Für sie ist digitale Souveränität das Thema der re:publica 2026, sagte Astrid Maier, stellvertretende Chefredakteurin der Nachrichtenagentur dpa. Auf der Digitalkonferenz moderierte sie am Mittwoch eine Podiumsdiskussion dazu, wie deutsche Medienhäuser Software großer US-Konzerne einsetzen.

Maiers Eindruck verwundert wenig angesichts der Fülle an Talks, Podiumsdiskussionen und Workshops zu diesem Schlagwort – ganz gleich, ob es um sogenannte Künstliche Intelligenz, Cloud-Speicher, Rechenzentren oder Bezahlsysteme ging.

Allerdings verstanden die beteiligten Panel-Teilnehmer:innen unter digitaler Souveränität durchaus Unterschiedliches. Über Grundrechte sprach etwa re:publica-Mitgründer Markus Beckedahl. Thomas Jarzombek, Staatssekretär im Bundesdigitalministerium, will hingegen die europäische KI-Start-up-Szene stärken. Und auf dem Panel „Cut me loose: Wie der EU der digitale Befreiungsschlag gelingt“ plädierte die EU-Abgeordnete Alexandra Geese (Grüne) gemeinsam mit nextcloud-CEO Frank Karlitschek dafür, Open-Source bei IT-Unternehmen aus der EU einzukaufen. Ihr Gegenüber Axel Voss (CDU) sprach sich derweil für möglichst rasche Deregulierung aus.

Versäumte Fragen

Das breite Spektrum an Meinungen zum Thema lasse sich unter anderem damit erklären, dass die Debattierenden unterschiedliche oder sogar gegenläufige Verständnisse des Begriffs haben, lautet die Beobachtung von Julia Pohle und Marielle-Sophie Düh vom Wissenschaftszentrum Berlin für Sozialforschung (WZB). Aus ihrer Sicht versäumen wir es, in der Debatte zunächst drei Fragen zu stellen: Für wen soll digitale Souveränität erreicht werden? Von wem? Und zu welchem Ziel?

In ihrem Talk „Digitale Souveränität: Das Bullshit Bingo“ erklärten die beiden Politikwissenschaftlicherinnen, welche Mythen die Debatte hemmen. So sei das zugrundeliegende Konzept, auch wenn der aktuelle Hype etwas anderes suggeriere, keineswegs neu. Spätestens der Bericht „Die Informatisierung der Gesellschaft“ der hochrangigen französischen Beamten Simon Nora und Alain Minc habe 1978 den Startschuss für die Debatte gegeben.

Darin richteten Nora und Minc vor knapp 50 Jahren einen dringlichen Appell an den französischen Präsidenten: „Es ist eine Frage der Souveränität. Der Kampf gegen die Übermacht der amerikanischen Industrie im Bereich der Computer-Technologie ist bereits verloren.“

Kein primär demokratisches Konzept

Auch den Mythos, dass „digitale Souveränität“ ein europäisches oder primär demokratisches Konzept sei, entzaubern Düh und Pohle.

Denn auch Länder in anderen Teilen der Welt streben nach digitaler Souveränität. So zielten etwa der IndiaStack in Indien oder die Initiative African Digital Compact der Afrikanischen Union darauf ab, ihre Wirtschaften mittels digitaler Technologien zu fördern.

Zugleich nutzen autokratische Länder das Konzept, um staatliche Kontrolle zu stärken. So hievte Russland das „souveräne Internet“ bereits im Jahr 2012 auf die staatliche Agenda; China tat Ähnliches schon 1994.

Damals schrieb das Informationsbüro des Staatsrats der Volksrepublik: „Das Internet ist eine Frage des wirtschaftlichen Wohlstands und Entwicklung, der staatlichen Sicherheit und gesellschaftlichen Stabilität, der staatlichen Souveränität.“ Der Staat müsse demnach im Netz die Hoheit haben und Regeln setzen. Das zentrale Ziel lautete: Informationskontrolle.

Um wen geht’s?

Dass der Begriff in der europäischen Debatte zugleich vielfältig genutzt wird, verdankt sich laut Pohle und Düh den drei Dimensionen, die er umfasst: Nutzer:innen, Staat und Wirtschaft.

