Nutzergruppen sei schwierig, weil nicht klar sei, welche Kriterien hier gelten sollten. Nach Sicht des JD brauche ein eine objektive, ausreichende Verbindung zu CSAM. Eine solche Festlegung sei aber eine staatliche Aufgabe und könne nicht den Diensteanbietern überlassen werden. Freiwillige Suche und Aufdeckung im öffentlichen Bereich sei unproblematisch, da es sich nicht um interpersonelle Kommunikation handele, und bedürfe keiner Rechtsgrundlage. Bei einer Aufdeckungsanordnung zum öffentlichen Bereich sei dies jedoch nur bei bekanntem Material rechtlich einwandfrei, da die Treffer keine Überprüfung des Anbieters vor einer Weiterleitung benötigten. Für „Risikoanbieter“ (z.B. Pornoplattformen) sei dies sogar generell möglich. Die Aufdeckung durch das Zentrum sehe JD aufgrund der gewählten Rechtsgrundlage als kritisch an, sofern kein Auftrag durch die MS oder die Anbieter bestehe. Zudem müsse geklärt werden, auf welcher Basis das Zentrum entscheide, welche Diensteanbieter für eine solche Maßnahme ausgewählt würden. Vorsitz ergänzte, dass man aufgrund der Problematik der Rechtsgrundlage das Verfahren der Treffermeldung durch das Zentrum an die Anbieter gewählt habe. Auf DNK Frage, warum man die vorübergehende Ausnahme nicht einfach 1:1 übernehmen könne, antwortete JD, dass es sich hier um eine Rechtsgrundlage und nicht um eine Ausnahme von einem Verbot handele. Die freiwillige Aufdeckung tauche ja z.B. auch bei der Risikominderung auf und der Anwendungsbereich sei breiter, da z.b. auch Hosting-Dienste umfasst seien.

KOM sah einen Ausweg darin, Treffer bei neuem Material und Grooming dahingehend „rechtsicher“ zu machen, dass eine direkte Weiterleitung an das Zentrum erfolge, ohne zusätzliche Verifizierung durch den Diensteanbieter.

Zu Dok. 9835/26 sah HRV eine rote Linie bei der Anzahl der Mitglieder des Technologieausschusses. HRV wolle hier Plätze für alle MS (auch ITA). KOM gab zu bedenken, dass man die Experten nicht auf EU Bürger begrenzen solle. FIN bat darum, ausreichend Zeit für die Umsetzung der VO zu geben und sprach sich gegen eine kurze Umsetzungsfrist aus.

Vorsitz informierte abschließend über die weiteren Schritte:

ITM am 11. Juni zur Fortsetzung vorheriger Diskussionen. Man werde Ende dieser Woche hierzu ein neues Dokument verteilen. Hierzu seien weitere Kommentare willkommen.

Zu den Art. 3 – 5 warte man derzeit auf Kommentare der KOM. Ein neuer Text solle bis Ende nächster Woche vorliegen. Hierzu erbitte Vorsitz dann Stellungnahmen im Hinblick auf die AStV Befassung am 24. Juni und den letzten Trilog unter CYP Vorsitz am 29. Juni.

Das Dokument für den AStV solle spätestens am 19. Juni vorliegen.

Vorsitz werde auch ein neues 4‑Spalten Dokument vorlegen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die neue Open-Source-Strategie der EU-Kommission bringt viele Forderungen der Community auf Papier. Rechtlich bindend sind die Maßnahmen allerdings noch nicht. Die anstehende Reform des EU-Vergaberechts könnte das ändern.

Als Teil ihres Gesetzespakets für digitale Souveränität („Tech Sovereignty Package“) hat die EU-Kommission am vergangenen Mittwoch auch eine neue europäische Open-Source-Strategie vorgestellt. Offene Technologien sollen dabei helfen, Europas Abhängigkeit von außereuropäischen Anbietern in kritischen Bereichen zu verringern.

„Es ist Zeit, dass wir das nutzen, was wir in Europa haben, um die Kontrolle über unsere gewünschte Zukunft zu erlangen“, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung der Strategie. Über drei Millionen Open-Source-Mitwirkende und 500 gewinnorientierte Open-Source-Unternehmen gebe es in Europa. Trotzdem würden jedes Jahr mehr als 260 Milliarden Euro für digitale Produkte und Dienstleistungen aus Nicht-EU-Ländern ausgegeben. Die Kommission argumentiert weiter, dass Europa zwar erhebliche wirtschaftliche Werte durch Open-Source-Projekte schaffe, die daraus entstehenden Gewinne aber häufig außerhalb Europas abgeschöpft würden.

Die neue Strategie soll das ändern. Sie soll die gesamte Kette abdecken: von Forschung und Entwicklung über die Markteinführung und den Einsatz von Open-Source-Software bis hin zur langfristigen Wartung und Steuerung kritischer Open-Source-Komponenten.

Open Source im Mittelpunkt der Digitalpolitik

Ein grundlegender Wandel ist allein der politische Stellenwert, den die Kommission Open Source nun zuschreibt. Die Denkfabrik OpenForum Europe verweist darauf, dass die Kommission erstmals einen umfassenden Rahmen für Open Source geschaffen habe und den entscheidenden Beitrag von Open Source zu Souveränität, Wettbewerbsfähigkeit und Innovationskraft Europas anerkenne. Die gemeinnützige Organisation spricht deshalb von einem „definierenden Moment“ für die europäische Open-Source-Politik.

Das Sozialunternehmen Open Ireland Network hält das Framing der Strategie für ebenso wichtig wie die Verpflichtungen, die sich daraus ergeben. Zum ersten Mal habe die Kommission Open Source als Grundlage für einen europäischen Technologie-Stack positioniert statt wie zuvor als Sparmaßnahme. Die irische Organisation bezeichnet die Strategie als „ehrgeizig“ und stellt konkrete Maßnahmen heraus wie die Mobilisierung von zwei Milliarden Euro über sieben Jahre im öffentlichen und privaten Sektor, ein Open-Source-Wartungsinstrument für kritische Infrastrukturen und das konkrete Ziel von 30 Millionen Nutzenden offener Kollaborationstools bis 2030.

„Wir freuen uns, dass die Strategie viele Prioritäten der Open-Source-Communitys abdeckt“, kommentiert Jordan Maris, Leiter der EU-Politik bei der Open Source Initiative. Dazu zählt er unter anderem Maßnahmen zur Erleichterung der Ansiedlung von Open-Source-Projekten in Europa und zum Abbau von Hindernissen bei der öffentlichen Beschaffung von Open-Source-Software.

Verknüpfung mit digitalen Brieftaschen

Offene Alternativen zu proprietären Lösungen will die Kommission gezielt fördern und dazu mit den Mitgliedstaaten im Konsortium für eine europäische digitale Infrastruktur (EDIC) zusammenarbeiten. Besonders auffällig ist dabei die Verknüpfung mit den digitalen Brieftaschen der EU: der Eudi-Wallet und der European Business Wallet. Die Kommission plant Open Source also direkt in eigene Projekte einzubauen, anstatt nur einzelne Initiativen zu fördern.

Grundsätzlich erklärt die Kommission, selbst mehr Open Source nutzen zu wollen. Öffentliche Verwaltungen sollen zu „Ankerkunden“ werden und zum Open-Source-Ökosystem beitragen. Dafür wird die öffentliche Beschaffung entscheidend. Ausschreibungen sollen „Open-Source-freundlicher“ und die Wiederverwendung öffentlicher Software erleichtert werden. Bei der Gestaltung von Ausschreibungen sollen Behörden zudem beraten werden, Offenheit und Souveränität bei Entscheidungen über Investitionen als Faktoren berücksichtigt werden.

Nach Ansicht vieler Beobachter:innen entscheidet sich hier, ob die Strategie tatsächlich die gewünschten Effekte erzielen wird. Schon in einer Konsultation zu der Strategie im Januar hatten viele Akteure eine Priorität von Open Source in der Beschaffung gefordert, darunter das deutsche Unternehmen Nextcloud. Sein CEO, Frank Karlitschek, begrüßt den Ansatz der neuen Strategie: „Öffentliche Gelder sollten in der Tat für öffentlichen Code ausgegeben werden – Public Money, Public Code.“ Indem die EU als strategischer Kunde auftrete, könne sie dem privaten Sektor das Vertrauen für Investitionen geben.

Allerdings fehlten noch konkrete Ziele und Änderungen im Beschaffungswesen, kommentiert Karlitschek. Ohne diese seien die Pläne zur „Förderung“ und „Unterstützung“ von Open Source „nur gut gemeinte Ausgaben von Steuergeldern, die sofort durch die deutlich umfangreichere Beschaffung von US-amerikanischer proprietärer Technologie untergraben werden“.

Rechtliche Verbindlichkeit fehlt

Die Free Software Foundation Europe (FSFE) kommt zu einer ähnlichen Bewertung. Die ausdrückliche Anerkennung von „Public Money? Public Code!“ in der Strategie, neun Jahre nachdem die FSFE die Initiative ins Leben rief, könne „ein wichtiger Schritt vorwärts für die Softwarefreiheit in Europa“ sein, sagt Johannes Näder, Senior Policy Project Manager bei der FSFE. Jedoch müsste dieser Grundsatz zu einer verbindlichen Anforderung bei öffentlichen Ausschreibungen gemacht werden. „Würde auch nur die Hälfte der 264 Milliarden Euro an öffentlichen IT-Ausgaben in Europa von proprietären Lösungen auf freie Software umgeleitet, würde dies die europäische technologische Souveränität stärken“, meint Näder.

Peter Ganten, Geschäftsführer des deutschen Unternehmens Univention, sieht ebenfalls eine Schwachstelle in der fehlenden Verbindlichkeit. Nach jetzigem Stand würden Mitgliedstaaten nur dazu verpflichtet, Open Source zu „fördern“. Dabei gebe es Ausnahmen, die im Zweifel „fast jede Entscheidung“ nachträglich rechtfertigen könnten. Die zentrale Frage sei: „Wer muss eigentlich begründen, warum Abhängigkeit in Kauf genommen wird und wo ist diese Begründung nachvollziehbar, prüfbar und auditierbar?“ Bislang fehle dieser Durchsetzungsmechanismus.

Die Strategie ist rechtlich nicht bindend. Daher hängt ihr Erfolg „von der entschlossenen Umsetzung“ der EU-Kommission ab, sagt die grüne Europaabgeordnete Alexandra Geese. Die Empfehlungen für die öffentliche Beschaffung könnten allerdings im EU-Vergaberecht verpflichtend gemacht werden. Die Reform der Vergaberichtlinien („Public Procurement Act“) will die Kommission am 1. Juli präsentieren.

Und auch der „Cloud and AI Development Act“ (CADA), ein Gesetz, das die Kommission als Teil des Souveränitätspakets präsentiert hat, ist zentral. Hier wird das Prinzip „Open Source First“ bei der Beschaffung von Cloud und KI festgehalten. Allerdings müssen noch das EU-Parlament und der Rat ihre Position zu dem Gesetz erarbeiten und anschließend im Trilog verhandeln. Selbst ein nicht-bindender Grundsatz könnte also noch im Gesetzgebungsprozess abgewandelt werden.

Kommission will nur zwei Milliarden Euro „mobilisieren“

Neben neuen Beschaffungsregeln wurde in der Konsultation insbesondere eine bessere Finanzierung des Open-Source-Ökosystems gefordert. Der EU-Abgeordnete Matthias Ecke (SPD) erklärt: „Wichtig ist nun, dass auch konkrete Förderinstrumente folgen – denn Open-Source-Projekte sind chronisch unterfinanziert.“ Michiel Leenaars von der niederländischen NLnet Foundation hatte vor Kurzem im Interview mit netzpolitik.org darauf hingewiesen, dass es für 2027 noch kein Budget für das Förderprogramm „Open Internet Stack“ der Kommission gibt. Der mehrjährige EU-Haushalt befindet sich derzeit noch in der Verhandlung.

Für alle Maßnahmen der Strategie will die Brüsseler Behörde zwei Milliarden Euro über sieben Jahre „mobilisieren“. Das sei nur ein kleiner Bruchteil der 264 Milliarden Euro, die jährlich für proprietäre Software und Dienstleistungen ausgegeben werden, kommentiert die Free Software Foundation Europe. In einer Analyse für TechPolicyPress bewerten Vertreter:innen von OpenForum Europe die Summe als „unzureichend“. Zwei Milliarden Euro wären „ein guter Anfang“, schreiben die Autor:innen, aber für alle aufgeführten Maßnahmen zu wenig Geld. Sie ermutigen die Kommission daher, sich um zusätzliche Mittel zu bemühen.

Eine der Maßnahmen, für die schon länger Finanzierung gefordert wurde, ist ein Open-Source-Wartungsinstrument für kritische Infrastrukturen. Es soll sicherstellen, dass kritische Open-Source-Komponenten langfristig gepflegt werden. Diesen Schritt begrüßen viele Akteure ausdrücklich. Die Sovereign Tech Agency, eine GmbH im Auftrag des deutschen Bundesdigitalministeriums, kommentiert etwa: „Das Open-Source-Wartungsinstrument schließt eine strukturelle Lücke, die unsere Arbeit von Anfang an geprägt hat: Kritische Open-Source-Infrastruktur schafft öffentlichen Mehrwert, ist jedoch oft unterfinanziert und institutionell anfällig.“

Kommt ein europäischer Fonds?

Am 19. Juni sollen bei einem Treffen in Paris die ersten Aktivitäten des EDIC starten, informiert die CEO der Sovereign Tech Agency, Adriana Groh. Dort soll auch ein Pilotprojekt für einen Sovereign Tech Fund auf EU-Ebene zur Sprache kommen. In Brüssel wird erwogen, einen solchen europäischen Fonds nach deutschem Vorbild aufzubauen. In Deutschland hat die Sovereign Tech Agency den Fonds aufgebaut.

Ob aus der neuen Strategie tatsächlich ein Wendepunkt für Open Source in Europa wird, hängt von vielen Faktoren ab: der Reform des Vergaberechts, dem Willen der Mitgliedstaaten, der Positionierung des Parlaments. Klar ist jedoch, dass die Kommission viele Punkte aufgenommen hat, die die Open Source Community schon seit Jahren fordert. Und sie versteht Open Source nun als wichtigen Faktor für die digitale Souveränität.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit einem Paket an Gesetzen will die EU-Kommission digital souveräner werden. Aber das positiv besetzte Label verschleiert eine knallharte Industrie-Agenda: Neue Rechenzentren sollen massig Energie verschlingen. Ein Kommentar.

Das Problem verfolgt die Debatte um digitale Souveränität wie ein Schatten: Der Begriff ist nicht definiert. Wer genau sich von wem unabhängiger machen soll, bleibt unklar. Nun will die EU den Ausbau von Rechenzentren als Schritt zu mehr Souveränität verkaufen. Dabei entstehen allerdings neue Abhängigkeiten, und zwar von Energieversorgern.

Am Mittwoch hat Kommissions-Vizepräsidentin Henna Virkkunen das lang erwartete Technological Sovereignty Package präsentiert. Von der Hardware bis zur Software will die Kommission Europa technologisch autonomer und resilienter machen. „Wir können es uns nicht leisten, bei den Technologien, die den Betrieb unserer Krankenhäuser, die Stabilität unserer Energienetze und die Sicherheit unserer Dienste gewährleisten, von anderen abhängig zu sein“, lässt sich Ursula von der Leyen (CDU) zitieren.

