Die EU-Kommission zieht eine überwiegend positive erste Bilanz zum Digital Markets Act (DMA). Das EU-Digitalgesetz erfülle seinen Zweck und habe sich positiv auf digitale Märkte ausgewirkt, heißt es in der ersten Evaluation des Gesetzes, die gestern veröffentlicht wurde.

Rund drei Jahre ist der DMA in Kraft, schrittweise mussten große Tech-Konzerne eine Reihe an Auflagen umsetzen, darunter Vorgaben zur Interoperabilität oder mehr Auswahlmöglichkeiten für Nutzer:innen. Das Gesetz soll die Macht großer Online-Dienste wie Amazon oder Apple begrenzen und so faire Verhältnisse in digitalen Märkten schaffen.

Besonders betroffen sind sogenannte Gatekeeper. Damit sind übermäßig große Online-Dienste gemeint, die in bestimmten Sektoren zu viel Marktmacht konzentrieren und damit funktionierenden Wettbewerb bedrohen. Bislang hat die Kommission sieben Unternehmen beziehungsweise 23 von deren Kernangeboten als Gatekeeper eingestuft. Darunter sind WhatsApp von Meta, der App Store von Apple oder die Google-Suchmaschine von Alphabet.

DMA öffnet Geschäftsfelder

Laut EU-Kommission funktioniert der Ansatz: „Der DMA hat das Verhalten, technische Design-Entscheidungen und die vertraglichen Vereinbarungen von Gatekeepern maßgeblich verändert und damit neue Möglichkeiten für Unternehmen und Wettbewerber eröffnet“, resümiert die Kommission im Evaluationsbericht. Für Endnutzer:innen habe der DMA in wichtigen Bereichen für mehr Kontrolle und Wahlmöglichkeiten gesorgt.

Konkret hebt die Kommission eine Reihe an Punkten hervor, an denen sich der Erfolg des DMA messen lasse. Nutzer:innen könnten nun einfacher von einem Online-Dienst zu einem anderen wechseln und dabei ihre Daten mitnehmen; marktmächtige Dienste wie Meta könnten Daten ihrer Nutzer:innen nicht mehr so einfach zusammenführen und verwerten wie früher; zudem seien neue App Stores und Messenger entstanden, die Nutzer:innen mehr Wahlmöglichkeiten bieten würden.

Trotz dieser positiven Bilanz ist die Lage aber weiterhin nicht optimal. Im Vorjahr hagelte es millionenschwere Wettbewerbsstrafen für Apple und Meta, weil sie bestimmte DMA-Vorgaben nicht umgesetzt haben. Ein interoperables und florierendes Ökosystem aus Messengern ist bis heute nicht entstanden. Auch eigentlich verbotenes manipulatives Design ist nicht aus den Online-Auftritten der Gatekeeper verschwunden.

DMA kann bremsen, aber kaum verhindern

Entsprechend gemischt beurteilt Aline Blankertz von der Nichtregierungsorganisation Rebalance Now den DMA. „Er war nicht dazu gemacht, die Macht der Tech-Konzerne einzuhegen, sondern er verlangsamt etwas die Geschwindigkeit, mit der sie weitere Macht erlangen, indem er teilweise verhindert, dass sie diese missbrauchen“, sagt die Wirtschaftswissenschaftlerin.

Zwar habe das Gesetz „kleine Verbesserungen“ bewirkt, etwa bei der Interoperabilität oder der Deinstallierbarkeit von Apps, so Blankertz. Auch habe der DMA dazu beigetragen, von der „sehr einzelfallbasierten Analyse unter dem klassischen Wettbewerbsrecht“ zu einer „etwas einfacheren, etwas schnelleren Bekämpfung besonders problematischer Verhaltensweisen“ der Tech-Konzerne zu kommen.