Auf EU-Ebene stehe „digitale Souveränität“ quasi für eine allumfassende Heilsstrategie, die etwa die Kommission gerne ins Zentrum europäischer Digitalpolitik stellen würde, so Pohle. Doch das gebe der Begriff nicht her, da mit ihm unterschiedliche Ziele verknüpft seien, wie etwa der Schutz von Nutzerrechten, die Sicherheit von Infrastrukturen, die Unabhängigkeit der öffentlichen Verwaltung sowie – nicht zuletzt – die Wettbewerbs- und Innovationsfähigkeit.

Der Schutz demokratischer Öffentlichkeiten habe im europäischen Diskurs lange Zeit im Vordergrund gestanden, sagte Pohle, die bereits seit 15 Jahren zum Thema forscht. Inzwischen dominiere aber die wirtschaftliche Dimension die Debatte.

Dass die einzelnen Stakeholder jeweils einen anderen Fokus haben, mache es schwer, das Konzept umzusetzen. „Wenn unklar ist, wie diese Dimensionen ineinander spielen und welche Ziele angestrebt werden sollen, ist auch unklar, was für Maßnahmen es braucht, um die zu erreichen“, so Pohle.

Mehr Rechenzentren sorgen nicht für mehr Datensouveränität

Diese Unklarheit erkläre wohl auch, warum insbesondere vermeintlich souveräne Cloud-Produkte von Amazon, Google und Microsoft derzeit stark nachgefragt seien.

Deren Versprechen seien jedoch überaus zweifelhaft, sagt Düh. Wenn eigene Rechenzentren tatsächlich zu digitaler Souveränität führen würden, müsste Deutschland bereits Cloud-Souveränität erreicht haben. Die Bundesrepublik ist nach den USA das Land mit den meisten Rechenzentren weltweit und rangiert damit noch vor China. Gleichzeitig aber seien „wir zu 80 Prozent von den US-amerikanischen Cloud-Anbietern abhängig“.

Allerdings sei das Versprechen der Tech-Konzerne aus den USA, wonach die in der EU gehosteten Daten sicher seien, hohl. Denn der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, verpflichtet sie unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden.

Klar sagen, worum es geht

Wenn wir in der Debatte um digitale Souveränität weiterkommen wollen, so Pohles und Dühs Fazit, müssen wir auf den Begriff möglichst verzichten. Stattdessen sollten wir klar benennen, um was es uns konkret geht – um Wettbewerbsfähigkeit, um öffentliche Beschaffung, um Grundrechte, um Sicherheitspolitik.

Andernfalls laufen alle Beteiligten an der Debatte Gefahr, Forderungen stark zu machen, hinter denen sie eigentlich nicht stehen. Und das dürfte weder in unserem Interesse liegen noch einer konstruktiven Debatte zuträglich sein.

Notepad++ schließt in der neuen Version 8.9.6 eine Sicherheitslücke im Installer. Die Risikobewertung ist noch nicht eindeutig, ein aufgeführter CVE-Eintrag noch nicht veröffentlicht.

In der Versionsankündigung schreibt der Notepad++-Entwickler Don Ho, dass die Schwachstelle Version 8.9.4 und 8.9.5 von Notepad++ betreffe, in der letzteren Fassung jedoch einige Installer-bezogene Regressionen bereits ausgebessert wurden. Es handelt sich um die Lücke mit dem CVE-Eintrag CVE-2026-46710, der bislang jedoch noch nicht veröffentlicht wurde. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt zur Einschätzung, dass der Schweregrad gemäß CVSS 7.3 erreicht, also als Risiko „hoch“ eingestuft wird.

Gemäß alter Programmiererdoktrin ist daher derzeit der Code die Dokumentation. Im zugehörigen Commit zur Schwachstelle schreibt Ho, dass der Dateipfad nun aus der Registry bezogen anstatt hartkodiert wird. Das bezieht sich auf den Aufruf von „powershell“, die jedoch zuvor ohne jedweden Pfad aufgerufen wurde. Das legt zumindest die Vermutung nahe, dass ein Angreifer eine bösartige Datei mit dem Namen „powershell.exe“ in den Windows-Suchpfad hätte legen können, der dann beim Start der Installation oder eines Updates ausgeführt wird.

Update manuell anwenden

Die aktualisierte Version findet sich auf der Notepad++-Download-Webseite. Der interne Update-Mechanismus meldet zum Meldungszeitpunkt bei Aufruf, dass es kein allgemein verfügbares Update nach v8.9.5 gebe. Auch der Aufruf von „winget upgrade –all“ an der Windows-Eingabeaufforderung fördert die aktualisierte Version des mächtigen Textwerkzeugs bislang noch nicht auf das Laufwerk. Wer sich also jetzt schon schützen möchte, muss selbst Hand anlegen und das Update herunterladen und installieren.