Doch die Kommission verfolge eine Definition von digitaler Souveränität, mit der sie „Regulierung und regulatorische Durchsetzungsfähigkeit weitgehend ausblendet“, kritisiert Marielle-Sophie Düh. Sie ist Doktorandin am Centre for Digital Governance der Hertie School und Mitglied der Forschungsgruppe „Politics of Digitalization“ vom Wissenschaftszentrum Berlin für Sozialforschung. Letztlich reduziere die Kommission „Souveränität auf ein industriepolitisches Projekt“.

Energiebedarf: verfünffachen

Daraus macht die Kommission keinen Hehl. Ganz offiziell will sie mit dem Paket „die Wettbewerbsfähigkeit und die geoökonomische Position Europas stärken“, heißt es in einer Zusammenfassung. Hierfür will sie den Weg für mehr Rechenzentren ebnen.

Offenbar waren die Lobby-Bestrebungen von Wirtschaftsverbänden erfolgreich. Im Vorfeld hatte etwa der Verband der Internetwirtschaft eco gewarnt: Europa dürfe „den Ausbau von Rechenzentren nicht durch neue Regulierung selbst ausbremsen“. Dabei ist Deutschland heute schon nach den USA das Land mit den weltweit meisten Rechenzentren.

Nun will die EU-Kommission Genehmigungsverfahren für Rechenzentren unter bestimmten Bedingungen beschleunigen. Wie ein hochrangiger EU-Beamter erklärte, visiert die Kommission mit ihrem Paket an, dass sich der Energiebedarf europäischer Rechenzentren in etwa verfünffachen wird – von zurzeit 12 Gigawatt auf 60 Gigawatt im Jahr 2035.

Damit verschlingen Rechenzentren zunehmend große Teile des Strombedarfs ganzer EU-Länder. Rechenzentren in Irland beanspruchen bereits heute 22 Prozent des dortigen Bedarfs, mehr als ein Fünftel. In Deutschland sind es noch vier Prozent.

Umweltvorschriften: verwässern

Um „den Weg für diese stromfressenden Rechenzentren frei zu machen“, sei die Kommission dazu bereit, „Umweltvorschriften zu verwässern“, kritisiert Bram Vranken. Er ist Forscher und Aktivist beim Corporate Europe Observatory und untersucht die Lobby-Taktiken von Unternehmen wie Meta, Amazon und Google. Dafür werfe die Kommission ihre Klimaziele über den Haufen. So habe Big Tech mithilfe aggressiver Lobbyarbeit den „Plan der Kommission, Mindeststandards für die Nachhaltigkeit von Rechenzentren einzuführen, zum Scheitern gebracht“, so Vranken.

Er warnt: Mit ihrer Wirtschaftspolitik wird die EU „unser aller Stromrechnungen in die Höhe treiben“. In Irland ist das seit mindestens einem Jahr bittere Realität.

KI-Wettlauf: mithalten

Mit den Rechenzentren und ihrem Energiehunger will die EU im weltweiten KI-Wettlauf mithalten. Dafür hat die Kommission schon vor gut einem Jahr den Aktionsplan „Kontinent KI“ aufgestellt, wonach sogenannte Künstliche Intelligenz die Wettbewerbsfähigkeit Europas entscheidend bestimme.

Auch wenn Tech-Konzerne gerne ein anderes Bild vermitteln, verbraucht vor allem generative KI viel Energie und treibt den Bedarf weiter in die Höhe: So erwartet die Internationale Energieagentur, dass der Stromverbrauch aller Rechenzentren weltweit bis 2030 auf rund 945 Terrawattstunden ansteigt. Das wäre doppelt so viel wie im Jahr 2024.

Die Kommission will zwar an der Energieeffizienz schrauben, um den Bedarf an teurer Energie aus fossilen Brennstoffen zu begrenzen und stärker auf erneuerbare Energien zu setzen. Aber in welchem Ausmaß wird das gelingen? In Deutschland geht Wirtschaftsministerin Katherina Reiche (CDU) einen ganz anderen Weg. Die Ex-CEO des Strom- und Gasnetzbetreibers Westenergie bastelt an der Ausschreibung für mehr Kapazität bei Gastkraftwerken: 20 Gigawatt bis 2030.

Für die„AI First“-Mentalität der EU-Kommission ist „digitale Souveränität“ bloß ein Label. Im Zentrum steht der globale Industrie-Wettbewerb – nicht Folgen für Umwelt oder Gesellschaft. Jüngst hat die EU-Kommission den Siemens-Vorstandsvorsitzenden Jim Hagemann Snabe als Berater für industrielle KI eingesetzt. In Brüssel gab es dafür viel Kritik, immerhin hatte sich Snabe dafür eingesetzt, KI-Vorschriften in der EU zu schleifen. Die Folgen der KI-Politik dürften jedoch alle treffen, spätestens bei der Stromrechnung.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat ein Gesetz vorgestellt, mit dem sich die Mitgliedstaaten in Sachen Cloud und KI-Entwicklung von US-amerikanischen Anbietern unabhängiger machen sollen. Doch das Gesetz bleibt zurückhaltend und lässt vieles offen, kritisieren Fachleute.

„Über Geld spricht man nicht“ heißt es hierzulande gerne. Außer mit dem Finanzamt natürlich. In der Steuerverwaltung landen Informationen über Einkünfte, in der Sozialverwaltung landen Informationen über Phasen von Arbeitslosigkeit oder Wohngeld-Auszahlungen, in der Gesundheitsverwaltung landen Informationen über Krankheitsverläufe. Sensible Informationen, die viel über unser Leben verraten.

Und was macht die öffentliche Verwaltung damit? Sie schiebt die Daten zunehmend in die Cloud. Die gehört meistens Microsoft, Google, Amazon oder Oracle. Ob direkt oder über einen Subunternehmer – Verwaltungen greifen meist auf Dienste US-amerikanischer Cloud-Anbieter zurück.

Sind die Daten in einer solchen Public Cloud sicher? Und sollten Behörden in Sachen digitale öffentliche Infrastruktur auf US-Big-Tech setzen? Diese Fragen sind drängender geworden, seitdem bekannt wurde, welchen Einfluss US-Präsident Donald Trump hier ausübt und ausüben kann.

Die „geopolitische Lage“ heißt Trump

Diese „geopolitische Lage“ sei dringlich, so die Vizepräsidentin und EU-Kommissarin Henna Virkkunen bei der gestrigen Pressekonferenz zum neuen Tech Sovereignty Package. Es umfasst den Chips Act 2.0, die Open-Source-Strategie der EU und den Fahrplan für Digitalisierung und KI im Energiesektor.

Welchen Zugriff die US-Regierung künftig auf europäische öffentliche Informationen haben kann, will die Kommission mithilfe des Cloud and AI Development Acts (CADA) regulieren; das vierte Element im Packet. Doch gerade CADA scheint ein sehr zaghaftes Instrument der EU für mehr Unabhängigkeit von US-Big-Tech zu werden. Denn für einen großen Teil staatlicher Daten schließt die Kommission US-Cloud-Anbieter nicht vom europäischen Markt aus.

Nach ihrer Rechnung könnten gut 99 Prozent, mindestens aber 70 Prozent, staatlicher Daten der EU-Mitgliedsländer auf Clouds von US-Anbietern landen. Diese Zahlen beruhen auf einer Schätzung der Kommission zur Risikobewertung staatlicher Daten. EU-Mitgliedstaaten sollen nach einem vorgegebenen Stufensystem die Risiken bei der Beschaffung von Cloud-Diensten prüfen.

Zugriff auf Daten durch US-Regierung

Auf der anderen Seite des Atlantiks stehen dem Pakt Gesetze wie der Foreign Intelligence Surveillance Act (FISA), der Patriot Act und der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) gegenüber. Laut CLOUD Act sind Tech-Unternehmen mit Sitz in den USA wie Microsoft oder Google dazu verpflichtet, unter bestimmten Voraussetzungen Daten gegenüber US-Behörden offenzulegen.

Dazu zählen auch Daten aus der EU. Das ist unabhängig davon, ob die Daten eines US-Unternehmens auf einem Rechenzentrum innerhalb der EU gespeichert sind, so ein juristisches Gutachten der Universität Köln im Auftrag des Bundesinnenministeriums. Bestätigt hat das aber auch der Chefjustiziar von Microsoft Frankreich, Anton Carniaux. Vor gut einem Jahr erklärte er dem französischen Senat: Wenn französische Behörden Microsoft nutzen, kann die US-Regierung diese Daten einsehen. Dafür müssen die Behörden nicht einmal ausdrücklich zugestimmt haben.

Trump kann sogar öffentliche Angestellte und Beamt:innen daran hindern, ihrer Arbeit nachzugehen. Das zeigen die Fälle von Richter:innen und einem Chefankläger am Internationalen Strafgerichtshof. Trump veranlasste, dass sie Dienste von Microsoft, Paypal und Co. nicht mehr nutzen können; auch auf ihre Accounts und darin enthaltene Daten können sie nicht mehr zugreifen.

Womit hält die EU dagegen?

Anhand von vier Sicherheitsstufen, den sogenannten „Union Assurance Levels“, sollen EU-Mitgliedstaaten nun die Cloud-Dienste auf den Prüfstand stellen, die sie nutzen: Welches Risiko wäre gegeben, wenn Daten an Nicht-EU-Staaten abfließen? Oder wenn ein Dienst ausfallen würde? Für diese Risikobewertung sollen die Länder ein Jahr Zeit haben, dann müssen sie ihre Ergebnisse veröffentlichen.

Demnach müssen Cloud-Anbieter für ihre Dienste je nach Stufe bestimmte Kriterien erfüllen. Stufe 1 benötigt ein niedriges Maß an Souveränität, Stufe 4 ein hohes. Bei Daten, die weniger sensibel sind, reiche die Sicherheitsstufe 1 aus. Demnach müssten Behörden lediglich sicherstellen, diese Daten in europäischen Rechenzentren zu speichern statt in beispielsweise US-amerikanischen. Öffentliche Auftraggeber in den EU-Mitgliedstaaten sollen nur Cloud-Dienste beschaffen, die mindestens Stufe 1 erfüllen. Hier ändert sich für die großen Cloud-Anbieter aus den USA wie Amazon und Google nichts. Denn sie haben die dazu erforderlichen Niederlassungen in der EU und betreiben hier bereits eigene Rechenzentren.

Auch mit der zweiten Sicherheitsstufe würde sich für sie nichts ändern, das erklärte ein hochrangiger EU-Beamter. Die Kommission hat dabei das Risiko eines Kill Switch im Blick. Damit ist gemeint, dass Betreiber aus der Ferne das IT-System abschalten könnten. Der jeweilige Cloud-Anbieter muss bei Stufe 2 ausschließen, dass Nicht-EU-Länder wie die USA oder China den Kill Switch umlegen könnten.

Cloud-Anbieter aus den USA ausschließen?

Stufe 3 soll erfordern, dass sich Cloud-Anbieter innerhalb der EU befinden und von dort aus kontrolliert werden. Daneben sollen sie Mitarbeitende mit europäischer Staatsangehörigkeit beschäftigen. Einflussnahme durch Drittstaaten soll damit reduziert werden. Virkkunen erklärte auf der Pressekonferenz, dass es US-Cloud-Anbieter schwer haben würden, Stufe 3 zu erreichen.

Doch es gibt ein Schlupfloch: Nach Artikel 18 hat die Kommission die Möglichkeit „von den Anforderungen auf Stufe 3 abzuweichen und Drittstaaten für Cloud-Anbieter anzuerkennen“, so Dennis-Kenji Kipker, Research Director und Gründer des Frankfurter Cyberintelligence Institute, gegenüber netzpolitik.org. Dazu dienen sogenannte Angemessenheitsbeschlüsse im Gesetz. Solche Beschlüsse beim Thema Datenschutz haben in der Vergangenheit gezeigt, dass die Kommission die USA trotz erheblicher Bedenken als vertrauenswürdigen Partner ansieht.

Die höchste Stufe soll nicht nur besonders für sicherheitssensible Bereiche gelten, sondern biete laut Kommission auch maximale Souveränität: EU-Länder sollen ihren gesamten Technologie-Stack von der Hardware bis zur Software vollständig kontrollieren. Das würde Nicht-EU-Anbieter ausschließen. Demnach dürften Cloud-Anbieter in dieser Stufe keiner Einflussnahme aus einem Drittland unterliegen.

Mitgliedstaaten entscheiden

Es bleibe „den Mitgliedstaaten vorbehalten“, wie sie bewerten, was „souveränitäts- und sicherheitskritisch“ ist. Die Kommission gibt also nicht vor, wie die EU-Länder das Stufensystem umsetzen sollen. Sie empfiehlt etwa die Bereiche Justiz, Polizei und Grenzschutz der Stufe 2 zuzuordnen. Das kritisiert die Grünenpolitikerin Alexandra Geese. „Wer akzeptiert, dass eine außereuropäische Regierung im Ernstfall Einfluss auf den Betrieb kritischer digitaler Infrastrukturen von Justiz, Polizei, nationale Sicherheit und Grenzschutz nehmen oder deren Verfügbarkeit gefährden kann, schafft institutionalisierte Abhängigkeit.“

Der Stufe 4 ordnet die Kommission den Bereich Verteidigung zu. Das würde nur etwa ein Prozent staatlicher Daten betreffen. Der Großteil von 70 Prozent sei weniger schutzbedürftig und falle damit unter Stufe 1, während 20 Prozent unter Stufe 2 und neun Prozent unter Stufe 3 fielen.

Inwieweit EU-Länder jedoch US-Cloud-Anbieter meiden und wie „das Ergebnis der Bewertung und Einordnung des Sicherheitsniveaus“ ausfällt, hänge wesentlich von ihrem „Risiko-Sicherheitskontext“ ab, so Kipker. Die Kommission spricht hier kein Vergabeverbot aus. Die Länder entschieden also selbst, ob „in einem besonders sensiblen Anwendungsfall die Wahl eines hohen Sicherheitsniveaus einen außereuropäischen Anbieter faktisch ausschließt“.

Die Kommission gibt auch nicht vor, wie die EU-Länder ihre Behörden von einem Cloud-Anbieter wie Amazon oder Microsoft zu einem europäischen Anbieter migrieren. Immerhin hätte CADA nach Inkrafttreten „unmittelbare Geltung und Anwendungsvorrang, und die Kommission könnte Verstöße über das Vertragsverletzungsverfahren nach AEUV durchsetzen“, erklärt Kipker.

Das Gesetzespaket geht nun an das europäische Parlament und die Mitgliedstaaten. Gerade von letzteren hängt ab, ob sich die Cloud-Landschaft für die Behördenarbeit in der EU tatsächlich verändert.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Meta wollte seinen Facebook Messenger und den Marketplace nicht als marktmächtige Kerndienste eingestuft sehen. Der US-Konzern wehrte sich vor Gericht gegen die strengeren Auflagen des Digital Markets Act, bekam aber nur in einem Punkt recht.

