Mit dem geplanten Digital Networks Act (DNA) hat sich die EU-Kommission viel vorgenommen: Das für Ende des Jahres angekündigte Gesetz soll den Ausbau moderner Infrastruktur beschleunigen, den Bürokratieaufwand für Netzbetreiber senken und womöglich einen gemeinsamen europäischen Markt für Telekommunikation schaffen.

Wie die EU diese ambitionierten Ziele im Detail erreichen will, ist noch nicht geklärt. Zumindest die grobe Richtung hat die Kommission aber schon vorgegeben: In von der EU in Auftrag gegebenen Berichten warben ehemalige europäische Spitzenpolitiker wie Enrico Letta oder Mario Draghi für Deregulierung, Konsolidierung und generell mehr Markt. Auch ein ähnlich gelagertes, vom inzwischen aus der Kommission ausgeschiedenen Thierry Breton auf den Weg gebrachtes Weißbuch soll ausdrücklich als Inspiration für den DNA herhalten.

EU-Kommission könnte Paradigmenwechsel anstoßen

Über den Sommer hat die Kommission eine Konsultation durchgeführt und die Öffentlichkeit um ihre Meinung zu den bislang nur grob skizzierten Vorschlägen gebeten. Zur Debatte hat sie dabei einige Eckpfeiler bisheriger Regulierungspolitik gestellt: So etwa die Regeln für die Netzneutralität und die bislang national durchgeführte Vergabe von Mobilfunkfrequenzen. Auch die die Verpflichtung für große Ex-Monopolisten wie die Telekom, zu geregelten Bedingungen Wettbewerber in ihre Netze zu lassen, steht auf dem Prüfstand.

Zugleich richtet die EU-Kommission den Blick in die Zukunft. Nicht ganz so blumig wie Bretons Weißbuch sieht sie dennoch ein weiteres Zusammenwachsen von Netzen und darauf laufender Anwendungen vor sich, sodass ein eng verknüpftes „Konnektivitätsökosystem“ aus Leitungen, Rechenzentren und beispielsweise KI-Chatbots oder smarten Toastern entsteht. Dass dies auf sogenannte vertikale Integration hinausläuft, bei der letztlich vieles aus der Hand eines einzigen Unternehmens kommt, streitet die Kommission zwar als Zielvorgabe ab, wünscht sich aber zumindest eine erleichterte Zusammenarbeit zwischen den jeweiligen Akteuren.

Kurzum: Es gibt kaum ein Eck des Internet-Ökosystems, das nicht potenziell vom DNA angetastet wird. Entsprechend vielfältig war die Beteiligung an der EU-Konsultation, darunter große wie kleine Netzbetreiber, Verbraucherschutzorganisationen, Inhalteanbieter oder Hardwarehersteller. In einem ersten Schritt haben wir uns die verfügbaren Stellungnahmen der großen Ex-Monopolisten aus Deutschland (Telekom Deutschland), Spanien (Telefónica) und Frankreich (Orange) angesehen und ausgewertet. Gleich vorweg: Ihre Sicht ist in weiten Teilen deckungsgleich.

Es geht um handfeste Interessen auf einem milliardenschweren Markt: Dem Branchenverband Bitkom zufolge wurden in diesem allein in Deutschland 2024 insgesamt fast 226 Milliarden Euro umgesetzt. Auf der anderen Seite steht der Investitionsbedarf, der laut Kommission notwendig ist, nur um die selbst gesteckten Ausbauziele zu erreichen. Mindestens 150 Milliarden Euro seien EU-weit erforderlich, um eine flächendeckende Versorgung mit Glasfaser und 5G-Mobilfunk bis zum Ende des Jahrzehnts zu schaffen.

Schielen auf den Aktienmarkt

Mit ihren Deregulierungsfantasien läuft die EU-Kommission bei ehemaligen und bislang stark regulierten Monopolisten naturgemäß offene Türen ein. Seit ihrer (Teil-) Privatisierung hat die sogenannte Vorab-Regulierung ihre Marktmacht zwar gedämpft, große und inzwischen börsennotierte Unternehmen mit ganz eigenen Bedürfnissen sind sie aber dennoch geblieben.