Gerade bei der Durchsetzung des DMA hapert es jedoch, schreibt nicht zuletzt die EU-Kommission selbst in ihrer Evaluation. Demnach habe das immer noch relativ junge Gesetz „noch nicht sein volles Potenzial“ ausschöpfen können. Allerdings halten sich die vorgeschlagenen Verbesserungen in Grenzen: So sollte es etwa mehr Transparenz und Informationsaustausch im Rahmen des „regulatorischen Dialogs“ mit Gatekeepern geben. Zudem will die Kommission mehr Bewusstsein bei betroffenen Online-Anbietern schaffen und sie verstärkt darüber aufklären, an welche Auflagen sie sich zu halten haben.

Angst vor Trump

Damit will sich Blankertz nicht begnügen, zumal sich europäische Digitalgesetze immer wieder als Zankapfel in den transatlantischen Beziehungen zwischen der EU und den USA erwiesen haben. Nur kurz nach seinem Amtsantritt hatte US-Präsident Donald Trump in einem Memorandum festgelegt, US-amerikanische Unternehmen vor „Erpressung und unfairen Geldbußen aus dem Ausland“ schützen zu wollen. Seitdem wurden immer wieder Gerüchte laut, dass die EU-Kommission, auch aus Angst vor Strafzöllen, Verfahren verschleppt und nicht so stark auftritt, wie es der DMA eigentlich verlangt.

Die Durchsetzung des DMA sei aufwändiger und langwieriger als diejenigen erhofft haben, die ihn als „self-enforcing“ bezeichnet hatten, so Blankertz. Hinzu komme, dass aufgrund der zunehmend EU-feindlichen Haltung der US-Regierung „selbst das bisherige, moderate Maß an Durchsetzung noch weiter zurückgefahren wird“.

Dies geschehe auch mit Rückendeckung der deutschen Regierung, entgegen des Koalitionsvertrags. „Damit steht nicht nur die Wirksamkeit wettbewerbspolitischer Regeln zur Debatte, sondern auch Prinzipien von europäischer Rechtsstaatlichkeit“, warnt Blankertz.

Spielraum habe die Kommission jedenfalls genug, ohne das Gesetz aufschnüren zu müssen, sagt die Wirtschaftswissenschaftlerin. „Viele der Regeln sind auch drei Jahre später noch in Spezifikationsphasen und werden von den Torwächtern deutlich enger ausgelegt als im Sinne der im DMA artikulierten Ziele von Fairness und Bestreitbarkeit.“

Gemischte Signale aus Brüssel

Entsprechend kritisch sei demnach die Ankündigung der Kommission zu bewerten, dass sie künftig den Fokus des DMA auf KI-Anwendungen und Cloud-Dienste ausweiten werde. Zum einen treibt die Kommission unter Ursula von der Leyen eine Deregulierungsagenda voran, mit der sie unter anderem eine „Überregulierung“ Künstlicher Intelligenz verhindern will.

Zum anderen weist Blankertz auf die jüngste und größte Firmenübernahme hin, die Google jemals angestoßen hatte. Erst im März hat der Tech-Riese knapp 28 Milliarden Euro auf den Tisch gelegt, um sich mit dem Segen der EU-Kommission und trotz zivilgesellschaftlicher Proteste das Sicherheits-Startup Wiz einzuverleiben.

„Es wäre illusorisch zu glauben, dass der DMA auch nur annähernd hinreichend wäre, um der weiteren Machtkonzentration in Cloud und KI effektiv entgegenzuwirken“, sagt Blankertz. Die Deregulierungsagenda und eine sich andeutende Aufweichung von Leitlinien zur Fusionskontrolle würden großen Konzernen in die Hände spielen, so die Expertin. „Selbst eine Ausweitung des DMA auf Cloud und KI sollte also nicht darüber hinwegtäuschen, dass viele andere Hebel ebenfalls genutzt werden müssen, um die Macht der Tech-Konzerne einzuhegen.“

Facebook und Instagram tun zu wenig, um Kinder unter 13 Jahren von ihren Plattformen fernzuhalten. Das hat die Europäische Kommission heute nach zwei Jahren Untersuchung vorläufig festgestellt. Die beiden Plattformen des Mutterkonzerns Meta hätten Risiken für Minderjährige nicht sorgfältig genug identifiziert und damit gegen Auflagen des Gesetzes über Digitale Dienste (DSA) verstoßen.