Der Messenger von Meta gilt weiterhin als sogenannter Gatekeeper im Sinne des Digital Markets Act (DMA) und muss sich an strengere Vorgaben halten als kleinere Wettbewerber. Das hat heute das zweithöchste EU-Gericht in Luxemburg entschieden.

Der DMA richtet sich in erster Linie an marktmächtige Digitalunternehmen. Erlangen sie in einem bestimmten Marktsegment eine kritische Größe, müssen sie sicherstellen, dass der Wettbewerb gewahrt bleibt. In diesem Fall war Meta etwa gezwungen, Interoperabilität herzustellen, also den Austausch von Nachrichten mit anderen Messenger-Anbietern zu erlauben.

Meta war gegen die Einstufung des Messengers als Gatekeeper vor Gericht gezogen, blieb dabei jedoch erfolglos. Dem Urteil zufolge kann der Messenger unabhängig und eigenständig von sonstigen Angeboten Metas genutzt werden, beispielsweise Facebook oder Instagram. Den Einwand, dass Meta die Produkte integriert anbieten würde, ließ das Gericht nicht gelten. Damit stufte das Gericht den Messenger als einen vom sozialen Netzwerk Facebook getrennten interpersonellen Kommunikationsdienst ein, der auch alleine als Gatekeeper gelten würde.

Mit strengen Regeln gegen Tech-Riesen

Urspünglich hatte die EU-Kommission im Herbst 2023 eine ganze Reihe von Meta-Produkten als Gatekeeper eingestuft, darunter Facebook, Instagram, WhatsApp, die Werbeplattform Meta Ads und den Facebook Marketplace. Meta nahm die Entscheidung weitgehend an, wehrte sich jedoch beim Messenger sowie beim Marketplace juristisch dagegen.

Zwar hat die Kommission die Designierung des Marketplace als Gatekeeper im Vorjahr zurückgezogen, da der Schwellenwert gewerblicher Nutzer nicht erreicht wurde. Das Gerichtsverfahren lief jedoch davon unberührt weiter.

Hierbei schloss sich der Gerichtshof der Meinung von Meta an. Laut dem Urteil hat die Kommission vor allem formale Fehler begangen. So hätten sich die Brüsseler Wettbewerbswächter fälschlicherweise ausschließlich auf Daten der letzten drei Jahre vor der Benennung gestützt, ohne Änderungen zu berücksichtigen, die Ende Juli 2023 eintraten.

Entsprechend sei ihr Beschluss unzureichend begründet, so das Gericht. Weder habe die Kommission eine konkrete Analyse der von Meta vorgenommenen Änderungen vorgelegt noch deren Auswirkungen auf ihre Schlussfolgerung erläutert. Die im Beschluss angeführten Argumente blieben „hypothetisch und unvollständig“, sodass ihn das Gericht für nichtig erklärte.

Eine Berufung gegen das Urteil ist vor dem Europäischen Gerichtshof (EuGH) möglich. Ob die Kommission einen erneuten Anlauf starten wird, den Marketplace strenger zu regulieren, bliebt vorerst offen. Auf Anfrage teilte ein Kommissionssprecher gegenüber netzpolitik.org mit, die Entscheidung des Gerichts prüfen zu wollen. Allerdings seien die Auswirkungen beim Marketplace „gering“, da der Dienst nicht mehr als Gatekeeper eingestuft ist. Solange die Nutzungszahlen nicht sprunghaft ansteigen, dürfte sich daran nichts ändern.

Das Urteil in puncto Messenger bewertet die EU-Kommission hingegen als „wichtigen Schritt“, um Fairness auf digitalen Märkten zu gewährleisten. So müsse Meta weiterhin darauf hinarbeiten, die Interoperabilität zwischen seinem Messenger und anderen vergleichbaren Kommunikationsdiensten sicherzustellen – „ähnlich wie bereits bei WhatsApp“, so der Sprecher.

Regulierung unter Beschuss

Der DMA hat sich seit seinem Start im Jahr 2023 sowohl als wirtschaftlicher als auch geopolitischer Zankapfel erwiesen. Viele dominante Tech-Konzerne stammen aus den USA und sind entsprechend stärker betroffen als etwa europäische Unternehmen. Neben Meta müssen unter anderem Amazon, Apple und Microsoft derart eingestufte Kerndienste für die Konkurrenz öffnen.

Parallel zu etwaigen gerichtlichen Auseinandersetzungen spannen sie die Regierung des US-Präsidenten Donald Trump ein, um auf politischer Ebene gegen den DMA zu lobbyieren. Zuletzt wurde bekannt, dass die EU-Kommission ein eigenes Gremium einrichten will, in dem die USA und die EU „verstärkt“ bei der Regulierung von Tech-Riesen zusammenarbeiten sollen. Das hat wiederholt für Unmut in Brüssel und europäischen Hautstädten gesorgt.

Indes streitet die Kommission ab, europäische Digitalgesetze aufweichen zu wollen. Im Vorjahr verhängte sie erstmals millionenschwere DMA-Geldbußen gegen Meta und Apple, zudem untersucht sie weitere potenzielle Verstöße gegen das Gesetz. In einer ersten Evaluation des Digitalgesetzes zog sie jüngst eine grundsätzlich positive Bilanz.

Ungeachtet dessen läuft ein weiteres DMA-Verfahren vor dem Gerichtshof der Europäischen Union weiter. In dem Fall wehrt sich Bytedance, der Eigentümer des Videodienstes TikTok, ebenfalls gegen eine Einstufung als übermächtiger Gatekeeper. Im Mai fand eine mündliche Verhandlung vor dem Gericht statt, mit einem Urteil wird im Laufe des Jahres gerechnet.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU will die KI-Verordnung aufweichen. Eine erste Einigung sieht nun vor, bestimmte Regulierungen für die Industrie abzuschwächen und zeitlich deutlich nach hinten zu verschieben. Hinzugekommen ist ein Verbot von KI-Anwendungen, mit denen sexualisierte Deepfakes erstellt werden können.

Nachdem die EU-Verhandlungen zum digitalen Omnibus Ende April 2026 vorübergehend geplatzt waren, konnten Rat und Parlament gestern Nacht im Trilog eine vorläufige Einigung erzielen; die Kommission war als Vermittlerin beteiligt.

Die Einigung betrifft die Aufnahme des Verbots von sogenannten KI-Nudifiern in die KI-Verordnung. „Nudifier“ sind Anwendungen, mit deren Hilfe sexualisierte Deepfakes erstellt werden können. Außerdem sollen Auflagen für die Industrie beim Einsatz von risikoreichen KI-Systemen begrenzt sowie zentrale Pflichten aus dem AI Act für Hochrisiko-Systeme deutlich nach hinten verschoben werden – auf Ende 2027 und 2028. Der vorliegende Kompromiss zwischen Rat und Parlament muss noch formal bestätigt werden.

Der Trilog war zuvor an der Frage gescheitert, wie in der Industrie mit der Hochrisiko-Kategorie für KI-Systeme umgegangen werden soll, die bereits durch sektorale Bestimmungen reguliert werden. Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme sollten eigentlich bereits ab dem 2. August 2026 wirksam werden. Der Kompromiss sieht nun vor, dass die Anwendung der KI-Verordnung dort begrenzt wird, wo sektorale Sicherheitsanforderungen vergleichbare KI-Regeln enthalten.

Die EU verabschiedete den AI Act (Verordnung über künstliche Intelligenz) im Mai 2024. Er ordnet KI-Technologie vier abgestuften Risikokategorien zu und regelt Pflichten für die Hersteller und Anbieter von KI-Systemen oder Produkten, die KI-Technologie enthalten. KI-Systeme mit inakzeptablem Risiko können verboten werden.

Die EU-Kommission möchte die Regelungen im Rahmen des sogenannten Digitalen Omnibus jedoch vereinfachen, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Gesetzespaket ist umstritten. Es enthält unter anderem Lockerungen bei der Datenschutzgrundverordnung oder beim Training von KI mit personenbezogenen Daten.

Verbot von KI-„Nudifiern“

Konkret haben sich Parlament und Rat darauf geeinigt, in Zukunft KI-Anwendungen zu verbieten, mit deren Hilfe man sexualisierte Deepfakes erstellen kann. Das Thema wurde zu einem zentralen Vorhaben, nachdem Nutzer*innen mit dem Chatbot Grok Anfang des Jahres binnen weniger Tage Millionen von nicht-einvernehmlichen Deepfakes erstellt hatten.

Bereits Ende März hatte sich das Parlament dafür ausgesprochen, solche KI-Anwendungen zu verbieten. Im Trilog ging es noch um die Details der Formulierung. Das Verbot umfasst jetzt explizit auch das Erstellen von Inhalten, die sexuellen Missbrauch von Kindern zeigen. Zudem soll es untersagt sein, KI-Anwendungen auf den Markt zu bringen, die ohne Zustimmung Deepfakes von “intimen Teilen einer identifizierbaren Person” oder die Person bei sexuellen Handlungen zeigen.

Die geplante Verschärfung ist nicht die erste EU-Regelung zu Deepfakes. Eine andere Richtlinie sieht bereits vor, dass Mitgliedstaaten die Verbreitung von sexualisierten Deepfakes unter Strafe stellen, wenn diese geeignet sind, einer Person schweren Schaden zuzufügen. Deutschland setzt dies mit dem geplanten Gesetz gegen digitale Gewalt derzeit um. Das geplante Verbot in der KI-Verordnung würde den Fokus von der Bestrafung der Täter*innen auf die Anbieter solcher Anwendungen verschieben.

Im geplanten Text steht nun auch die fehlende Zustimmung der gezeigten Personen als definierendes Merkmal. Fachleute forderten das seit langem. Zugleich kritisiert etwa Ana Ornelas von der European Sex Workers’ Rights Alliance (ESWA), die Beschränkung auf „identifizierbare Personen“. Sie fürchtet, dass dies in der Durchsetzung zu Schlupflöchern führen könnte.

Lockerungen und Fristverlängerung für Industrie

Hochrisiko-KI-Systeme in Bereichen wie Beschäftigung, Bildung, Migration, Strafverfolgung oder kritische Infrastruktur sollen Anforderungen aus dem AI Act erst ab dem 2. Dezember 2027 erfüllen müssen. Für KI in Medizinprodukten, Maschinen oder Spielzeug gilt der 2. August 2028. Anbieter von KI-Systemen müssen diese grundsätzlich in der EU-Datenbank für risikoreiche Systeme registrieren – auch wenn sie der Ansicht sind, die Einstufung als risikoreich träfe nicht zu oder sei ausgenommen.

Die Sonderregelung für Maschinenverordnung schwächt nach Meinung des europäischen Verbraucherverbands BEUC den Verbraucherschutz. Konkret kritisiert der Verband, dass Alltagsgeräte wie Industriemaschinen aus der KI-Aufsicht herausfallen würden. Bei deren Versagen könnten Menschen zu Schaden kommen. Der Deal enthält offenbar auch eine Klausel, mit der die EU-Kommission später weitere KI-Systeme ohne neues Gesetzgebungsverfahren aus dem Geltungsbereich des AI Acts herausnehmen kann. Die Kommission erhalte damit eine Hintertür für künftige KI-Deregulierung.

BEUC-Generaldirektor Agustín Reyna meint, der überhastete Prozess habe ein Gesetz hervorgebracht, das komplizierter und weniger wirksam als vorher sei und vor allem der Industrie nutze.

Zumindest an manchen Stellen scheint der Kompromiss strenger. Die EU-Kommission wollte die Verarbeitung sensibler personenbezogener Daten – etwa Angaben, aus denen Ethnie oder Religion hervorgehen können – zur Bias-Erkennung erleichtern. Rat und Parlament begrenzten hier durch striktere Maßstäbe.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Alterskontroll-App der EU- Kommission nutzt ein Verfahren von Google-Entwicklern. IT-Fachleute warnen vor Abhängigkeiten und Datenschutzrisiken – auch mit Blick auf die geplante EUDI-Wallet.

Mit einer Handy-App sollen Menschen in der EU schon bald ihr Alter gegenüber Online-Diensten nachweisen können. Noch gibt es diese App nicht. Die EU-Kommission hat aber Code für Komponenten und Spezifikationen bereitgestellt, aus dem Entwickler:innen eigene Versionen der App bauen und auf den Markt bringen sollen. Die Alterskontroll-App könne ein weltweiter „Goldstandard“ werden, so die Hoffnung der Kommission.

Doch bei der App hat sich die Kommission für ein Verfahren zweier Software-Entwickler entschieden, die für den US-Konzern Google arbeiten. Die Technologie ist Open Source. Doch eine ebenfalls offene Alternative, die seit Jahren gut erforscht und nicht an ein kommerzielles Unternehmen gebunden ist, lehnte die Kommission ab.

Sicherheitsexpert:innen kritisieren die Entscheidung, weil die von der Kommission gewählten Verfahren weniger effizient und risikobehaftet seien. Außerdem fordern sie, Standards zu nutzen, die Abhängigkeiten von einzelnen Anbietern vermeiden. Nur so ließen sich bestimmte Funktionen und ein hohes Datenschutzniveau sicherstellen.

Der datensparsame Null-Wissen-Beweis

Die Alterskontroll-App ist quasi ein Vorläufer der geplanten EUDI-Wallet, die Ende 2026 EU-weit starten soll. Mit der App sollen Nutzer:innen gegenüber Online-Plattformen nachweisen können, dass sie ein bestimmtes Mindestalter erreicht haben.

Um ausschließlich die erforderliche Information – Mindestalter ja oder nein – zu offenbaren, lässt sich ein sogenannter Zero Knowledge Proof (ZKP) nutzen, zu Deutsch: Null-Wissen-Beweis. Das erlaubt eine datensparsame Verifizierung, ohne die zugrundeliegenden Daten der Nutzer:innen wie etwa das genaue Alter preiszugegeben.

Damit die Authentisierung sicher erfolgen kann, braucht es digitale Signaturen. Sie sichern weite Teile des Internets und die meisten digitalen Transaktionen ab, indem sie etwa – vergleichbar mit einer handschriftlichen Unterschrift – mathematisch beweisen, dass eine Nachricht von einem bestimmten Absender stammt.

Beweisen, dass es einen Beweis gibt

Bei der Alterskontroll-App wird das Attribut, das eine Person älter als X Jahre ist, vom sogenannten „Attestation Provider“ signiert. Diese Aufgabe können Banken, Mobilfunkanbieter oder staatliche Behörden übernehmen. Sie bestätigen so als vertrauenswürdige Stelle die Echtheit von Altersbestätigungen digital und geben diese an die App aus.

Allerdings gibt es noch ein Problem zu lösen: Wäre diese Bestätigung, die bei einem Altersnachweis mitgeliefert wird, immer gleich, lassen sich damit verschiedene Nachweisaktionen bei unterschiedlichen Behörden, Händlern oder Plattformen miteinander verknüpfen.

Das sollen „Anonymous Credentials“ verhindern, zu Deutsch: „anonyme Anmeldedaten“. Hier werden bei jeder Altersübermittlung neue, einmalige Beweise erzeugt, die an verschiedene Dienste, die den Nachweis prüfen, weitergegeben werden. Damit belegen Nutzer:innen, dass sie eine gültige Signatur für ihren Altersnachweis haben – ohne den Nachweis selbst oder die Signatur preiszugeben. Dank dieser wechselnden Beweise können die sogenannten Verifier nicht erkennen, dass es sich um dieselbe Person handelt – selbst wenn sie die Beweise untereinander vergleichen.