Das lässt sich nicht zuletzt an ihrer Prioritätensetzung ablesen. Die unterscheidet sich merklich von kleineren Betreibern: So lenkt die Telekom Deutschland in ihrer Stellungnahme zum DNA den Blick zunächst auf die Aktien- und Kapitalmärkte. Trotz steigender Nachfrage nach ihren Produkten, eingebettet in eine insgesamt wachsende EU-Wirtschaft, habe sich die Marktkapitalisierung der fünf größten europäischen Netzbetreiber seit 2016 mehr als halbiert, genauso wie die Kapitalrendite gefallen sei.

Damit blieben die Erträge unter den Erwartungen der Investor:innen, die laut Telekom „weitgehend“ das Vertrauen in die Branche verloren hätten. Problematisch sei zudem, dass Netzbetreiber in der EU im Verhältnis zum Umsatz mehr als Betreiber in vergleichbaren Industrienationen investieren würden, während etwa in den USA doppelt so viel pro Kopf fließen würde. Zusammen mit wachsenden Schulden schränke das ihre Möglichkeiten ein, sich frisches Kapital zu besorgen, das sie für „Innovation und Investment“ brauche, warnt die Telekom.

Große Betreiber wollen Vorab-Regulierung beenden

Neben diesem Schlüsselargument wirbt die Telekom, gemeinsam mit Telefónica und Orange, erwartbar für die Abschaffung der Vorab-Regulierung. Stattdessen soll normales Wettbewerbsrecht, das nur nachträglich auf Fehlentwicklungen reagieren kann, zum Standard-Regulierungsansatz werden, begleitet vom im Vorjahr verabschiedeten Gigabit Infrastructure Act. Zudem sollten möglichst viele sektorspezifische Regeln fallen, etwa durch harmonisierte, horizontale Vorschriften für Verbraucherschutz, die obendrein von EU-Ländern nicht verschärft werden dürften.

Umgekehrt brauche es jedoch kein harmonisiertes EU-Zugangsprodukt, so die Konzerne. Damit sind Spezifikationen gemeint, mit denen sich Wettbewerber in die Infrastruktur der regulierten Ex-Monopolisten einklinken können. Für Universaldienstverpflichtungen sehen sie keinen Platz mehr, sie sollten komplett entfallen. Darüber hinaus drängen Telefónica und Orange darauf, die ePrivacy-Richtlinie ebenfalls ersatzlos zu streichen. In unterschiedlicher Intensität werben die Betreiber zudem dafür, die Roaming-Regeln zu lockern.

Während es die Telekom beim Wunsch nach drastisch reduzierten Transparenz- und Berichtspflichten in dem Bereich belässt, sieht Telefónica keinen Anlass mehr für regulierte Roaming-Preise und für Anrufe innerhalb der EU. So hätte der Markt dieses Problem gelöst, außerdem gebe es ja sogenannte OTTs (Over-The-Top-Anbieter), mit denen sich kostenlos kommunizieren lasse, schreibt Telefónica. Freilich hat nicht der Markt, sondern erst EU-Regulierung das Problem der horrend hohen Gebühren für EU-Auslandstelefonie beseitigt.

Netzneutralität aufschnüren

Genau von diesen OTTs wollen Telko-Riesen jedoch Geld und drängen in diesem Punkt dann doch auf mehr Regulierung: Sie wollen garantierte Entgelte von Inhalteanbietern, die ihre Leitungen zu Endkunden nutzen. Dabei treibt die Telekom laut ihrer Stellungnahme die Angst vor dem Ende des offenen Internets um: Große Inhalteanbieter würde mittlerweile den Löwenanteil des Datenverkehrs verursachen, „was einen signifikanten Wandel von einem offenen, dezentralen und nutzerzentrierten Internet zu einem hochkonzentrierten Content-Delivery-Netzwerk für große kommerzielle Inhalteanbieter markiert“, schreibt sie.

Außerdem würden für traditionelle Telekommunikationsanbieter spezifische Auflagen gelten, an die sich die neuen Platzhirsche wie WhatsApp nicht halten müssten, so die Telekom – etwa die EU-Regeln zur Netzneutralität. Zur Erinnerung: Die wurden ursprünglich auch deshalb in die Welt gesetzt, damit Netzbetreiber mit beispielsweise Aufpreisen für Skype-Telefonie oder Messenger- und SMS-Nachrichten neuen Internetdiensten nicht Steine in den Weg legen und Innovation verhindern können.