Ende vergangenen Jahres wurde eine Sicherheitslücke im Update-Mechanismus von Notepad++ von staatlichen Akteuren missbraucht. Sie haben damit Malware auf Rechner der Opfer verfrachtet.

(dmk)

Bei der Durchsetzung europäischer Digitalgesetze sind die EU-Kommission und nationale Behörden nicht auf sich allein gestellt. Vor allem für die Sammlung von Beweisen stützen sie sich oft auf die Arbeit externer Organisationen wie AI Forensics.

Die gemeinnützige Organisation analysiert und untersucht die Algorithmen, die die Informationslandschaft prägen. Mit Sitz in Paris versteht sie sich als europäische Organisation, deren Mitarbeitende über den ganzen Kontinent verstreut sind.

In einem Interview mit netzpolitik.org erzählt Marc Faddoul, Gründer und Direktor von AI Forensics, von den Erfahrungen bei der Zusammenarbeit mit Regulierungsbehörden und zeigt auf, wie die Rahmenbedingungen verbessert werden könnten: durch flexible Finanzierung und rechtlichen Schutz.

Mitwirkung hinter den Kulissen

netzpolitik.org: Wir fragen oft, ob die EU-Kommission oder die nationalen Behörden über genügend Personal verfügen, um das Gesetz über digitale Dienste (DSA) durchzusetzen, aber niemand erwähnt jemals Mitwirkende wie euch. Ich nehme an, das liegt zum Teil daran, dass ihr nicht über alles sprechen dürft, was ihr zu Untersuchungen beitragt …

Marc Faddoul: In gewisser Weise bin ich manchmal selbst schockiert. Über die Rolle, die wir in diesen großen politischen Kontexten spielen, darüber, wie viel auf die Zivilgesellschaft zurückfällt.

Ich bin mir nicht einmal sicher, ob die Anzahl der Personen ausschlaggebend ist. Es geht eher um das spezifische Fachwissen, das für diese Arbeit erforderlich ist. Das ist nicht unbedingt das Profil, das von Institutionen angezogen wird.

Und auch die Methoden: Wir müssen oft unkonventionelle und „konfrontative Methoden“ anwenden, um unsere Arbeit zu erledigen. Das ist nicht das, was Institutionen am besten können.

netzpolitik.org: Fangen wir also ganz am Anfang an. Was genau macht ihr?

Marc Faddoul: Wir haben uns intensiv mit Empfehlungssystemen in sozialen Medien beschäftigt, da diese früher – und auch heute noch weitgehend – das einflussreichste algorithmische System bei der Auswahl der Informationen sind, die wir konsumieren. Wir beschäftigen uns zunehmend mit Chatbots, da diese zu den neuen Gatekeepern von Online-Inhalten werden.

Unsere Zielgruppe ist die breite Öffentlichkeit, meist über Journalist:innen. Und wir richten uns gezielter an Regulierungsbehörden und politische Entscheidungsträger:innen, um politische Entscheidungsprozesse zu beeinflussen und insbesondere bestehende Gesetze durchzusetzen.

Unsere Berichte sind stets datengestützt. Wir sammeln Daten, auch zu Systemen, für die es keine offiziellen Datenzugriffsmechanismen gibt. Dazu nutzen wir sogenannte „konfrontative Methoden“, die es uns ermöglichen, öffentlich zugängliche Inhalte direkt aus diesen Diensten zu scrapen und so zu analysieren, wie sie sich unter verschiedenen Bedingungen und für verschiedene Nutzende verhalten.

netzpolitik.org: Du hast die Durchsetzung von Gesetzen angesprochen. Gibt es neben dem Digital Services Act noch andere Gesetze, die ebenfalls von großer Bedeutung sind, oder ist das derzeit wirklich das wichtigste?

Marc Faddoul: Es ist definitiv das wichtigste.

Erstens, weil es auf europäischer Ebene angesiedelt ist. Wenn man es mit diesen riesigen Tech-Giganten zu tun hat, braucht man eine ausreichend starke wirtschaftliche Macht, um seine Regeln durchsetzen zu können.