Zwei konkurrierende kryptografische Verfahren

Damit der Zero Knowledge Proof mit der Alterskontroll-App gelingt, kommen mehrere kryptografische Verfahren für Anonymous Credentials grundsätzlich infrage.

Aus Sicht vieler Kryptografen wäre etwa BBS ein etabliertes Verfahren. Es ist nach den Erfindern Dan Boneh, Xavier Boyen und Hovav Shacham benannt, wurde 2004 entwickelt und 2013 als ISO-Standard aufgenommen. BBS gilt als gut erforscht, ist allerdings bisher kaum im Praxiseinsatz.

Ein alternatives Verfahren baut auf ECDSA-Signaturen auf. Der „Elliptic Curve Digital Signature Algorithm“ ist als kryptografisches Verfahren weit verbreitet. Es wurde allerdings nicht dafür gebaut, um ZKP zu erstellen. Um einen Null-Wissen-Beweis auf Basis einer ECDSA-Signatur erzeugen zu können, braucht es technisch aufwendige Anpassungen. Im Vergleich zu BBS-basierten Verfahren gelten daher ECDSA-basierte Anonymous Credentials in der Fachwelt als langsamer und komplexer.

Kommission hat sich für ECDSA-Signaturen entschieden

Dennoch hat sich die Kommission bei ihrer Alterskontroll-App für ECDSA-basierte Anonymous Credentials entschieden. Laut dem technischen Blaupausen-Dokument hatte die Kommission zuvor fünf Optionen geprüft, drei von ihnen basieren auf BBS. „Unter diesen erscheinen ‚ECDSA Anonymous Credentials’ aufgrund ihrer Kompatibilität mit bestehenden Anmeldeformaten und Ausstellungsabläufen am vielversprechendsten“, schreibt die Kommission.

Anja Lehmann hält das für einen riskanten Ansatz. Sie ist Professorin am Hasso-Plattner-Institut der Universität Potsdam und forscht unter anderem zur datensparsamen Authentisierung in digitalen Wallets. „Nach außen wirkt der ECDSA-basierte Ansatz einfach, gerade weil er kompatibel mit bestehenden Systemen ist“, sagt Lehmann gegenüber netzpolitik.org. „Aber um diese Kompatibilität zu erreichen, braucht man ein kryptographisches Verfahren mit rund 20.000 Zeilen Code.“ Das sei langfristig eine große Herausforderung etwa für die Sicherheit und Standardisierung von kryptografischen Verfahren.

Auch Carmela Troncoso sieht die Entscheidung der Kommission kritisch: „Googles Ansatz ist neu, und obwohl er auf bekannter Kryptografie basiert, ist er noch nicht ausreichend erforscht“, sagt die IT-Sicherheitsexpertin vom Max-Planck-Institut für Sicherheit und Privatsphäre. „BBS ist hingegen eine etablierte Methode, um anonyme Zugangsdaten zu erzeugen, die wissenschaftlich gründlich untersucht wurde. Das ist ihr Hauptvorteil gegenüber Googles Verfahren.“

Beide IT-Sicherheitsfachleute gehören einer internationalen Gruppe von Kryptograf:innen an, die die EU-Kommission bereits im Juni 2024 dafür kritisierte, für die EUDI-Wallet veraltete Verschlüsselungsverfahren einsetzen zu wollen. Das Problem ließe sich nur beheben, wenn grundlegend andere kryptografische Lösungen wie BBS zum Einsatz kommen, lautete damals die Empfehlung der Kryptograf:innen.

Digitale Unabhängigkeit – mit Google?

Aus Sicht von Lehmann und Troncoso sprechen auch organisatorische Gründe gegen das Google-Verfahren. Entscheidet man sich für eine Lösung, die so komplex ist, dass die unterliegende Krypto-Bibliothek nur von sehr wenigen Fachleuten weiterentwickelt werden kann, begebe man sich in eine unnötige Abhängigkeit, warnt Lehmann. „Die Bibliothek bestimmt maßgeblich darüber, welche Funktionalität und welches Datenschutzniveau unterstützt wird“, sagt sie.

Dass die Technologie Open Source ist, verspricht aus Sicht von Carmela Troncoso nicht per se viel mehr Spielraum. „Google entscheidet darüber, was wie authentisiert und wie das angepasst werden kann“, sagt Troncoso. „Will man die hochgradig optimierten ZKP-Bibliotheken verändern, ist besonderes Fachwissen erforderlich, über das derzeit vor allem Google verfügt.“ Daher warnt Troncoso davor, „Google zum Herzen der europäischen Identitätsinfrastruktur zu machen“.

Die Kommission teilt diese Sorge offenkundig nicht. Auf Nachfrage von netzpolitik.org definiert sie digitale Souveränität als „operative Kontrolle“ etwa über Spezifikationen und die rechtlichen Rahmenbedingungen. Die ECDSA-basierten Verfahren erfüllten hier viele Anforderungen: Es gebe Open-Source-Implementierungen, eine unabhängige Sicherheitsüberprüfung durch die Internet Security Research Group und einen Standardisierungsprozess.

Tatsächlich ist ECDSA als Signaturverfahren standardisiert – „allerdings nicht das Anonymous-Credentials-Verfahren, das darauf aufbaut“, ordnet Anja Lehmann ein. Für BBS-Signaturen gebe es bereits seit 2013 einen ISO-Standard und auch eine aktuelle IRTF Standardisierung. Zwar decke der Standard nur ein einzelnes signiertes Attribut ab, eine Erweiterung auf mehrere Attribute sei aus kryptographischer Sicht aber trivial, so die Sicherheitsexpertin.

Mögliche Weichenstellung für die EUDI-Wallet

Ob die EU-Kommission mit ihrer Wahl für Google bei der Alterskontroll-App auch eine Weichenstellung für die EUDI-Wallet gewählt hat, wird sich vermutlich in den kommenden Monaten zeigen.

Eine Entscheidung will die Kommission nach einer Aussage erst dann treffen, wenn die technischen Arbeiten, die fortlaufende Überprüfung durch die European Cybersecurity Certification Group und die Konformitätswerkzeuge vorangeschritten sind. „Es wurde noch kein Termin festgelegt“, so ein Kommissionssprecher gegenüber netzpolitik.org.

Auch einen Vortrag von Paolo De Rosa will die Kommission nicht als Hinweis auf eine vorzeitige Richtungsentscheidung verstehen. De Rosa ist „EUDI-Wallet-CTO“ der EU-Kommission. Ende März präsentierte er gemeinsam mit Abhi Shelat die EUDI-Wallet auf einer IT-Sicherheitskonferenz in San Francisco. Shelat ist Co-Autor des ECDSA-basierten Anonymous-Credentials-Ansatzes und Entwickler bei Google.

Es gehöre zur Arbeitsweise der Kommission, direkt mit Forschenden zusammenzuarbeiten und mit ihnen „auf Augenhöhe“ Vorträge zu halten, schreibt die Kommission.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Laut dem nun vorliegenden Entwurf eines Rahmenabkommens über eine „Grenzpartnerschaft“ mit der Trump-Administration dürfen US-Behörden in EU-Staaten nicht nur Gesichtsbilder, sondern auch Namen, Gesundheitsdaten oder sexuelle Orientierung in Polizeidatenbanken abfragen.

Die Europäische Kommission hat nach Erteilung ihres Verhandlungsmandats im vergangenen Dezember ein Rahmenabkommen mit den USA über eine „Grenzpartnerschaft“ fertig ausgehandelt. Den Entwurf hat die britische Bürgerrechtsorganisation Statewatch veröffentlicht. Demzufolge geht das geplante Abkommen weit über die bislang bekannten US-Forderungen hinaus.

Den Abschluss einer „Enhanced Border Security Partnership“ (EBSP) hatte die US-Regierung bereits 2022 von allen Teilnehmerstaaten des Visa-Waiver-Programms (VWP) verlangt – mit einer Frist bis Ende 2026. Das VWP ermöglicht Staatsangehörigen aus 43 befreundeten Ländern im Rahmen von Kurzaufenthalten bis zu 90 Tagen visafreies Reisen in die USA – und umgekehrt.

Nun knüpft die Regierung in Washington die weitere Teilnahme an dem Programm an den Abschluss der „Grenzpartnerschaft“: Die beteiligten Staaten sollen ihre Polizeidatenbanken für US-Behörden öffnen. Wer sich weigert, verliert den visafreien Status. Das Abkommen soll dem Entwurf zufolge auf dem Prinzip der Gegenseitigkeit beruhen. EU-Mitgliedstaaten sollen also ihrerseits Zugriff auf US-Datenbanken erhalten – sofern sich die US-Regierung nicht dagegen sperrt.

Mehr als Fingerabdrücke und Gesichtsbilder

Im Entwurf für das Rahmenabkommen ist nun auch die Rede davon, die Datenabfrage dazu zu nutzen dass „Personen, die ein echtes Risiko für die öffentliche Sicherheit oder öffentliche Ordnung darstellen“, daran gehindert werden, in den USA „zu verbleiben“. Es geht also auch um Abschiebungen, wie sie derzeit monatlich tausendfach von der brutalen US-Einwanderungsbehörde ICE durchgeführt werden. Ursprünglich hieß es, die „Grenzpartnerschaft“ solle nur bei Einreisen in die USA angewandt werden.
Außerdem galt bislang, dass US-Grenzbehörden nur Zugriff auf Fingerabdrücke und Lichtbilder in Polizeidatenbanken der VWP-Staaten verlangen. Im von der EU-Kommission ausgehandelten Entwurf steht darüber hinaus, dass auch „alphanumerische Daten zur Identifizierung einer Person, wie Vorname, Nachname und Geburtsdatum“ abgefragt werden können.

Kommt es bei einer Anfrage zu einem Treffer, darf die angefragte Behörde – in Deutschland etwa das Bundeskriminalamt – ihrerseits nachfragen, was das Interesse an der Person ausgelöst hat und alle „bei der anfragenden zuständigen Behörde verfügbaren alphanumerischen und kontextuellen Daten zu derselben Person anfordern“.

Weitergabe an Drittstaaten möglich

Unter bestimmten Bedingungen dürfen laut Entwurf auch besonders sensible Kategorien personenbezogener Daten übermittelt werden, darunter Informationen zu „rassischer oder ethnischer Herkunft, politischen Ansichten oder religiösen oder sonstigen Überzeugungen, Gewerkschaftszugehörigkeit“ sowie Angaben zu „Gesundheit oder Sexualleben“.

Der Entwurf erlaubt sogar die Weitergabe empfangener Daten an Behörden in Drittstaaten oder internationale Organisationen – allerdings nur mit vorheriger Zustimmung der übermittelnden Behörde. Welche Drittstaaten konkret gemeint sein könnten, lässt der Entwurf offen. In Betracht kämen neben Interpol auch enge Verbündete der USA, etwa Großbritannien oder andere Staaten des Commonwealth sowie Israel, das eigene Abkommen zum Datentausch mit den USA geschlossen hat.

In Deutschland wären Millionen Datensätze betroffen

Angaben zu den abfrageberechtigten Behörden – auf US-Seite kämen vor allem der Zoll- und Grenzschutz (Customs and Border Protection, CBP) sowie ICE in Frage – enthält der nun veröffentlichte Rahmenentwurf nicht. Das soll jeweils in bilateralen Umsetzungsabkommen geregelt werden, die jeder betroffene Staat separat mit Washington schließen muss.

In Deutschland beträfe dies wohl die INPOL-Datenbank aller Polizeien des Bundes und der Länder, die derzeit Fotos und Fingerabdrücke von 5,4 Millionen Personen enthält – darunter mehr als die Hälfte Asylsuchende. Selbst innerhalb der EU gibt es bislang keinen gegenseitigen Direktzugriff auf derartig umfangreiche Informationssysteme einzelner Mitgliedstaaten – das geplante Abkommen mit den USA ist deshalb besonders intrusiv.

Das Rahmenabkommen regelt auch den Einsatz von Software zur Erstellung von Prognosen aus den abgefragten Datensätzen. Zwar sollen Entscheidungen mit „erheblichen nachteiligen Auswirkungen“ nicht ausschließlich automatisiert erfolgen, sondern stets mit „menschlicher Beteiligung“. Vollautomatische Entscheidungen sind aber erlaubt, wenn dies „nach dem jeweiligen Rechtsrahmen der Vertragsparteien zulässig“ ist. In der EU wäre dies nach der KI-Verordnung ausgeschlossen, in den USA gibt es einen vergleichbaren Rechtsakt nicht.

Eingeschränkte Rechte für Betroffene

Der Entwurf enthält auch Vorgaben zur Protokollierung für „Prüftätigkeiten“ unter anderem von Datenschutzbehörden. Das Abkommen sieht außerdem vor, dass betroffene Personen Auskunft über ihre gespeicherten Daten sowie deren Berichtigung oder Löschung beantragen können.

Diese Rechte stehen jedoch unter Einschränkungsvorbehalt: Verwehrt werden darf der Zugang unter anderem aus Gründen der nationalen Sicherheit, zum Schutz laufender Ermittlungen oder zur Strafverfolgung.

Den Entwurf des Rahmenabkommens werden die EU-Innen- und Justizminister*innen auf einer ihrer kommenden Sitzungen beraten. Nach derzeitigem Stand wird das Parlament daran nicht beteiligt. Die endgültige Entscheidung über den Abschluss wird dann im Rat der Europäischen Union von den 27 Mitgliedstaaten getroffen. Ob dies noch vor der Sommerpause erfolgt, ist unklar. Auch die US-Regierung muss ihre Zustimmung zu dem Entwurf geben. Bis zur Deadline am 31. Dezember 2026 könnte es dann in Kraft treten.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU will unter hohem Zeitdruck ihre Regeln für Künstliche Intelligenz aufweichen. Nun sind eigentlich abschließende Verhandlungen gescheitert. Alle Beteiligten machen sich gegenseitig Vorwürfe, am Ende könnten Regeln zum besseren Schutz vor KI-generierten Nacktbildern unter die Räder geraten.

Die EU-Institutionen können sich weiter nicht auf eine abgeschwächte Fassung der KI-Verordnung einigen. Medienberichten zufolge sind gut zwölfstündige Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Kommission am Dienstag gescheitert.

Ein zentraler Streitpunkt war offenbar eine vorgeschlagene Ausnahme für risikoreiche KI-Systeme in der Industrie, wie Table Media [€] berichtet. Das Parlament hatte demzufolge vorgeschlagen, die sektorspezifischen Regelungen zu ändern: Industriemaschinen sollten demnach aus der Hochrisiko‑Kategorie herausfallen. Entscheidend für eine Einstufung als Hochrisiko sollte stattdessen die tatsächliche Sicherheitsfunktion der KI werden. Rat und Parlament sind sich in dieser Frage jedoch uneins.

Gestritten wurde dem Bericht zufolge zudem über ein Verbot sogenannte „Nudifier“-Anwendungen. Das sind generative KI‑Systeme, die Menschen auf Foto- oder Videomaterial entkleiden können. Das Parlament möchte nicht‑einvernehmliche intime Inhalte verhindern, es konnte jedoch keine Einigung darüber erzielt werden, welche Körperteile darunterfallen.