Da solche OTTs inzwischen auf den gleichen Märkten aktiv seien, wäre der bisherige Ansatz unfair und müsse beendet werden: „Diese regulatorische Asymmetrie sollte angegangen werden“, fordert die Telekom. Ähnlich argumentiert das französische Unternehmen Orange, das sogar Hersteller von Betriebssystemen in die Pflicht nehmen will. Schließlich hätten auch sie „Auswirkungen auf die Servicequalität und das Benutzererlebnis“, heißt es in der Stellungnahme.

Aufgewärmte „Fair Share“-Debatte

Mindestens brauche es einen neuen Mechanismus, mit dem sich Auseinandersetzungen rund um Zusammenschaltungsentgelte zwischen Netzbetreibern und Inhalteanbietern „effizient“ beilegen lassen sollen. Dieser soll nach dem Wunsch der Konzerne bei einer ungenannt gebliebenen Behörde angesiedelt werden – offenbar an Gerichten vorbei, die solche bisher seltenen Streitigkeiten aufgelöst haben. Damit wärmen die Großbetreiber die sogenannte „Fair Share“-Debatte wieder auf, die eigentlich vor Jahren unrühmlich in der Versenkung verschwunden war.

An der Netzneutralität knabbern wollen große Netzbetreiber auch an anderer Stelle. Die im 5G-Mobilfunkprotokoll eingebauten „Network Slices“ sollen von ihnen lang ersehnte, bezahlte Überholspuren endlich möglich machen. Mit der Slicing-Technik lässt sich das Internet in voneinander abgeschirmte Scheiben mit unterschiedlichen Qualitätsparametern schneiden und vermarkten. Im schlimmsten Fall wäre dies ein Todesstoß für die Netzneutralität.

Möglich sind solche „Spezialdienste“ heute schon, aber unter Auflagen: Sie müssen objektiv notwendig sein, dürfen normale Zugangsprodukte nicht ersetzen und können nicht zu Lasten des offenen Internets gehen. Dies sei nicht mehr zeitgemäß, behaupten die drei Betreiber. Mindestens müsse es klare Vorgaben für erlaubte Spezialdienste geben, die über die heute geltenden und durchaus detaillierten Regeln hinausgehen, fordern sie.

Den Mobilfunkbereich wollen die drei Betreiber ohnehin möglichst nur für sich selbst reklamieren. So sollten die Nutzungsrechte für Frequenzen drastisch verlängert werden, in den Raum stellen sie 40 Jahre bis unendlich lange. Zudem wollen sie über den umkämpften oberen 6-Gigahertz-Bereich alleine verfügen, anstatt ihn mit WLAN zu teilen.

Alles in allem lesen sich die Wünsche der großen drei Ex-Monopolisten wie ein Programm, das sie wieder zu alter Größe und nahezu monopolistischer Macht führen soll – nur diesmal in privater und nicht mehr staatlicher Hand. Ganz anders sehen das kleinere Anbieter, über deren Einreichungen zur Konsultation wir im nächsten Artikel berichten werden.

Die Sommerflaute nutzen die beiden Hosts des c’t-Datenschutz-Podcasts für einen bunten Ritt durch die Datenschutzwelt. Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen.

Den Auftakt macht das obligatorische „Bußgeld der Woche“, diesmal aus Italien: Die Autostrade per l’Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Bleich und Heidrich diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen.

5000 Euro pro „Überwachungsgefühl“

Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in Form von Social-Plug-ins. Meta könne damit allerdings „jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat“, so das Gericht.

Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines „Überwachungsgefühls“ zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte.

Irreführende Aussagen

Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige „EU Data Boundary“ für die Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud-Act weiterhin auf europäische Kundendaten zugreifen können. Bleich zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage.

Die Hosts widmen sich außerdem einem viralen Privacy-Desaster: Bei einem Konzert der Popband Coldplay wurden zwei Personen von der „Kiss Cam“ in einer intimen Situation erfasst. Als die beiden sich selbst auf der Leinwand im Saal erkannten, schlug die Frau die Hände vors Gesicht, der Mann ging in die Hocke und versteckte sich. Das Video verbreitete sich rasant im Netz, die Betroffenen wurden identifiziert und öffentlich bloßgestellt, mit schwerwiegenden persönlichen Konsequenzen. Unbeteiligte mit ähnlichen Namen gerieten ins Visier des Internet-Mobs. Bleich findet das „eklig“ und kritisiert die Post-Privacy-Gesellschaft scharf. Die Hosts diskutieren anhand des Beispiels überdies die rechtlichen Aspekte solcher Aufnahmen bei Großveranstaltungen.

