Das Problem verfolgt die Debatte um digitale Souveränität wie ein Schatten: Der Begriff ist nicht definiert. Wer genau sich von wem unabhängiger machen soll, bleibt unklar. Nun will die EU den Ausbau von Rechenzentren als Schritt zu mehr Souveränität verkaufen. Dabei entstehen allerdings neue Abhängigkeiten, und zwar von Energieversorgern.

Am Mittwoch hat Kommissions-Vizepräsidentin Henna Virkkunen das lang erwartete Technological Sovereignty Package präsentiert. Von der Hardware bis zur Software will die Kommission Europa technologisch autonomer und resilienter machen. „Wir können es uns nicht leisten, bei den Technologien, die den Betrieb unserer Krankenhäuser, die Stabilität unserer Energienetze und die Sicherheit unserer Dienste gewährleisten, von anderen abhängig zu sein“, lässt sich Ursula von der Leyen (CDU) zitieren.

Eine Definition für digitale Souveränität habe die Kommission allerdings versäumt, kritisiert Marielle-Sophie Düh. Sie ist Doktorandin am Centre for Digital Governance der Hertie School und Mitglied der Forschungsgruppe „Politics of Digitalization“ vom Wissenschaftszentrum Berlin für Sozialforschung. Die Kommission reduziere „Souveränität weitgehend auf ein industriepolitisches Projekt“.

Energiebedarf: verfünffachen

Daraus macht die Kommission keinen Hehl. Ganz offiziell will sie mit dem Paket „die Wettbewerbsfähigkeit und die geoökonomische Position Europas stärken“, heißt es in einer Zusammenfassung. Hierfür will sie den Weg für mehr Rechenzentren ebnen.

Offenbar waren die Lobby-Bestrebungen von Wirtschaftsverbänden erfolgreich. Im Vorfeld hatte etwa der Verband der Internetwirtschaft eco gewarnt: Europa dürfe „den Ausbau von Rechenzentren nicht durch neue Regulierung selbst ausbremsen“. Dabei ist Deutschland heute schon nach den USA das Land mit den weltweit meisten Rechenzentren.

Nun will die EU-Kommission Genehmigungsverfahren für Rechenzentren unter bestimmten Bedingungen beschleunigen. Wie ein hochrangiger EU-Beamter erklärte, visiert die Kommission mit ihrem Paket an, dass sich der Energiebedarf europäischer Rechenzentren in etwa verfünffachen wird – von zurzeit 12 Gigawatt auf 60 Gigawatt im Jahr 2035.

Damit verschlingen Rechenzentren zunehmend große Teile des Strombedarfs ganzer EU-Länder. Rechenzentren in Irland beanspruchen bereits heute 22 Prozent des dortigen Bedarfs, mehr als ein Fünftel. In Deutschland sind es noch vier Prozent.

Umweltvorschriften: verwässern

Um „den Weg für diese stromfressenden Rechenzentren frei zu machen“, sei die Kommission dazu bereit, „Umweltvorschriften zu verwässern“, kritisiert Bram Vranken. Er ist Forscher und Aktivist beim Corporate Europe Observatory und untersucht die Lobby-Taktiken von Unternehmen wie Meta, Amazon und Google. Dafür werfe die Kommission ihre Klimaziele über den Haufen. So habe Big Tech mithilfe aggressiver Lobbyarbeit den „Plan der Kommission, Mindeststandards für die Nachhaltigkeit von Rechenzentren einzuführen, zum Scheitern gebracht“, so Vranken.

Er warnt: Mit ihrer Wirtschaftspolitik wird die EU „unser aller Stromrechnungen in die Höhe treiben“. In Irland ist das seit mindestens einem Jahr bittere Realität.

KI-Wettlauf: mithalten

Mit den Rechenzentren und ihrem Energiehunger will die EU im weltweiten KI-Wettlauf mithalten. Dafür hat die Kommission schon vor gut einem Jahr den Aktionsplan „Kontinent KI“ aufgestellt, wonach sogenannte Künstliche Intelligenz die Wettbewerbsfähigkeit Europas entscheidend bestimme.

Auch wenn Tech-Konzerne gerne ein anderes Bild vermitteln, verbraucht vor allem generative KI viel Energie und treibt den Bedarf weiter in die Höhe: So erwartet die Internationale Energieagentur, dass der Stromverbrauch aller Rechenzentren weltweit bis 2030 auf rund 945 Terrawattstunden ansteigt. Das wäre doppelt so viel wie im Jahr 2024.

Die Kommission will zwar an der Energieeffizienz schrauben, um den Bedarf an teurer Energie aus fossilen Brennstoffen zu begrenzen und stärker auf erneuerbare Energien zu setzen. Aber in welchem Ausmaß wird das gelingen? In Deutschland geht Wirtschaftsministerin Katherina Reiche (CDU) einen ganz anderen Weg. Die Ex-CEO des Strom- und Gasnetzbetreibers Westenergie bastelt an der Ausschreibung für mehr Kapazität bei Gastkraftwerken: 20 Gigawatt bis 2030.