Das kritisiert unter anderem Eva Lejla Podgoršek, Senior Policy Managerin bei AlgorithmWatch. Es sei wichtig, „dass die wenigen guten Vorschläge nicht unter die Räder geraten.“ Das geplante Verbot von KI-Systemen, die nicht einvernehmliche sexualisierende Deepfakes ermöglichen, sei ein wichtiger Baustein, um Betroffene wirksam zu schützen.

Wenn drei sich streiten, freut sich niemand

Die Anpassungen der bereits im August 2024 in Kraft getretenen KI-Verordnung sollen im Rahmen des sogenannten Digitalen Omnibus erfolgen. Mit dem von der EU-Kommission vorgeschlagenen Gesetzespaket sollen Vorschriften im digitalen Sektor vereinfacht werden, um bürokratische Hürden für Unternehmen abzubauen und Europas Wettbewerbsfähigkeit zu steigern. Das Paket ist jedoch umstritten. Es enthält auch Lockerungen der Datenschutzgrundverordnung, etwa beim Training von KI mit personenbezogenen Daten oder einer Neudefinition personenbezogener Daten.

Während die Verhandlungen über den Daten-Omnibus sich offenbar länger hinziehen, machten die Beratungen über den KI-Omnibus schnell Fortschritte. Die Zeit drängt: Zentrale Pflichten des AI Acts für besonders risikoreiche KI-Systeme werden ab dem 2. August 2026 wirksam. Diese Fristen sollen mit dem Omnibus aufgeschoben werden. Gestern sind die finalen Verhandlungen allerdings bereits zum zweiten Mal geplatzt.

Laut Table Briefings sieht die zypriotische Ratspräsidentschaft keine Schuld bei sich: „Wir sind mit einer sehr konstruktiven Haltung in die heutige Sitzung gegangen und haben konkrete Vorschläge zur Lösungsfindung unterbreitet“. Man habe während der Verhandlungen ein hohes Maß an Flexibilität gezeigt, aber keine Einigung mit dem Europäischen Parlament erzielen können. Das Ziel der Vereinfachung werde jedoch weiterhin verfolgt.

Stimmen aus dem Parlament sehen dies anders. Es sei „inakzeptabel, dass die Ratspräsidentschaft nicht bereit war, einen substanziellen Kompromiss zu machen, um die Überregulierung von KI zu beenden“, sagte die Europaabgeordnete Svenja Hahn (FDP). Michael McNamara (parteilos), Verhandlungsführer für das EU-Parlament, räumte in einem Interview mit Tech Policy Press jedoch selbst ein, dass die vorgeschlagene Verlagerung in sektorale Gesetze „eher zu Deregulierung als zu einer Vereinfachung führen könnte“.

Schwere Vorwürfe kommen von den Grünen im EU-Parlament, insbesondere gegenüber deutschen Konservativen, wie Euractiv berichtet. Sie werfen der Europäischen Volkspartei vor, das Omnibus-Gesetz bewusst zu verzögern und dabei auch die Hilfe von rechtsextremen Parteien im Parlament in Anspruch zu nehmen. Merz wolle noch weitergehende Lockerungen der KI-Regeln, als sie derzeit verhandelt würden. Das wiederholte Scheitern lassen der Verhandlungen sei ein Schachzug, um Zeit zu gewinnen und so die Positionen der EU-Mitgliedstaaten zu beeinflussen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Soziale Netzwerke und ihre auf Überwachung und Personalisierung basierenden Geschäftsmodelle schaffen Anreize, die letztlich die Demokratie gefährden. Für die EU ist es höchste Zeit, dem etwas entgegenzusetzen, fordert eine umfassende Studie der Forschungsabteilung der EU-Kommission.

Es ist schon eine Ansage: Die EU sollte in ihrem Streben nach digitaler Souveränität neue Geschäftsmodelle im digitalen Raum entwickeln, die besser mit der Demokratie vereinbar sind. Zu diesem Schluss kommt eine neue Studie der Gemeinsamen Forschungsstelle der EU-Kommission.

Der Titel der englischsprachigen Studie ist so alarmierend wie programmatisch: „Fractured reality – How democracy can win the global struggle over the information space“ (auf Deutsch: „Zersplitterte Realität – Wie die Demokratie den globalen Kampf um den Informationsraum gewinnen kann“). Verfasst haben sie ein Dutzend renommierter Forscher:innen zu dem Thema, darunter die Hauptautoren, der Kognitionspsychologe Stephan Lewandowsky und der Verhaltensforscher Mario Scharfbillig.

Aufmerksamkeitsökonomie unter der Lupe

In der heutigen „Aufmerksamkeitsökonomie“ ist die Zeit und Aufnahmefähigkeit von Menschen begrenzt, schreiben die Autor:innen. Viele Online-Dienste, insbesondere soziale Medien, kämpfen geschickt um das kostbare Gut: Sie haben ihre personalisierten Produkte so gestaltet, dass Nutzer:innen möglichst lange auf ihrem Dienst bleiben. Dann können sie ihnen möglichst viele und passgenaue Werbeanzeigen einblenden.

Dies begünstige „strukturell – wenn auch unbeabsichtigt – Inhalte, die die Demokratie bedrohen, da die menschliche Aufmerksamkeit Informationen bevorzugt, die negativ, emotional und konfliktgeladen sind“, heißt es in der Studie. Zudem würden die Dienste den Weg zu Echokammern ebnen. In diesen würden sich Menschen gegenseitig unwidersprochen ihre Ansichten bestätigen.

Grundsätzlich neu sei dieses Phänomen zwar nicht, jedoch ermögliche Technologie eine zuvor ungekannte Vielfalt und Fragmentierung von Wahrnehmungen der Realität. Dies sei ein Problem: „Demokratische Institutionen und die Demokratie selbst können ohne ein gewisses Maß an gemeinsamer Realität nicht überleben.“

Wenn sich soziale Medien nun zunehmend zu einer wichtigen Informationsquelle entwickeln und sich strukturell bedingt Informationen minderwertiger Qualität schneller verbreiten, öffnet das die Tür für Falschnachrichten, ob unbeabsichtigt (Misinformation) oder bewusst gestreut (Desinformation). Inzwischen habe sich das Phänomen jedoch gewandelt: Es gehe nicht mehr darum, konkrete Behauptungen aufzustellen oder anzufechten, sondern darum, den Informationsraum zu überfluten („flooding the zone“).

Dominanter Fantasie-Industrie-Komplex

Während Informationsmanipulation früher auf „systematischen Lügen“ basierte, setze sich die heutige Situation aus einer Mischung aus Desinformation, Täuschung, irreführenden Informationen und wahren Kernen zusammen. Die Autor:innen beschreiben dies als „Fantasie-Industrie-Komplex“, der sich selbst organisiere und lose koordiniert sei.

Ziel der Informationsmanipulation sei es heute oft nicht, Menschen von bestimmten falschen Behauptungen zu überzeugen, sondern „abzulenken, Misstrauen zu schüren und antidemokratische Normen, autoritäre Instinkte und Verhaltensweisen zu aktivieren“. Dies sei ein systemisches Problem, betonen die Autor:innen. „Einzelpersonen für Fehlinformationen verantwortlich zu machen, verkennt die eigentliche Ursache.“

Mit diesem „Fantasie-Industrie-Komplex“ ist eine der Ko-Autor:innen allzu gut vertraut. Als Studentin hatte die heute an der Georgetown University lehrende Desinformationsforscherin Renée DiResta ein Praktikum beim US-Geheimdienst CIA absolviert. Daraus drehten ihr rechte und rechtsextreme US-Influencer:innen einen Strick: Unter anderem Elon Musk nutzte seinen Einfluss sowie die Tatsache, den Kurznachrichtendienst X zu besitzen, um mit vermeintlichen Enthüllungen über einen „Zensur-Industrie-Komplex“ politisch Stimmung zu machen.

Im Zentrum der Auseinandersetzung fand sich DiResta wieder. In einschlägigen Ecken des Internets als „CIA Renee“ verunglimpft, ging es ihren Widersacher:innen vor allem darum, ihre Glaubwürdigkeit und in weiterer Folge die des Stanford Internet Observatory (SIO) zu beschädigen. Zu dieser Zeit forschte DiResta dort zu Desinformation und landete im Visier von US-Republikanern. Denen gefiel nicht, dass das SIO ihre oft auf Lügen basierende Wahlkampftaktik offenlegte.

Republikaner hacken Forschung kurz und klein

Der konzertierte Angriff auf das SIO und eine Reihe anderer vergleichbarer Institute, der auch aus Anhörungen im republikanischen Repräsentantenhaus bestand, hatte schließlich Erfolg. Verträge wurden nicht verlängert, das Budget gekürzt, im Jahr 2024 machte die Stanford University das SIO ganz dicht – gerade noch rechtzeitig vor den US-Präsidentschaftswahlen im Herbst.

Auf den Druck von rechts reagierten neben US-Universitäten auch einige prominente soziale Netzwerke: Meta kündigte etwa öffentlichkeitswirksam an, zeitgleich zum Amtsantritt Donald Trumps seine Moderationsregeln auf Facebook und Instagram zurückzuschrauben. Im Sommer darauf zog auch YouTube still und heimlich nach. Solange Falschinformationen rund um Themen wie Impfungen, Minderheiten oder Wahlbetrug im „öffentlichen Interesse“ stehen, bleiben sie auf dem größten Video-Streamingportal der Welt unmoderiert stehen.

Vor dieser von der Realität weitgehend losgelösten Entwicklung warnen die Autor:innen der EU-Studie. „Demokratie braucht einen gesunden Informationsraum, der ausreichend genaue und überprüfbare Informationen enthält, eine politische Vielfalt an Meinungen und Stimmen zulässt, breit gefächerte Besitzverhältnisse im Medienbereich umfasst sowie ein geringes Maß an schädlichen Inhalten und Fehlinformationen aufweist, wenn wir ein gewisses Realitätsgefühl erhalten wollen“.

Abkehr von der Aufmerksamkeitsökonomie

Um dem etwas entgegenzusetzen, bringen die Autor:innen konkrete Empfehlungen mit. Zuvorderst müssten wir alternative öffentliche Räume schaffen, sowohl online als auch offline, die nicht von der Aufmerksamkeitsökonomie abhängen. Wir sollten uns auch vom Erfolg crowd-basierter und dezentraler Ansätze wie jenem der Online-Enzyklopädie Wikipedia inspirieren lassen.

Nutzer:innen sollten zugleich mehr Autonomie erhalten, etwa mit einer Verbesserung des Plattformdesigns durch Erkenntnisse aus der Verhaltensforschung. Beispielsweise durch Abkühlphasen – etwas, was der anstehende Digital Fairness Act der EU durchaus auf dem Schirm hat.

Verbesserungsmöglichkeiten macht die Studie auch bei Faktenchecks aus. Selbst wenn diese stattfinden, erreichen sie oft ihr Zielpublikum nicht. Das ließe sich durch angepasste Ausspiel-Mechanismen verändern. Zudem sollten ausgewiesene Verbreiter:innen von Falschinformationen demonetarisiert werden: „Solange Desinformation profitabel ist, wird sie nicht verschwinden“.

Indes weisen die Autor:innen darauf hin, dass keine dieser Maßnahmen ausreiche, wenn keine Alternativen zu den derzeitigen Geschäftsmodellen entstehen, die auf „Engagement“ basierten. Als Alternativen stellen sie unter anderem Abo-Modelle in den Raum, eine Besteuerung digitaler Werbeanzeigen, oder auch Gebühren für Online-Dienste, die besonders viel Falschinformationen verbreiten. Helfen könnten auch Auflagen zu Interoperabilität, mit der Nutzer:innen ihre Daten möglichst einfach von einem Anbieter zu einem anderen mitnehmen und umziehen könnten.

Papiertiger ohne europäische Alternativen

Bleibt aber immer noch das Problem, dass die meisten großen Online-Dienste derzeit nicht aus Europa stammen. Forschungsergebnisse deuten der EU-Studie zufolge darauf hin, dass Algorithmen von Plattformbetreibern zu deren Gunsten instrumentalisiert werden – was sich wohl am deutlichsten an dem zur rechten Propagandaplattform umgebauten X ablesen lässt.

„Die Informationsdiät der Europäer liegt somit in den Händen ausländischer Akteure, die möglicherweise nicht die europäischen demokratischen Werte teilen“, warnen die Autor:innen. Trotz der vorangegangenen Empfehlungen lassen sich diese Werte ohne digitale Souveränität und Autonomie der EU nicht vollständig schützen, schreiben sie.

Dabei dürfe die EU jedoch nicht in offenkundige Fallen tappen, warnt die Studie: „Es besteht derzeit die Gefahr, dass ein verstärktes Streben nach digitaler Souveränität auf Technologieebene die Chance auf einen besseren demokratischen Rahmen verspielt und ähnliche Probleme in Europa wiederholt, insbesondere wenn Geschäftsmodelle nicht mit demokratischen Prinzipien vereinbar sind.“

Mit demokratischen Modellen experimentieren

Um die Stellung der EU im digitalen Raum zu stärken, sollte Europa in dezentrale System wie Atmosphere, Fediverse, Mastodon oder Eurosky investieren und zugleich eine europäische Cloud-Infrastruktur samt ausreichender Rechenkapazität schaffen. Damit ließe sich die Macht ausländischer Unternehmen schwächen, während die alternativen Dienste „demokratische Modelle in Echtzeit“ erforschen könnten. Neben finanzieller Förderung solcher Ansätze könnten etwa Verpflichtungen für öffentliche Einrichtungen und Behörden, die entstehenden Online-Dienste zu nutzen, anstatt auf X und Co. zu verharren, deren Attraktivität steigern.

Darüber hinaus sollte die EU bei der Forschung keine Kompromisse machen. „Das rasante Tempo des Wandels stellt die Forschung vor die Herausforderung, Schritt zu halten und Auswirkungen zu untersuchen, zumal Plattformdaten größtenteils privat bleiben“, heißt es in der Studie. Den im Digital Services Act (DSA) enthaltenen Zugang für die Wissenschaft, der bis heute noch nicht so recht vollständig umgesetzt ist, geht den Autor:innen augenscheinlich nicht weit genug.

Angesichts des Bedarfs an schnellerer Forschung und Evaluierung digitaler Strategien sei ein europäisches „CERN für Daten und Demokratie“ erforderlich, um die in Europa fragmentierten Kapazitäten für die kontinuierliche Plattformforschung im industriellen Maßstab zu bündeln. Trotz ihrer globalen Vorreiterrolle bei der Digitalregulierung sollte sich die EU lieber beeilen: „Ein globaler Innovationswettlauf ohne Berücksichtigung seiner gesellschaftlichen Folgen könnte die Fähigkeit der Gesellschaften überfordern, diese Veränderungen friedlich zu bewältigen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit der finnischen EU-Abgeordneten Aura Salla soll eine ehemalige Meta-Lobbyistin maßgeblich am geplanten digitalen Regulierungsabbau in der EU mitwirken. Nun fordern mehrere Nichtregierungsorganisationen ihre Abberufung als Chef-Verhandlerin des EU-Parlaments.