Als Ferienlektüre empfiehlt Bleich zu guter Letzt den aktuellen Tätigkeitsbericht des Katholischen Datenschutzzentrums – mit skurrilen Fällen wie falsch etikettierten Plazenten und datenschutzrechtlichen Fragen bei Teufelsaustreibungen.

Episode 139:

Hier geht es zu allen bisherigen Folgen:

(hob)

Ich gestehe, ich habe einen Facebook-Account. Und um es noch peinlicher zu machen: Dieser Facebook-Account ist mit meiner Handynummer verknüpft. Ich wollte Facebook nie meine Nummer geben. Ich nutze es auch schon ewig nicht mehr. Aber eines Tages wollte ich doch mal wieder rein, um eine Person zu kontaktieren, zu der ich keinen anderen Kontakt hatte.

Facebook stellte mich vor die Wahl: Personalausweiskopie oder Handynummer. Es gab keine andere Möglichkeit, um Zugang zu erhalten. Dann eben die Handynummer, dachte ich. Das hat sich gerächt.

2021 sind Daten von rund 530 Millionen Facebook-Mitgliedern außerhalb Facebooks aufgetaucht. Sie wurden wohl durch eine Sicherheitslücke gestohlen, die bis Sommer 2019 offen stand. Damals waren Daten wie Name, Handynummer, E-Mail-Adresse, Wohnort, Beziehungsstatus, Geschlecht und Geburtsdatum ungeschützt abrufbar. Von mir findet man beispielsweise Name, Geschlecht und Handynummer im Netz.

Ominöse Jobangebote und eine Vielzahl von Hallos

Jetzt bekomme ich regelmäßig ominöse Jobangebote auf mein Telefon oder Anfragen von Menschen, die mich angeblich als Guide buchen wollen für ihre Deutschlandtour oder auch einfach nur „Hallo“ schreiben. Viele dieser Anfragen kommen von Accounts, deren Profilfotos junge Frauen zeigen.

Die Unterhaltungen lassen sich mit einem Tippen löschen und die Accounts blockieren und melden. Schwieriger wird es, wenn die Menschen, die versuchen, mich zu scammen, mich anrufen. Denn dann muss ich rangehen oder zurückrufen. Es könnte ja eine Quelle sein, die eine neue Geschichte für mich hat.

Ich arbeite seit bald 30 Jahren mit dieser Telefonnummer. Ich kann sie nicht einfach wechseln, weil ich nicht von allen Menschen, die mich möglicherweise als Journalisten kontaktieren wollen, einen Kontakt habe. Also hebe ich gelegentlich auch für Scammer ab.

So schließt man sich der Sammelklage an

Ich finde, Mark Zuckerbergs Konzern Meta, dem Facebook ja gehört, schuldet mir dafür eine Entschädigung. Deshalb habe ich geklagt. Es gibt mehrere Kanzleien, die Menschen vertreten, deren Datenschutzrechte durch den Facebook-Leak verletzt wurden, WBS.LEGAL zum Beispiel. Ich habe Dr. Stoll & Sauer gewählt, die Kanzlei klagt auch für den Verbraucherzentrale Bundesverband (vzbv) gegen Meta.

Dieser Musterfeststellungsklage haben sich bereits etwa 11.000 Menschen angeschlossen. Die Teilnahme kostet nichts und gibt die Hoffnung, ebenfalls Geld von Meta zu erhalten. Ob du berechtigt bist, teilzunehmen, zeigt der „Klage-Check“ des vzbv. Ob deine Telefonnummer dank Facebook im Internet kursiert, erfährst du im „Datenleak-Check“ von Dr. Stoll & Sauer.

Die mündliche Verhandlung ist am 10. Oktober. Bis drei Wochen danach kann mensch sich der Sammelklage noch anschließen. Sechs Millionen Menschen aus Deutschland steht womöglich ein Schmerzensgeld zu, denn so viele deutsche Telefonnummern finden sich in dem Leak. Betroffen sind potenziell alle, die 2019 und früher ein Facebook-Konto hatten.

Anspruch auf mindestens 100 Euro

Laut Bundesgerichtshof rechtfertigt allein der Kontrollverlust über die persönlichen Daten einen Schadensersatz von 100 Euro, unabhängig von tatsächlichen Schäden. Henning Fischer, der die Sammelklage für den vzbv betreut, hofft, „dass derartige Verfahren Meta motivieren, den Datenschutz ernster zu nehmen“.