Die Ansage fällt in eine Zeit, in der die EU-Kommission unter großem Druck steht, EU-weit wirksame Alterskontrollen durchzusetzen. Unter anderem Frankreich, Dänemark und Griechenland haben Social-Media-Verbote für Kinder und Jugendliche angekündigt. Sie fordern von der EU, die Plattformen zu harten Alterskontrollen zu zwingen. Auch Bundeskanzler Friedrich Merz (CDU) und mehrere deutsche Minister*innen haben Sympathien für ein solches Verbot bekundet. Die Entwicklung hat Fahrt aufgenommen, nachdem Australien als erster Staat weltweit Kindern und Jugendlichen unter 16 Jahren den Zugang zu Social Media verwehrt hatte.

Parallel zu der Ankündigung stellte die EU heute Vormittag neue Leitlinien für den Einsatz ihrer Altersverifikations-App vor. “Unsere Lösung zur Altersverifikation muss Hand in Hand mit der starken Durchsetzung des DSA gehen”, sagte Digitalkommissarin Henna Virkkunen in einem Pressestatement, bevor sie zu den Untersuchungsergebnissen zu Meta überleitete.

Die App soll laut Kommissionspräsidentin Ursula von der Leyen “fertig” sein, wird allerdings von Sicherheitsexpert*innen massiv kritisiert, weil sie unsicher und leicht manipulierbar sei. Fachleute warnen zudem seit Monaten vor den Konsequenzen harter Alterskontrollen im Internet. Die damit geschaffene Infrastruktur sei unsicher und gefährde die Anonymität im Internet.

Vorbeugen, identifizieren, entfernen

Das Gesetz über digitale Dienste sieht keine Pflicht zu Alterskontrollen vor, sondern empfiehlt diese als eine mögliche Maßnahme, mit der Plattformen das Risiko für Kinder und Jugendliche mindern und sich an die Auflagen halten können.

Konkret wirft die Kommission Meta vor, entgegen der eigenen Geschäftsbedingungen, die ein Mindestalter von 13 Jahren vorsehen, Konten zu lax zu prüfen. Kinder unter 13 Jahren könnten bei der Registrierung einfach ein falsches Geburtsdatum angeben und sich so Zugang verschaffen. Auch seien die Möglichkeiten, Konten von Minderjährigen zu melden, zu kompliziert und die Meldungen würden nicht konsequent verfolgt.

Die Kommission zweifelt auch an der Risikobewertung, die Meta wie alle großen Plattformen im Rahmen des DSA abgeben musste. Die Bewertung widerspreche Erhebungen, die darauf hindeuteten, dass etwa 10 bis 12 Prozent der Kinder unter 13 Jahren auf Instagram oder Facebook zugreifen. Meta müssen seine Maßnahmen “stärken”, um solchen Registrierungen vorzubeugen, entsprechende Konten zu identifizieren und zu entfernen. Die Untersuchungsergebnisse seien vorläufig und keine finale Bewertung, sagte die Kommission.

Meta widerspricht

Meta widerspricht den Feststellungen: „Wir stellen klar, dass Instagram und Facebook für Personen ab 13 Jahren bestimmt sind, und wir haben Maßnahmen getroffen, um Konten von Personen unter diesem Alter zu erkennen und zu löschen“, erklärte ein Sprecher. Das Unternehmen werde weiterhin mit der EU zusammenarbeiten.

Der Konzern kann nun schriftlich auf die Vorwürfe reagieren und Einwände vorbringen. Gelangt die Kommission im nächsten Schritt dennoch zu dem Schluss, dass die Maßnahmen nicht ausreichen, droht eine Geldbuße von maximal 6 Prozent des weltweiten Jahresumsatzes. Meta verzeichnete für das Jahr 2025 einen Umsatz von 201 Milliarden US-Dollar.

Die Kommission hat die Untersuchung gegen Meta bereits im Jahr 2024 angestoßen. Parallel zum aktuellen Verfahren zum Schutz von Minderjährigen laufen weitere Untersuchungen, unter anderem zu süchtigmachenden Mustern auf Facebook und Instagram sowie Melde- und Beschwerdesysteme für illegale Inhalte.