Die finnische EU-Abgeordnete Aura Salla ist in Brüssel bestens vernetzt. Vor ihrer Zeit im EU-Parlament war die konservative Politikerin dort Chef-Lobbyistin von Meta. Davor hatte Salla diverse Positionen in der EU-Kommission bekleidet, unter anderem war sie im Kabinett des damaligen Vize-Präsidenten Jyrki Katainen tätig.

Von der Politik in die Privatwirtschaft und wieder zurück: Das als „Revolving Door“ bekannte Phänomen sorgt immer wieder für Probleme, da es schnell zu Interessenskonflikten führt. Zumindest auf dem Papier ist die EU dagegen gewappnet: Ein detailliertes Regelwerk soll verhindern, dass Beamt:innen nahtlos von einer Rolle in die nächste schlüpfen und dabei etwa Kontakte und Wissen mitnehmen, das sie im neuen Job eigentlich nicht haben sollten.

Für Aura Salla könnte es deshalb nun eng werden. Eine Reihe zivilgesellschaftlicher Organisationen, darunter Corporate Europe Observatory (CEO), LobbyControl und Transparency International EU fordern in einem heute veröffentlichten offenen Brief an den Industrieausschuss (ITRE) im EU-Parlament, Salla von ihrer Rolle als Berichterstatterin für den sogenannten Digitalen Omnibus abzuberufen.

Unter diesem Begriff verhandelt die EU derzeit ein Gesetzespaket, mit dem die Digitalregulierung überarbeitet und entschlackt werden soll. Ziel sind vereinfachte Regeln, um die Wettbewerbsfähigkeit Europas zu verbessern. Kritiker:innen weisen darauf hin, dass mit dem Regulierungsabbau unter anderem das Datenschutzniveau empfindlich abgesenkt würde. Als eine der Berichterstatterinnen – und damit Verhandlungsführerinnen – des EU-Parlaments hätte Aura Salla dabei viel Einfluss auf das fertige Gesetz.

Ehemalige Meta-Lobbyistin mischt kräftig mit

„Die Ernennung einer ehemaligen Big-Tech-Lobbyistin, um Digitalgesetze zu überarbeiten und zu schwächen, wirft schwerwiegende Fragen hinsichtlich unzulässiger Einflussnahme auf den Gesetzgebungsprozess auf“, so die NGOs in ihrem Schreiben. Gerade Meta, zu dem Facebook, Instagram und WhatsApp gehören, steht bekanntlich mit Vorgaben wie jenen zum Datenschutz auf Kriegsfuß. Rund 2,5 Milliarden Euro an Geldbußen wurden dem Datenkonzern wegen wiederholter Vergehen in der EU auferlegt.

„Das Unternehmen hat ein starkes Interesse daran, die Datenschutz-Grundverordnung (DSGVO) durch den Digitalen Omnibus zu schwächen, und kann seine engen Verbindungen zu Frau Salla nutzen, um dies zu erreichen“, warnen die NGOs. Tatsächlich habe sich Salla als Abgeordnete bereits mehrfach mit ihrem ehemaligen Arbeitgeber getroffen, unter anderem bei einem Lobbytreffen im September 2024 und einem weiteren im Januar 2025.

Bereits jetzt lässt sich am Omnibus-Entwurf der Kommission der Einfluss der Wirtschaft ablesen, wie eine gemeinsame Analyse von CEO und LobbyControl im Januar ergeben hatte. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge durchziehen den gesamten Entwurf, der in der Leseart der NGOs einen „beispiellosen Angriff auf digitale Rechte“ darstellt. Zudem lese sich der Vorschlag wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, anstatt europäische Unternehmen zu stärken.

Voll auf Deregulierungslinie

Ähnliche Positionen wie die Tech-Konzerne vertritt auch Aura Salla. Die zur konservativen EVP-Fraktion gehörende Politikerin warnte etwa vor einem „Regulierungs-Tsunami“, fürchtet Überregulierung durch Gesetze wie den Digital Services Act und möchte Tech-Konzernen erlauben, Verkehrs- und Metadaten ihrer Nutzer:innen möglichst ungehindert zum Trainieren ihrer KI-Systeme verwenden zu können.

Nach ihrer Bestellung zur Berichterstatterin zeigte Salla auf, in welche Richtung sie den Digitalen Omnibus lenken will: „Jahrelang konzentrierte sich die EU auf die Regulierung ihrer eigenen Unternehmen, während China und die USA in Wachstum und technologische Entwicklung investierten. Das endlose Klicken durch Cookie-Einstellungen und die sich überschneidenden und unklaren Regeln für Unternehmen haben das Internet nicht sicherer gemacht, sondern das Wachstum europäischer Unternehmen gebremst. Europäische Unternehmen müssen endlich Priorität haben“, schrieb sie in einer Pressemitteilung.

Zugleich sieht Salla die EU nicht notwendigerweise in der Verantwortung: „Big Tech sollte in ihren Heimatkontinenten reguliert werden“, sagte sie Ende 2024 dem Magazin Wired. In vielen Fällen wären das die USA, so Salla – ein Land, das traditionell reichlich wenig von Regulierung hält, erst recht unter Präsident Donald Trump und seinen Tech-Oligarchen wie Mark Zuckerberg im Schlepptau. Indes schlägt Salla „Maßnahmen wie Zölle, Datenpreismechanismen oder eine Digitalsteuer für Unternehmen außerhalb der EU“ vor. Diese Ansätze dürften jedoch kaum im Digitalen Omnibus verhandelt werden.

Halb verdeckte Interessenkonflikte

Ein ungünstiges Licht auf Salla werfe zudem ihre Tendenz, „wiederholt potenzielle Interessenkonflikte zu verschleiern“, kritisieren die NGOs. So hatte sie etwa nicht offengelegt, Anteile an Rüstungsbetrieben zu halten, obwohl diese Transparenz EU-Abgeordneten ausdrücklich vorgeschrieben ist. Erst Berichterstattung des Online-Mediums Follow the Money hat sie letztlich gezwungen, ihre Aktien zu verkaufen.

Auch als Omnibus-Berichterstatterin sieht Salla keine Interessenskonflikte. In ihrer offiziellen Erklärung hierzu – eine Pflicht für Berichterstatter:innen – hat sie im Februar die einschlägige Frage verneint. Aus Sicht der NGOs verstößt sie damit gegen die Transparenzregeln, die für Abgeordnete gelten.

Auf Anfrage weist Salla die Vorwürfe zurück. Ab ihrem Eintritt in den Mutterschutz im Februar 2023 habe sie nicht mehr für Meta gearbeitet und seit ihrem endgültigen Abschied im Mai 2023 auch kein Geld bekommen, sagt Salla zu netzpolitik.org:„Selbstverständlich habe ich seit meinem Ausscheiden keine Zahlungen mehr von dem Unternehmen erhalten“. Im Zusammenhang mit der Berichterstatterrolle „habe ich keine laufende berufliche Tätigkeit, keine finanziellen Interessen und keine persönlichen Interessen, die einen Interessenkonflikt darstellen könnten“, sagt Salla.

Als Berichterstatterin wolle sie dem europäischen öffentlichen Interesse dienen und die Wettbewerbsfähigkeit Europas stärken, so die Abgeordnete. „Ich habe meine Ansichten zur Notwendigkeit der technologischen Souveränität der EU, zur Beseitigung der Abhängigkeit von amerikanischen Technologiekonzernen und zur Förderung europäischer Alternativen stets deutlich zum Ausdruck gebracht“, sagt die Finnin.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es ist das erste Signal des Rates im Ringen um den sogenannten Datenomnibus: In einem ersten Positionierungsentwurf stellen sich die Mitgliedstaaten gegen mehrere Vorschläge der EU-Kommission, die von Datenschutz-Expert:innen kritisiert worden waren. Wir veröffentlichen den Zwischenstand.

Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.

Industrieverbänden geht dieser nicht weit genug, zivilgesellschaftlichen Organisationen und Datenschützer:innen zu weit.

Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.

Keine Neudefinition personenbezogener Daten

Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.

Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.

Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.

Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.

Wo steht Deutschland?

Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.

Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch sind. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.

Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.

Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat X ein Bußgeld auferlegt, weil der Datenzugang, den die Plattform Forschenden zur Verfügung stellt, nicht DSA-konform ist. Die Urteilsbegründung ist bemerkenswert: Forschung wird darin nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Im Dezember vergangenen Jahres hat die Europäische Kommission erstmals ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei unter anderem zu dem Ergebnis, dass das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, nicht DSA-konform ist. Die Kommission verhängte eine Strafe von 120 Millionen Euro; X hat bis Anfang März Zeit, seine Plattform anzupassen. Der DSA ist das zentrale EU-Gesetz zur Regulierung großer Online-Plattformen und soll unter anderem Transparenz schaffen, Risiken für die öffentliche Meinungsbildung begrenzen und Forschung zu diesen Risiken ermöglichen.

Inzwischen liegt die Begründung der Kommissionsentscheidung vor. Am 28. Januar veröffentlichte der von Republikanern geführte Justizausschuss des US-Repräsentantenhauses ein Dokument der Europäischen Kommission, das die Gründe für ihre Entscheidung gegen X im Dezember darlegt. Es zeigt, wie die EU den DSA konkret durchsetzen will – und welche Rolle Datenzugang und wissenschaftliche Evidenz dabei spielen.

Die politisch motivierte Veröffentlichung und Einordnung durch den Justizausschuss, der im DSA vor allem europäische Zensurabsichten sieht, sind zwar fragwürdig. Sie ändern aber nichts an der inhaltlichen Bedeutung der Begründung selbst. Ein zentraler Bestandteil der Begründung betrifft Versäumnisse beim Gewähren von Datenzugang für Forschende nach Artikel 40(12) DSA. Dieser Datenzugang soll es ermöglichen, systemische Risiken für die EU zu erforschen – etwa Desinformation oder süchtigmachende Plattform-Designs.

Dass Plattformen diesen Zugang bislang häufig nicht freiwillig gewährten, war einer der Gründe für die Einführung des DSA. Aus dem Urteil liest sich, dass X nur knapp fünf Prozent der Anfragen von Wissenschaftler:innen genehmigt hat. Es handelt sich hier also um ein strukturelles Problem.

Enge Auslegung und Verzögerungstaktiken sind unzulässig

Die EU-Kommission stellt unmissverständlich klar, dass Plattformen das gesetzlich verankerte Recht auf Datenzugang nicht in ein von ihnen kontrolliertes Privileg umdeuten dürfen. X hatte Anträge systematisch abgelehnt, wenn Forschende nicht zweifelsfrei nachweisen konnten, dass die beantragten Daten ausschließlich der Erforschung systemischer Risiken dienen. Diese enge Auslegung widerspricht laut Kommission dem Zweck des Gesetzes. Forschende müssen nicht beweisen, dass man aus „Mehl, Butter und Eiern nur einen einzigen Kuchen backen kann“.

Erstmals wird zudem konkretisiert, was als unzulässige Verzögerung gilt: Eine Bearbeitungszeit von mehr als zwei Monaten ordnet die Kommission ausdrücklich als „undue delay“ ein – also als unerlaubteVerzögerung. Damit erhalten Forschende erstmals eine belastbare rechtliche Orientierung. Auch der Versuch, Datenzugang an Kosten, institutionelle Zugehörigkeit oder einen EU-Standort zu knüpfen, weist die Europäische Kommission zurück.

Scraping ist zulässig – auch ohne Plattformgenehmigung

Eine weitere wegweisende Klarstellung betrifft das Scraping, also das automatisierte Auslesen öffentlich zugänglicher Inhalte. Diese Zugangsform ist zentral, um Plattformdaten auch ohne Mitwirkung der Anbieter zu erheben und von Plattformen bereitgestellte Daten überprüfen zu können.

Die Kommission stellt klar, dass Forschenden dieses Recht zusteht, sofern sie die Kriterien aus Artikel 40(12) und 40(8) DSA erfüllen: Forschung zu systemischen Risiken, kein kommerzielles Interesse, transparenter Umgang mit Finanzierung und nachweisbare Datenschutz- sowie Sicherheitsmaßnahmen.

Plattformen dürfen Scraping nicht pauschal über ihre Nutzungsbedingungen untersagen, und eine vorherige Genehmigung ist nicht erforderlich – gerade weil hier die Gefahr eines „undue delay“ besteht.

Evidenz aus der Forschung hat Beweiswert

Besonders bemerkenswert ist, wie die Kommission mit der Frage der Evidenz umgeht. Sie weist die Vorstellung zurück, der Beweiswert müsse an akademische Seniorität, große Stichproben oder klassische Peer-Review-Formate gebunden sein. Entscheidend seien stattdessen methodische Sorgfalt und faktische Relevanz für den konkreten Fall.

In diesem Zusammenhang verweist die Begründung mehrfach auf den vom DSA40 Data Access Collaboratory am Weizenbaum-Institut betriebenen Data Access Tracker. Obwohl die Daten aus der wissenschaftlichen Community gesammelt wurden und keine Zufallsstichprobe darstellen, attestiert die Kommission der Erhebung ausdrücklich Beweiswert im juristischen Sinne. Auch ein von X kritisierter Preprint – ein noch nicht begutachteter Forschungsartikel – wird als relevante Evidenz anerkannt, nicht zuletzt, weil er später peer-reviewed veröffentlicht wurde.

Methodisch nachvollziehbare Forschung wird hier selbst zur Grundlage regulatorischer Durchsetzung.

Relevanz nicht nur für X

Politisch ist die Begründung der Kommission damit weit mehr als eine Einzelfallentscheidung gegen X. Sie markiert einen Meilenstein in der Durchsetzung des Digital Services Act: Forschung wird nicht länger nur als Beobachterin von Plattformmacht verstanden, sondern als aktiver Bestandteil regulatorischer Kontrolle.

Indem die Kommission methodisch nachvollziehbare Forschung ausdrücklich als rechtlich relevante Evidenz anerkennt und Plattformen klare Grenzen bei Verzögerung, Kosten und Zugangsbeschränkungen setzt, verschiebt sich das Machtgefüge zugunsten von Öffentlichkeit und Wissenschaft. Ob diese Standards künftig konsequent durchgesetzt werden und möglichen Klagen der Plattformen standhalten, wird entscheidend dafür sein, ob der DSA sein zentrales Versprechen einlösen kann: Plattformregulierung nicht nur auf dem Papier, sondern auf Basis überprüfbarer Beweise.

Dass diese Prinzipien nicht nur abstrakt gelten, sondern praktisch durchsetzbar sind, zeigt der jüngste Erfolg von Democracy Reporting International gegen X. Gerichte bestätigen zunehmend, dass Forschende ihren Anspruch auf Datenzugang aktiv einklagen können – und damit eine zentrale Rolle bei der demokratischen Kontrolle von Plattformen einnehmen.

Dr. Jakob Ohme leitet die Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und untersucht dort die Rolle des digitalen Journalismus im Spannungsfeld von Influencern und Künstlicher Intelligenz. Er ist zudem Co-Principal Investigator im #DSA40 Collaboratory und arbeitet dort an kooperativen Modellen für den Zugang zu Plattformdaten im Rahmen des Digital Services Act der EU. LK Seiling ist Plattformforscher in der Forschungsgruppe „Digital News Dynamics“ am Weizenbaum-Institut und koordiniert die Arbeit des #DSA40 Collaboratory als Experte für Forschungsdatenzugang.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Nach Temu ermittelt die EU-Kommission nun auch gegen einen zweiten Online-Händler aus China. Die Fast-Fashion-Plattform Shein unternimmt vermutlich zu wenig gegen die Risiken, denen sie ihre Nutzer*innen aussetzt. Zur Debatte stehen gleich mehrere Verstöße gegen den Digital Services Act.