Zweitens umfasst es durch den Begriff der systemischen Risiken eine Vielzahl von Aspekten: Integrität von Wahlen, Risiken für die psychische Gesundheit, durch Technologie begünstigte geschlechtsspezifische Gewalt. In diesem DSA-Artikel wird eine ganze Reihe von Risiken erfasst, was den DSA zu einem der bislang flexibelsten Rechtsrahmen macht.

Aber wir arbeiten nicht nur am DSA. Kürzlich haben wir diese Studie durchgeführt, die die Verbreitung nicht-einvernehmlicher intimer Bilder und die Produktion von Missbrauchs-Darstellungen durch Grok aufdeckt. Beide Themen werden auch von vielen anderen Gesetze abgedeckt, sowohl in Europa als auch weltweit. In diesen Fällen arbeiten wir auch mit anderen Regulierungsbehörden zusammen, etwa in Australien, Großbritannien und Kalifornien.

netzpolitik.org: Und wie genau arbeitet ihr mit den Regulierungsbehörden zusammen? Macht ihr diese auf bestimmte Themen aufmerksam oder erhaltet ihr Aufträge von ihnen?

Marc Faddoul: In vielen Fällen führen wir eigene Untersuchungen durch und machen die Regulierungsbehörden dann darauf aufmerksam. Das geschieht also wirklich auf eigene Initiative.

In anderen Fällen wenden sich die Regulierungsbehörden mit konkreten Anfragen an uns. Das kann gegen Bezahlung oder im Rahmen eines Vertrags geschehen, muss aber nicht immer so sein.

Zum Teil unbezahlte Arbeit

netzpolitik.org: Und wenn es nicht bezahlt wird, warum macht ihr die Arbeit dann trotzdem?

Marc Faddoul: Wenn es unbezahlt ist, machen wir es trotzdem, weil es im Einklang mit dem Auftrag unserer Organisation steht, Plattformen gegenüber den Nutzenden und dem Gesetz zur Rechenschaft zu ziehen.

Aber natürlich gibt es Grenzen dafür, wie viel wir unter diesen Bedingungen leisten können, daher kann es nicht systematisch sein.

Es mangelt eindeutig an Finanzierungsmechanismen seitens der Institutionen, um das Ökosystem zu unterstützen. In gewisser Hinsicht entstehen zwar neue Mechanismen, aber sie sind noch recht begrenzt.

netzpolitik.org: Wer entscheidet über die Finanzierung und wie sollte sie eurer Meinung nach verbessert werden?

Marc Faddoul: Auf europäischer Ebene ist jetzt ein wichtiger Moment, da gerade die Verhandlungen über den mehrjährigen EU-Haushalt laufen. Ich denke, das ist eine große Chance, auf eine flexiblere Finanzierung hinzuwirken.

Einer der größten Kritikpunkte ist derzeit, dass ein Großteil der Mittel über Ausschreibungen des Horizont-Programms bereitgestellt wird. Bei denen handelt es sich in der Regel um dreijährige Projekte, die in einem großen Konsortium aus zehn oder mehr Organisationen durchgeführt werden müssen.

Das ist ziemlich unflexibel, da man drei Jahre im Voraus nicht vorhersehen kann, was am relevantesten sein wird.

Beispielsweise hat der Mechanismus zur Altersverifikation eine hohe Priorität erlangt. Das war vor zwei Jahren noch nicht der Fall. Es ist eine Veränderung in der politischen Agenda, die diesem Thema eine höhere Priorität einräumt.

netzpolitik.org: Okay, lass uns einmal darüber sprechen, wie sich die politische Agenda auf eure Arbeit auswirkt. In Brüssel heißt es, dass wichtige Entscheidungen in den DSA-Untersuchungen von Personen in hohen politischen Kreisen getroffen werden und es sich nicht um eine rein technische Durchsetzung handelt.

Marc Faddoul: Die Tatsache, dass dies ständig auf einer geopolitischen Ebene abgewogen wird, ist zum einen frustrierend für die Menschen, die an der Ausarbeitung dieser Untersuchung beteiligt sind, zum anderen aber vor allem unvereinbar mit den Aussagen jener Spitzenpolitiker:innen, die betonen, dass die Einhaltung europäischer Gesetze nicht verhandelbar sei und dass diese strikt durchgesetzt würden.

Zudem sendet dies ein falsches Signal an jene Plattformen und an feindselige Politiker:innen, dass sie tatsächlich Druck ausüben können, um diese Entscheidungen zu blockieren.