Ich habe als Einzelperson gegen Facebook geklagt. Obwohl die Fälle seit Anfang 2025 eigentlich als verjährt gelten, gebe es weiterhin rechtliche Möglichkeiten, auch als Einzelne*r den Kampf aufzunehmen, sagt Christian Grotz, Geschäftsführer von Dr. Stoll & Sauer. Das lohne sich, wenn man besondere Nachteile durch das Datenleck gehabt habe und bereit sei, persönlich vor Gericht aufzutreten.

„Es wurde insbesondere ihr persönliches Erscheinen angeordnet“, steht im Schreiben des Landgericht Berlin II. Sollte ich nicht auftauchen, könne gegen mich ein Ordnungsgeld von 1.000 Euro festgesetzt werden. Eine Stunde bevor es losgehen soll, ruft mich mein Anwalt an. Er sagt, es reiche völlig, wenn ich mich per Videotelefonat einwähle. Vermutlich käme ich sowieso nicht zu Wort.

Wie Meta versucht, sich herauszuwinden

Also wähle ich mich ein. Der zuständige Richter sitzt in einem schmalen schlauchförmigen Raum, der extrem hallt. Die beiden zugeschalteten Anwälte sind ebenfalls kaum zu verstehen. Was ich mitbekomme: Der Meta-Vertreter versucht, den Fall für verjährt zu erklären. Die Klage sei im März 2025 zugestellt worden, ich hätte aber seit 2021 Kenntnis von dem Datenleck gehabt. Außerdem könne meine Nummer gleichzeitig auch anderswo frei im Netz erhältlich gewesen sein.

Der Meta-Vertreter bestreitet zudem die zeitliche Anwendbarkeit der Datenschutzgrundverordnung. Es sei möglich, dass der Datenverlust vor deren Inkrafttreten im Jahr 2018 stattgefunden habe. Und es sei nicht ersichtlich, ob die Screenshots, die ich von Spamanrufen in meiner Anrufliste machte, überhaupt Spamanrufe zeigten, und ob diese wirklich bei meiner Nummer eingegangen seien. All das sieht der Richter nicht ein. Wohl aber, dass der Datenverlust aufgrund meines Berufs besonders schwer wiegt. 250 Euro muss Meta mir zahlen, beschließt er, ohne mich anzuhören.

Gekostet hat meine anwaltliche Vertretung bislang 517,65 Euro brutto, so Grotz. Finanziell gelohnt hat sich der Kampf nicht. Aber mir geht es auch mehr darum, Meta mit dem Geschäftsgebaren nicht ungeschoren davonkommen zu lassen. Außerdem zahlt meine Rechtsschutzversicherung die Kosten. Und gerade prüft sie, ob sie bereit ist, mich auch in einer Berufung zu unterstützen. Grotz meint, ich könne noch mehr Geld von Meta erstreiten. Es ist aber auch möglich, dass Meta selbst in Berufung geht, weil der Konzern weiterhin gar nichts zahlen will.

vzbv will 600 Euro pro Person erklagen

Dr. Stoll & Sauer vertritt Fälle wie meinen mit Hilfe von Legal Tech: Eingabemasken, Textbaukästen, standardisierte Akten, KI-Texterkennung, automatisierte Fallbearbeitung. Gegen Facebook klagte Dr. Stoll & Sauer im Namen von 500 Menschen, es fielen 326 Urteile in erster Instanz und 33 in zweiter. Ergebnis: Zwischen null und 3.000 Euro für die Betroffenen.

In der parallelen Sammelklage, an der Verbraucher*innen sich kostenlos beteiligen können, hält der vzbv eine Entschädigung von mindestens 600 Euro für angemessen, wenn beispielsweise neben Facebook-ID, Name und Telefonnummer auch Wohnort, E-Mail-Adresse, Geburtsdatum sowie Beziehungsstatus öffentlich geworden sind. „Mit der Musterfeststellungsklage kann man seinen eigenen Anspruch sichern und sich zurücklehnen“, sagt Grotz. Er findet: „Man muss einen Großkonzern nicht mit so was durchkommen lassen. Wenn die Verbraucher*innen in ausreichend großer Masse aufstehen, ändert sich da was.“