Mit dem Digital Services Act (DSA) verpflichtet die EU sehr große Online-Plattformen, Risiken ihrer Angebote zu identifizieren und zu beheben. Weil der chinesische Fast-Fashion-Händler Shein diesen Vorgaben möglicherweise nicht ausreichend nachgekommen ist, hat die EU-Kommission nun ein Verfahren gegen das Unternehmen eröffnet. Das teilte sie am heutigen zweijährigen Geburtstag der EU-Verordnung über digitale Dienste mit.

Die Shopping-Plattform soll monatlich etwa 126 Millionen aktive Nutzer*innen in der EU haben. Seit Juni 2024 hatte die Kommission mehrfach Informationen von Shein angefragt. Die Entscheidung, eine Untersuchung einzuleiten, basiert auf diesen Auskunftsersuchen, auf einer vorläufigen Analyse der von Shein vorgelegten Risikobewertungsberichte und auf Einschätzungen dritter Parteien.

In Frankreich hatte sich im letzten Jahr bereits Widerstand gegen den Online-Händler geregt, jedoch war die französische Regierung mit dem Versuch gescheitert, die Plattform für drei Monate zu sperren.

„Illegale Produkte sind verboten“

Die Kommission attestiert dem Konzern Handlungsbedarf in drei Bereichen. An erster Stelle steht der Verkauf illegaler Waren, wegen dem der Fast-Fashion-Händler in der Vergangenheit bereits in Kritik stand. Zum Beispiel konnten genehmigungspflichtigen Waffen oder kinderähnliche Sexpuppen auf dem Marktplatz erworben werden.

Bei der Untersuchung geht es jedoch nicht darum, dass die EU gezielt den Verkauf einzelner Produktgruppen kontrollieren will. Vielmehr will sie dafür sorgen, dass die Plattform selbst ihre Systeme so gestaltet, dass Risiken minimiert werden. Konkret muss Shein also dafür sorgen, dass auf dem Marktplatz keine illegalen Waren gehandelt werden können.

„In der EU sind illegale Produkte verboten – egal, ob sie im Ladenregal oder auf einem Online-Marktplatz angeboten werden“, so EU-Kommissionsvizepräsidentin Henna Virkkunen zu dem Verfahren. „Der Digital Services Act schützt die Sicherheit und das Wohlergehen von Käufern und versorgt sie mit Informationen über die Algorithmen, mit denen sie interagieren.“

Ein zweiter Kritikpunkt betrifft mutmaßlich süchtig machendes Design des Online-Händlers. Er vergibt unter anderem Verbraucherpunkte oder Belohnungen für Engagement auf der Plattform. Das könne Suchtpotenzial entwickeln, welches sich negativ auf das Wohlbefinden der Nutzer*innen und den Verbraucherschutz im Internet auswirkt.

Außerdem kritisiert die Kommission mangelnde Transparenz des algorithmischen Empfehlungssystems von Shein. Dieses muss nach dem DSA zudem so gestaltet sein, dass sich Nutzer*innen optional für ein nicht-personalisiertes Empfehlungssystem entscheiden können.

EU ermittelt auch gegen Temu

Shein ist die zweite sehr große Plattform im Bereich Online-Handel, gegen die eine Untersuchung wegen süchtig machender Designpraktiken besteht. Bereits im Jahr 2024 hatte die EU-Kommission aus den gleichen Gründen ein Verfahren gegen Temu eröffnet.

Sollte die Kommission im Zuge der formalen Untersuchung zu einer Nichteinhaltungsentscheidung kommen, also einen tatsächlichen Verstoß gegen den DSA feststellen, kann sie zum Beispiel Bußgelder gegen das Unternehmen verhängen. Bis dahin ist es der Online-Plattform aber möglich, auf Forderungen zu reagieren und Anpassungen vorzunehmen. Wann es zu einer Entscheidung in dem Verfahren kommt, bleibt jedoch offen, denn der DSA schreibt hierfür keine Frist vor.

Der Online-Händler zeigt sich nach Angaben von Zeit.de bisher kooperationswillig: „Wir teilen das Ziel der Kommission, eine sichere und vertrauenswürdige Online-Umgebung zu gewährleisten, und werden uns weiterhin konstruktiv an diesem Verfahren beteiligen.“ Bei altersbeschränkten Produkten habe man bereits weitere Sicherheitsvorkehrungen ergriffen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat einen Aktionsplan gegen Cybermobbing unter Minderjährigen vorgelegt. Dazu gehört eine neue Melde-App, die viele Nachrichtenmedien aufgreifen. Bei näherer Betrachtung kratzt der Aktionsplan jedoch nur an der Oberfläche. Eine Analyse.

„Du stinkst“, „du bist hässlich“, „geh sterben“ – auf dem Schulhof können Sätze fallen, die viele Erwachsene selten hören. Häufen sich solche Dinge gegenüber einer bestimmten Person über längere Zeit, spricht man von Mobbing. Inzwischen passiert das auch online.

Gegen dieses sogenannte Cybermobbing will die EU-Kommission mit einem neuen Aktionsplan vorgehen. Ihre Ankündigung hat sie mit dem Bild aus einer Fotodatenbank illustriert. Zu sehen ist eine sonderbare Computer-Tastatur. Statt einer Umschalttaste hat sie eine feuerrote Taste mit der Aufschrift „STOP Cyberbullying“. Ein Finger bewegt sich vom rechten Bildrand auf diese Taste zu. Das erweckt den Eindruck, man könne Cybermobbing quasi per Knopfdruck beenden.

Was wir auf dem Bild nicht sehen: Menschen. Etwa einen Teenager, der sich einer Pädagogin anvertraut oder zwei Freund*innen, die sich gegenseitig Trost spenden. Es könnte eine Nebensache sein, doch in diesem Fall ist das Motiv mit der fiktiven Tastatur ein Sinnbild dafür, wie die EU-Kommission das Thema vorwiegend angeht: technisch und distanziert.

Die EU-Kommission, so geht es aus dem 18-seitigen Aktionsplan hervor, möchte Cybermobbing primär als ein Problem von Plattformregulierung und digitaler Infrastruktur bearbeiten. Die Beziehungen zwischen Kindern, Jugendlichen und Erwachsenen spielen eine Nebenrolle. Zeit und Vertrauen – die für gute Fürsorge oftmals entscheidenden knappen Ressourcen – stehen nicht im Zentrum. Das zeigt ein näherer Blick auf die drei Säulen des Aktionsplans.

Erste Säule: Mit Plattformregulierung gegen Cybermobbing

In der ersten von drei Säulen des Aktionsplans gegen Cybermobbing zitiert die EU-Kommission einschlägige Digitalgesetze, allen voran das Gesetz über digitale Dienste (DSA). Es ist das wohl wichtigste Regelwerk für Plattformen, auf denen auch Minderjährige Inhalte teilen können, etwa Instagram, TikTok, Snapchat.

„Soziale Medien sind der primäre Kanal, über den Kinder und Heranwachsende Cybermobbing ausgesetzt werden“, heißt es im Aktionsplan. Folglich will die EU-Kommission bei der bevorstehenden Prüfung der DSA-Regeln für Minderjährige den „Fokus“ auf Cybermobbing und Meldemechanismen stärken. Zudem gebe es bald Leitlinien für vertrauensvolle Hinweisgeber*innen („Trusted Flaggers“). Das sind zum Beispiel NGOs, die mit besonderer Expertise Inhalte auf Plattformen recherchieren und melden.

Dabei fällt unter den Tisch, dass Inhalte auf Plattformen nur ein Symptom von Mobbing unter Kindern und Jugendlichen sind. Primär geht es beim Mobbing allerdings nicht um regulierbaren „Content“, sondern um zwischenmenschliche Beziehungen.

Mehr als 80 Prozent der Fälle von Cybermobbing geschehen im schulischen Umfeld, das zeigt eine deutsche Studie des „Bündnis gegen Cybermobbing“ aus dem Jahr 2024. Dafür haben rund 4.200 Schüler*innen von sieben bis 20 Jahren, 1.000 Eltern und 630 Lehrer*innen ihre Erfahrungen geschildert. Demnach kennen zwei Drittel der Betroffenen die Täter*innen persönlich. Offline und online gehören beim Mobbing eng zusammen.

Eine ebenso 2024 veröffentlichte Umfrage des Deutschen Jugendinstituts (DJI) macht anschaulich, welche Form Cybermobbing häufig annimmt. Demnach gibt es Kinder und Jugendliche, die andere online bedrohen oder beleidigen, deren Fotos verbreiten, sie aus Online-Gruppen ausschließen – oder neue Gruppen gründen, um sich dort über sie lustig zu machen.

Wo genau Cybermobbing mehrheitlich geschieht, hat wiederum das Sinus-Institut mit der Krankenkasse Barmer näher erforscht. Das Ergebnis: „Eindeutiger Spitzenreiter unter den Cybermobbing-Kanälen ist weiterhin unangefochten WhatsApp.“ Diesen Messenger nannte demnach jede*r zweite Befragte. Das dürfte damit zusammenhängen, dass WhatsApp für viele die Plattform schlechthin für Klassenchats ist. Wer nachts im Klassenchat gemobbt wird, sitzt am nächsten Morgen wieder mit den Bullys zusammen im Klassenzimmer.

Nachrichten auf WhatsApp sind allerdings Ende-zu-Ende-verschlüsselt und deshalb privat. Das heißt, ein großer Teil von Cybermobbing bietet kaum Anknüpfungspunkte für Plattformregulierung. Für Betroffene steht vielmehr im Mittelpunkt, wie Konflikte in der eigenen Schulklasse ausgetragen werden, wie Lehrer*innen und Aufsichtspersonen helfen können.

Zweite Säule: Mit Info-Material gegen Cybermobbing

Die zweite Säule der EU-Kommission dreht sich um Prävention und Aufklärung. Wie die Kommission betont, müsse Prävention alle Akteur*innen einbeziehen – Gleichaltrige, Täter*innen, Eltern, Betreuer*innen, Lehrkräfte, „die gesamte Schulgemeinschaft“ und die Zivilgesellschaft.

Laut Aktionsplan will die EU-Kommission diesen Akteur*innen vor allem eines bieten: Infomaterial. Es geht primär um Leitlinien, Ressourcen und Werkzeugkästen, um Digitalkompetenz und Bildung.

Kaum eine Rolle spielt im Aktionsplan, dass es beispielsweise in deutschen Schulen vor allem an Zeit und Personal fehlt. Zuletzt hatte etwa die Leopoldina dieses Thema behandelt. In ihrem Diskussionspapier schreiben die Forschenden der Wissenschaftsgesellschaft darüber, wie sich soziale Medien auf die psychische Gesundheit von Kindern und Jugendlichen auswirken. Demnach gebe es in Deutschland keinen Mangel an Infomaterial. „Häufig scheitert schlicht die Umsetzung in den Schulen.“ Die Gründe dafür seien vielfältig. „Es fehlt unter anderem an Fachpersonal, Zeit“ oder „Fortbildungsmöglichkeiten für Lehrkräfte“, so die Leopoldina.

Info-Kampagnen kosten vergleichsweise wenig. Teuer ist es dagegen, Pädagog*innen einzustellen, sie auf Fortbildungen zu schicken und ihnen die Zeit einzuräumen, ihre Kenntnisse im schulischen Alltag anzuwenden. Die Zuständigkeit dafür liegt in den Mitgliedstaaten, in Deutschland bei den Bundesländern.

Spielräume hat die EU dennoch. Darauf geht der Aktionsplan zumindest in Ansätzen ein. So nennt die Kommission etwa das Programm Erasmus+. Es soll „allgemeine und berufliche Bildung, Jugend und Sport“ fördern. Dafür müssen Organisationen Anträge stellen. Bei deren Prüfung will die EU verstärkt auf Projekte für gutes Schulklima achten. Der Einfluss auf Cybermobbing geschieht also eher indirekt. Der Aktionsplan macht keine direkten finanziellen Zusagen und nennt keine messbaren Zielgrößen.

Dritte Säule: Mit einer App gegen Cybermobbing

Die dritte und letzte Säule aus dem Aktionsplan hat Nachrichtenmedien offenbar am meisten interessiert: „EU will mit Melde-App gegen Cybermobbing vorgehen“, titelte zum Beispiel tagesschau.de.

In einer separaten Ankündigung schreibt die EU-Kommission von einer „Online-Sicherheits-App“, mit der Opfer „zurückschlagen“ können, auf Englisch: „fight back“. Zumindest auf dem dazugehörigen Symbolbild sind Menschen zu sehen: drei Jungs – möglicherweise bereit „zurückzuschlagen“.

Einen Prototypen für die App will die EU-Kommission laut Aktionsplan selbst vorlegen. Auf dessen Basis könnten die Mitgliedstaaten ab dem dritten Quartal dieses Jahres eigene Versionen entwickeln.

Was die Online-Safety-App genau können soll, beschreibt die Kommission eher knapp. Drei Schwerpunkte lassen sich herauslesen.

1. Helfen. Demnach könnte die App Anlaufstellen und Beratungsangebote für Betroffene bündeln. Die Rede ist etwa von Hilfs-Hotlines und Kinderschutz. Es geht also um fachliche und emotionale Begleitung. Vorbild sei die französische App „3018“ der NGO E-Enfance. Im Google Play Store wurde die App nur rund 10.000 Mal heruntergeladen. Die EU-Kommission bezeichnet „3018“ als „erfolgreich“.
2. Löschen. Die Online-Safety-App könne laut Aktionsplan per Programmierschnittstelle einen direkten Draht zu Online-Plattformen bekommen. So könnten Nutzer*innen über die App deren Inhalte melden. Grundlage ist der DSA, der Plattformen dazu verpflichtet, solche Meldungen zeitnah zu prüfen. Allerdings müssen Plattformen laut DSA auch selbst zugängliche und benutzerfreundliche Meldeverfahren einrichten. Das wirft die Frage auf, welchen Sinn der Umweg über eine separate App hätte.
3. Anzeigen. Offenbar stellt sich die EU-Kommission vor, dass Minderjährige über die App auch die Polizei einschalten können. Im Aktionsplan ist das allerdings noch nicht kindgerecht formuliert. Die Rede ist von „maßgeschneiderter Unterstützung durch koordinierte Überweisung an zum Beispiel Strafverfolgungsbehörden“. Die App soll auch elektronische Beweise sicher „speichern und übermitteln“ können.

Je nach Ausgestaltung könnte die „Online-Safety-App“ also sehr unterschiedliche Richtungen einschlagen. Laut EU-Kommission hänge der Erfolg der App davon ab, ob Mitgliedstaaten sie zugänglich machen und unterstützen. Der Erfolg dürfte allerdings vielmehr davon abhängen, ob Kinder und Jugendliche die App überhaupt benutzen möchten.