Und dann gibt es noch eine zweite Komponente, nämlich: Was wird durchgesetzt? Wo liegen die Prioritäten?

Hier gibt es viel Interpretationsspielraum, da der DSA sehr umfangreich ist. Er wird gerade eingeführt, und nicht alles wird mit derselben Geschwindigkeit und derselben Priorität umgesetzt.

Der politische Einfluss auf die Durchsetzung

netzpolitik.org: Was wird priorisiert?

Marc Faddoul: Die Themen, bei denen über das gesamte politische Spektrum hinweg sowie auf transatlantischer Ebene Einigkeit herrscht, etwa die Verbreitung nicht einvernehmlicher intimer Bilder. Selbst Melania Trump hat sich beispielsweise sehr für dieses spezielle Thema eingesetzt. Weitere Beispiele für Themen mit breitem Konsens sind Material von Kindesmissbrauch (CSAM) und die Altersüberprüfung. Es sind nach wie vor diese politischen Dynamiken, die bestimmen, wo der Druck angesetzt wird.

Auf der anderen Seite rückt Desinformation zum Klimawandel mittlerweile ganz nach unten auf der Prioritätenliste.

netzpolitik.org: Wie würdest du die Transparenz bei der Durchsetzung des DSA bewerten?

Marc Faddoul: Eins kann ich dir sagen: In den Untersuchungen, an denen wir beteiligt sind und in denen wir Beweismaterial vorgelegt haben, haben wir keine Ahnung, was darin steht oder wann sie veröffentlicht werden. Wir wissen nur, dass unser Material eingegangen ist.

Aber selbst dann können wir durch die Ergebnisse dieser Ermittlungen gefährdet werden.

Das ist bei der Untersuchung von X passiert. Die Geldbuße wurde verhängt, dann hat das US-Justizministerium die gesamte Ermittlungsakte mit unseren Namen darin ungeschwärzt geleakt.

Das hat also reale Konsequenzen für uns. Es kann zu Vergeltungsmaßnahmen gegen uns kommen, besonders wenn Elon Musk sehr aggressiv gegen die Geldbuße twittert und behauptet, das sei eine Zensur der Meinungsfreiheit in den USA, was natürlich völliger Unsinn ist.

Dennoch können wir in der Realität als Reaktion darauf schikaniert und angegriffen werden, aber wir hatten keinen Einfluss darauf, dass unser Name in diesen Akten erfasst wurde und dass sie veröffentlicht wurden. Und wir wurden nicht einmal wirklich über diesen Zeitplan informiert.

Das ist nicht direkt die Schuld der Kommission. Sie musste die Akte an Twitter weitergeben. Diese forderte das US-Justizministerium von Twitter an. Dann haben sie sie geleakt.

Wir sind ein zentraler Akteur bei der Aufarbeitung des Falls, haben aber keine Kontrolle und nicht einmal Informationen darüber, wie es weitergeht.

netzpolitik.org: Ihr könnt nicht nur durch Tweets oder Kommentare schikaniert werden, sondern es könnte auch rechtliche Konsequenzen geben, richtig? Gibt es dafür irgendeine Art von Schutz, oder werdet ihr da ganz allein gelassen?

Marc Faddoul: Das liegt ganz bei uns. Die Kommission hilft uns dabei in keiner Weise.

Hier haben wir eine klare politische Forderung, nämlich einen deutlich besser geschützten Raum für Menschen, die wie wir im öffentlichen Interesse recherchieren.

netzpolitik.org: Also, die wichtigsten Dinge, die ihr benötigt, sind eine bessere Finanzierung, rechtlicher Schutz, außerdem Transparenz – noch etwas?

Marc Faddoul: Nun, eigentlich halte ich es für unseren Schutz für gut, dass wir keine Einzelheiten zu den Fällen kennen. Ich würde das nicht als Forderung formulieren.

Die Finanzierung, auf jeden Fall. Sie sollte flexibler und kurzfristiger sein und nicht nur über große Konsortien laufen.

Und was den rechtlichen Schutz angeht, ja, auf jeden Fall. Ein sicherer Hafen für Forschung im öffentlichen Interesse und auch institutionelle Unterstützung, wenn wir von ausländischen Akteuren angegriffen werden, weil wir uns an der Durchsetzung demokratischer Regulierung beteiligen.