Wer weitverbreitete Webbrowser wie Googles Chrome oder Mozillas Firefox einsetzt, sollte zügig die bereitstehenden Aktualisierungen anwenden. Sie schließen als kritisches Risiko eingestufte Sicherheitslücken, die Angreifern unter anderem Codeschmuggel ermöglichen.

Webbrowser Google Chrome

Google-Entwickler arbeiten inzwischen offenbar auch mit KI zur Schwachstellensuche, die aktualisierten Versionen 147.0.7727.137 (Android, Linux) und 147.0.7727.137/138 (macOS, Windows) stopfen 30 Sicherheitslücken auf einen Schlag – seit einigen Wochen ist hier eine deutliche Erhöhung der gefundenen und korrigierten Sicherheitslecks zu beobachten. In der Versionsankündigung deuten sie knapp an, in welchen Komponenten des Browsers welcher Schwachstellentyp mit welchem Schweregrad gefunden wurde. Demnach können Angreifer etwa mit manipulierten Webseiten eine Use-after-free-Lücke in der Canvas-Komponente von Chrome unter Linux oder ChromeOS zum Ausführen von beliebigem Code in einer Sandbox missbrauchen (CVE-2026-7363, kein CVSS, Risiko laut Google „kritisch“). Unter iOS hat Chrome ebenfalls eine Use-after-free-Schwachstelle, die beim Verarbeiten von manipulierten Webseiten Speicher auf dem Heap durcheinander bringt (CVE-2026-7361, kein CVSS, Risiko laut Google „kritisch“).

Unter Windows gibt es bei den Barrierefreiheitsroutinen in Chrome eine Use-after-free-Lücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7344, kein CVSS, Risiko „kritisch“). Im User-Interface-Framework Views klafft ebenfalls eine Use-after-free-Sicherheitslücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7343, kein CVSS, Risiko „kritisch“). Bei Use-after-free-Schwachstellen nutzt der Programmcode bereits freigegebene Ressourcen, wodurch dort undefinierte Inhalte liegen – was sich oftmals etwa zum Ausführen von eingeschleustem Schadcode missbrauchen lässt. 23 weitere Sicherheitslücken stuft Google als hohes Risiko ein.

Firefox-Webbrowser

Die Mozilla-Foundation hat derweil die Versionen Firefox 150.0.1, Firefox ESR 140.10.1 und Firefox ESR 115.35.1 herausgegeben. Sie eint gemeinsame Sicherheitslücken, die die Speichersicherheit betreffen, also etwa Zugriffe außerhalb vorgesehener Speicherbereiche ermöglichen. Die Entwickler gehen jedoch nicht in die Details (CVE-2026-7322, CVSS 7.3 (laut CISA), Risiko nach Mozilla aber „kritisch“).

Bei keiner der Schwachstellen geben die Entwickler an, dass es Hinweise auf Missbrauch im Internet gibt. Dennoch sollten Nutzerinnen und Nutzer zügig sicherstellen, mit abgesicherten Versionen im Netz unterwegs zu sein.

Den aktuell laufenden Softwarestand zeigen bei allen Webbrowsern die Versionsdialoge an, die sich durch Klick auf das Einstellungsmenü und dort unter „Hilfe“ – „Über “ öffnen. Steht ein Update zur Verfügung, meldet der Dialog das und bietet die Installation an. Unter Linux ist dafür in der Regel die Softwareverwaltung der Distribution zuständig. Auf Mobilgeräten zeichnen sich hingegen die App-Stores für die Updateverwaltung verantwortlich. Allerdings stehen die Aktualisierungen dort oft erst mit Verzögerung bereit.

Auf diesen Projekten aufsetzende Browser wie der Chromium-basierte Microsoft Edge dürften in Kürze ebenfalls Aktualisierungen anbieten, die die Sicherheitslecks ausbessern. Ebenso ist für das Mailprogramm Thunderbird in Kürze mit Updates zu rechnen, da es auf dem verwundbaren Firefox-Code basiert.

(dmk)