In Deutschland gibt es bereits Anlaufstellen für hilfesuchende Kinder und Jugendliche, etwa die Nummer gegen Kummer oder Juuport. Beides sind gemeinnützige Vereine. Arbeit im sozialen Bereich ist oft ehrenamtlich oder prekär. Anfang 2025 hat die Stadt Berlin der „Nummer gegen Kummer“ Mittel gestrichen. Betroffen sind demnach 100 der insgesamt 3.800 ehrenamtlichen Mitarbeiter*innen in Deutschland.

Geht es nach dem Aktionsplan der EU-Kommission, bekommen Hilfsangebote wie die „Nummer gegen Kummer“ zwar keine Aussicht auf bessere Finanzierung. Aber sie sollen sich wohl um die Integration in eine Melde-App kümmern – zusammen mit unter anderem TikTok, Facebook, Instagram und Polizeibehörden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Endloses Scrollen, mehrstündige Screentime und ständiges Öffnen der App: Die EU-Kommission nimmt an, dass TikTok nicht genug macht, um die negativen Effekte seiner Plattform zu beschränken, und verlangt drastische Änderungen.

Das Gesetz für digitale Dienste (Digital Services Act, DSA) verpflichtet sehr große Plattformen wie die chinesische Video-App TikTok dazu, ihre Risiken zu bewerten und sie zu mindern. Vor zwei Jahren hat die Europäische Kommission ein Verfahren gegen TikTok gestartet, um spezifisch das süchtig machende Design zu analysieren.

Heute hat die Behörde das vorläufige Ergebnis der Untersuchung geteilt: TikTok geht nicht effektiv genug gegen die Risiken vor. Diese Feststellung ist ein Schritt vor einer möglichen Strafe.

Besonders dramatisch bewertet die Kommission die Risiken für die mentale Gesundheit von Kindern und Jugendlichen, die ihre TikTok-Nutzung noch nicht so gut selbst steuern könnten. Viele Studien aus verschiedenen europäischen Ländern zeigten die stundenlange TikTok-Nutzung von Minderjährigen, die Öffnung der App etwa 20 Mal am Tag und die Nutzung nach Mitternacht, sagte ein Kommissionsbeamter heute gegenüber Journalist:innen. Allerdings seien auch andere Altersgruppen von der problematischen Nutzung betroffen.

Natürlich hätten Erziehungsberechtigte eine Verantwortung, auf die Social-Media-Nutzung von Kindern zu achten, sagte eine zweite Kommissionsbeamte. Doch auch Plattformen hätten eine Sorgfaltspflicht.

Tools zur Kontrolle der Bildschirmzeit sind nicht effektiv genug

Mittlerweile habe TikTok schon Optionen zur Kontrolle der eigenen Nutzungszeit eingeführt, doch diese sind laut der Kommission nicht effektiv genug. Pausen könnten sehr einfach durch die Eingabe des Codes „1234“ weggeklickt werden. Und auch das Tool für Eltern lasse zu wünschen übrig.

Die Kommission verlangt daher Änderungen in drei Bereichen: Erstens sollen Nutzer:innen dazu in der Lage sein, Push-Benachrichtigungen einfacher abzustellen. Ebenso soll das Design der Plattform bezüglich des Scrollings geändert werden. Zweitens soll das Empfehlungssystem von TikTok auch explizite Wünsche der Nutzer:innen anerkennen, anstatt nur implizit durch das Engagement gesteuert zu werden.

Der dritte Aspekt ist vielleicht der gravierendste. Die Kommission wünscht sich strengere Schutzmaßnahmen, darunter verpflichtende Begrenzungen der Bildschirmzeit, verpflichtende Pausen und eine nächtliche Sperre. Das würde bedeuten, dass die App nach einer bestimmten Zeit und zu gewissen Uhrzeiten nicht mehr genutzt werden kann. Diese Maßnahmen würden nicht nur Minderjährige treffen, sondern alle Nutzer:innen.

TikTok war bisher „kooperativ“

Diese Änderungen gehen an den Kern des App-Designs, das gibt auch die Kommission zu. Gleichzeitig betonen die Beamten, wie kooperativ TikTok in den letzten zwei Jahren gewesen sei. Sie erinnern daran, dass die neue App „TikTok Lite“ damals in der EU zurückgezogen wurde, nachdem die Kommission vor dem Belohnungssystem warnte. „In unserer Erfahrung können wir durch Diskussionen Fortschritte erzielen“, sagte die Kommissionsbeamte.

TikTok hat nun die Gelegenheit, auf die Vorwürfe zu antworten und das System entsprechend anzupassen. Eine genaue Frist dafür gibt es nicht. Sollte die Kommission nicht mit TikToks Reaktion zufrieden sein, könnte sie im letzten Schritt einen Verstoß feststellen und eine Strafe verhängen. Das geschah im Dezember mit X zum ersten Mal in der Laufbahn des Gesetzes für digitale Dienste.

Wegen ähnlichen Vorwürfen laufen auch Verfahren gegen Facebook und Instagram. Die TikTok-Untersuchung sei lediglich zuerst gekommen und kein Zeichen, dass Plattformen unterschiedlich behandelt würden, sagte ein Kommissionsbeamter auf Nachfrage von Journalist:innen.

Als Teil der Untersuchung zum süchtig machenden Design von TikTok schaut die Kommission auch darauf, wie sicher Minderjährige auf der Plattform sind. Außerdem läuft noch ein paralleles Verfahren gegen TikTok zur Desinformation und Einmischung in Wahlen, welches im Anschluss an die Wahlen in Rumänien eröffnet wurde.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Staaten fordern ein neues Gesetz zur Vorratsdatenspeicherung, das weit über die alten Gesetze hinausgeht. Das geht aus einem EU-Dokument hervor, das wir veröffentlichen. Praktisch alle Internet-Dienste sollen Daten ihrer Nutzer anlasslos speichern, auch Messenger wie WhatsApp und Signal.

Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.

In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.

Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.

Das geht aus einem Papier der Ratspräsidentschaft hervor, über das zuerst Falk Steiner bei heise berichtete. Wir veröffentlichen das Dokument im Volltext: Künftige Vorschriften zur Vorratsdatenspeicherung in der Europäischen Union.

Vielzahl von Internet-Diensten

Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.

Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.

Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.

Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.

Wer, wann, wo, wie, mit wem?

Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.

Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.

Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.

Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.

Mindestens ein Jahr Speicherfrist

Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.

Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.

Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.

Nicht nur schwere Straftaten

Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.

Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.

Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.

Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.

Verhältnismäßigkeit neu bewerten

Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“

Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.

Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.

Gesetzesvorschlag 2026

Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.

In einem ersten Schritt hat sie bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Die Kommission plant, im ersten Quartal 2026 eine Folgenabschätzung abzuschließen.

Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.

---

Hier das Dokument in Volltext:

---

• Classification: Limite
• Date: 27 November 2025
• Place: Brussels
• From: Presidency
• To: Delegations
• Document: WK 16133/2025 INIT

Presidency Outcome Paper – Future rules on data retention in the European Union

1) Introduction

On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).

During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.

During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.

At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.

2) Background and context

For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)^[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.^[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.

Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.^[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.

In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024^[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.^[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.^[6]

On 24 June 2025, the Commission presented a roadmap for lawful and effective access to data for law enforcement (‚the Roadmap‘).^[7] It is in the context of the implementation of this Roadmap that the Commission is carrying out an impact assessment on data retention.

During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.

Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).

3) Summary of the Member States‘ remarks

Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States^[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.

Support for a new legislative framework

Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material^[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.

Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.

Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation^[10], but also others, such as regulation in the field of consumer protection.^[11]

Scope of service providers

Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.

More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages^[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.

Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.

Data to be retained

Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.

As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.

Targeted retention

On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.

On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.

Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.

For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.

Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).

Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.

Expedited retention orders (quick freeze)

While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.

The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.

Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.

Use of traffic and location data retained for marketing and billing purposes

In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.

Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.

However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.

Retention periods

As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.

According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.

Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.

On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.

Scope of crimes

Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.

In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.

On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.

Access rules and conditions

Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.

A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.

Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.

Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.

On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.

Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.

Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.

Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.

On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.

4) Conclusion

If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

5) Next steps

Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.^[13]

Footnotes

1. Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC.
2. Judgment of 8 April 2014, Digital Rights Ireland, C-293/12 and C-594/12.
3. Judgment of 6 October 2020, La Quadrature du Net I, C-511/18, C-512/18 and C-520/18, paragraph 168 (conditions for general and indiscriminate retention of traffic and location data). Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraph 67 (conditions for access to civil identity data). Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraphs 101-103 (conditions for access to information on IP addresses). Judgment of 20 September 2022, SpaceNet, C-793/19 and C-794/19, paragraphs 104, 114,119, 120. Judgment of 2 March 2021, Prokuratuur, C-746/18, paragraph 50. Judgment of 2 October 2018, Ministerio Fiscal, C-207/16, paragraphs 52-57. Judgment of 30 April 2024, La Quadrature du Net II, C-470/21, paragraph 97. Judgment of 30 April 2024, Tribunale di Bolzano, C-178/22, paragraphs 19, 22, 38, 49, 58, 62.
4. 15941/2024 REV2.
5. 16448/24.
6. EUCO 12/25.
7. 10806/25.
8. BG, CZ, IE, IT, LT, LV, AT, PL, PT, ES, SK, FI, SE, HU, and SI.
9. Judgment of 6 October 2020, La Quadrature du Net and Others, C-511/18, C-512/18 and C-520/18, paragraphs 153 and 154. Judgment of 5 April 2022, Commissioner of An Garda Síochána and Others, C-140/20, paragraphs 73 and 74.
10. Regulation (EU) 2023/1543 of the European Parliament and of the Council of 12 July 2023 on European Production Orders and European Preservation Orders for electronic evidence in criminal proceedings and for the execution of custodial sentences following criminal proceedings.
11. Regulation (EU) 2017/2394 on cooperation between national authorities responsible for the enforcement of consumer protection laws, recital 7, Article 9(2), and Article 42.
12. Roadmap for lawful and effective access to data for law enforcement.
13. Including CATS, COPEN, DATAPROTECT, FREMP, HWPCI and LEWP, not excluding the possible involvement of other preparatory bodies of the Council.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen.

Erstmals hat die EU-Kommission ein Verfahren nach dem Gesetz über digitale Dienste (DSA) abgeschlossen. Sie kam dabei zu dem Ergebnis, dass die Plattform X gegen den DSA verstößt. Zugleich entschied sie, dass TikTok angemessen auf einen bereits Ende Oktober gerügten Mangel reagiert hat und die Anzeigendatenbank der Videoplattform nun gesetzeskonform sei.

Die Entscheidung gegen X betrifft grundsätzlich die fehlende Transparenz der Plattform. Konkret bemängelt die Kommission dreierlei: Erstens stellten die blauen Haken ein täuschendes Design dar, weil sie den Eindruck erwecken würden, dass die so gekennzeichneten Accounts verifiziert seien. Tatsächlich aber können Nutzende die Haken seit einigen Jahren kaufen. Zweitens stellt X nur eine unzureichend funktionierende Datenbank für Anzeigen nach DSA-Kriterien bereit. Der dritte Kritikpunkt bezieht sich auf den Datenzugang für Forschende. Das von X bereitgestellte System, über das Wissenschaftler:innen an Nutzungsdaten gelangen sollen, sei nicht DSA-konform.

120 Millionen Euro Strafe

Aus diesem Grund hat die Kommission heute eine Strafe von 120 Millionen Euro gegen X verhängt. Diese Summe orientiere sich nicht prozentual am Umsatz des Unternehmens, sondern entspreche der Schwere der Verstöße.

Da die Verstöße weitreichende gesellschaftliche Auswirkungen hätten, könne die Strafe nicht durch eine einfache „ökonomische Formel“ berechnet werden, heißt es aus der Kommission. Trotzdem seien bei der Berechnung auch wirtschaftliche Elemente wie die Kosten der blauen Haken und die geschätzten Gewinne für X eingeflossen.

Die Strafzahlung setzt sich aus drei Teilstrafen für die jeweiligen Verstöße zusammen: Für die blauen Haken stellt die Kommission 45 Millionen Euro Strafe in Rechnung, für den Datenzugang 40 Millionen und für die Anzeigendatenbank 35 Millionen Euro.

X hat 90 Tage Zeit für Anpassungen

X wurde über die Entscheidung informiert und kann sich nun verteidigen. Das Unternehmen hat Zugang zu allen Untersuchungsdokumenten der Kommission und kann seine Plattform innerhalb von 90 Werktagen anpassen.

Der Kommissionsbeamte betonte, dass von dem Unternehmen keine „dramatischen Änderungen“ erwartet würden; andere Unternehmen hätten ähnliche Anforderungen erfolgreich umgesetzt. Sollte X seine Dienste allerdings nicht anpassen, könnten in Zukunft weitere Strafen verhängt werden. So sieht es das Gesetz vor.

Bereits im Vorfeld der Kommissionsentscheidung hatte sich der US-amerikanische Vizepräsident J.D. Vance geäußert. „Es kursieren Gerüchte, wonach die EU-Kommission gegen X mehrere hundert Millionen Dollar Strafe verhängen wird, weil die Plattform keine Zensur betreibt“, schrieb Vance am Donnerstag auf X. „Die EU sollte die Meinungsfreiheit unterstützen, anstatt amerikanische Unternehmen wegen Unsinn anzugreifen.“

Weitere Verfahren gegen X in der Schwebe

Derzeit laufen noch weitere DSA-Verfahren gegen X. So untersucht die Kommission, ob der Mechanismus zur Meldung von illegalen Inhalten auf X gegen bestehende Regeln verstößt. Diesbezüglich hat die Kommission erst kürzlich einen vorläufigen Verstoß bei Instagram und Facebook festgestellt.

Die Kommission will zudem die Funktionsweise des Algorithmus auf der Plattform X verstehen und hat die Plattform angewiesen, entsprechende Dokumente aufzubewahren. Außerdem geht die Kommission der Frage nach, wie X Desinformation bekämpft und wie erfolgreich die Plattform dabei ist, die Risiken auf den gesellschaftlichen Diskurs und Wahlen zu verringern.

DSA-Umsetzung soll nun schneller vorangehen

Der Jurist Jürgen Bering leitet bei der Gesellschaft für Freiheitsrechte das Center for User Rights und sieht die Strafe als wichtigen Schritt bei der DSA-Durchsetzung. Er kommentiert: „Die Entscheidung zeigt: Die EU meint es ernst mit dem Schutz demokratischer Diskurse und der Plattformverantwortung. Jetzt braucht es ebenso konsequente Durchsetzung bei allen großen Anbietern. Der DSA ist kein Wertebekenntnis, sondern geltendes Recht – und es ist entscheidend, dass er spürbare Verbesserungen für Nutzer*innen in Europa bringt.“

Die Kommission geht davon aus, dass die DSA-Umsetzung jetzt schneller vorangehen wird, wie Digitalkommissarin Henna Virkkunen bereits vor wenigen Wochen in einer Pressekonferenz sagte.

In den vergangenen Jahren habe die Kommission zunächst eine interne Regulierungsstruktur aufbauen müssen, ergänzte ein EU-Beamter heute. Das Verfahren gegen X wurde bereits vor zwei Jahren eröffnet. Die Hoffnung der Kommission ist, dass auch die Unternehmen nun schneller darin werden, die Regeln zu befolgen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.