Für die„AI First“-Mentalität der EU-Kommission ist „digitale Souveränität“ bloß ein Label. Im Zentrum steht der globale Industrie-Wettbewerb – nicht Folgen für Umwelt oder Gesellschaft. Jüngst hat die EU-Kommission den Siemens-Vorstandsvorsitzenden Jim Hagemann Snabe als Berater für industrielle KI eingesetzt. In Brüssel gab es dafür viel Kritik, immerhin hatte sich Snabe dafür eingesetzt, KI-Vorschriften in der EU zu schleifen. Die Folgen der KI-Politik dürften jedoch alle treffen, spätestens bei der Stromrechnung.

In Sachsen haben sich die Fraktionen von CDU und SPD mit dem BSW auf eine Verschärfung des dortigen Polizeige­setzes geeinigt. Damit hätte die Novelle bei der bevorstehenden Abstimmung eine Mehrheit im Landtag – wenn auch eine äußerst knappe.

Der netzpolitik.org vorliegende Ände­rungsantrag zeigt, an welchen Stellen die Fraktionen den Entwurf der Staatsregierung entschärft ha­ben und welche neuen Befugnisse zur Überwachung dennoch kommen sollen. Aus Gründen des Quellenschutzes können wir das Dokument allerdings noch nicht als Volltext veröffentlichen.

In Sachsen koalieren CDU und SPD in einer Minderheitsregierung. Gesetzesvorhaben wie die Novelle des Polizeirechts brauchen daher zusätzliche Stimmen von AfD, BSW, Grünen oder Linken. Dass das BSW in diesem Fall die Mehrheit für Innenminister Armin Schuster (CDU) beschaffen würde, hatte sich bereits früh angedeutet.

Hacken, filmen, scannen

Mit ihrer Einigung wollen die drei Fraktionen weitreichende neue Befugnisse zur Überwachung schaffen. So soll die Polizei in Sachsen künftig mehr Computer und Smartphones hacken dürfen, denn die sogenannte Quellen-TKÜ wird auch für die Gefahrenabwehr eingeführt.

Teil des Gesetzentwurfs ist weiterhin die Einführung von Gesichter- und Stimmensuche im Internet. Ein Sachverständiger hatte im Innenausschuss gewarnt, dass der von Innenminister Schuster getaufte „Klette-Paragraf“ gegen die KI-Verordnung der EU verstößt. Allerdings sehen manche darin Schlupflöcher.

Auch die Befugnisse zur KI-Video-Überwachung haben die Verhandler:innen im Vergleich zum Regierungsentwurf kaum verändert. Es bleibt also dabei, dass die Polizei künftig an Kriminalitätsschwerpunkten Soft­ware einsetzen darf, die gefährliche Objekte oder Verhalten erkennen soll.

Ebenso ist eine Live-Gesichtserkennung geplant. Sie soll Personen identifizieren und über mehrere Kameras hinweg verfolgen können. Treffen soll es Menschen, die zuvor durch Verhaltensscanner und Beamt:innen ins Visier geraten sind. Außerdem soll die Polizei damit nach Menschen suchen können, bei denen sie Terrorgefahr ver­mutet. Eine solche Identifizierung unterliegt einem Richtervorbehalt; bei Gefahr in Verzug dürfen sie aber auch bestimmte Polizist:innen anordnen.

Datenanalyse, aber ohne Palantir

Auf Abschwächungen gegenüber dem Kabinettsentwurf einigten sich BSW, CDU und SPD vor al­lem bei der automatisierten Datenanalyse und dem Training und Test von KI-Systemen.

Eine Analyseplattform soll Daten der Polizei verknüpfen und automatisiert auswerten. Unter be­stimmten Voraussetzungen sollen auch selbstlernende Systeme zum Einsatz kommen und Verhal­tensprofile entstehen. Im Unterschied zu Bayern, Hessen und NRW soll in Sachsen dafür al­lerdings keine Software der Firma Palantir zum Einsatz kommen. Darauf hatten sich CDU und SPD bereits im Kabinett geeinigt.

Zudem soll das neue Sächsische Polizeivollzugsdienstgesetzes (kurz: SächsPVDG) folgende Vorschrift enthalten:

Der Ein­satz von Systemen, deren Entscheidungslogik nicht nachvollziehbar und überprüfbar offengelegt werden kann, ist unzulässig.

Nach Ansicht von Bernd Rudolph, innenpolitischem Sprecher der BSW-Fraktion, lasse sich damit der Einsatz proprietärer Systeme quasi ausschließen.

Stephanie Henkel, die sich etwa beim Dresdner Chaos Computer Club (C3D2) gegen Überwachung engagiert, hält das für unrealistisch: „Für die hochkomplexen Programme, die zur Datenanalyse eingesetzt werden sollen, kann gar keine solche Nachvollziehbarkeit hergestellt werden.“ Der Wunsch nach Transparenz würde eine zwingende Streichung großer Datenbank-Analysen bedeuten. „Doch davon sind CDU, SPD und BSW weit entfernt“, so Henkel, die im Netz auch als ÜckÜck auftritt.

Die Einigung von BSW, CDU und SPD schließt zudem eine direkte Anbindung der Analyseplatt­form an das Internet aus. Auch die zunächst vorgesehene Erlaubnis, „einzelne gesondert gespeicher­te Datensätze aus Internetquellen“ einzubeziehen, wurde gestrichen. Zudem greift der Richtervorbe­halt nun schon bei der automatisierten Datenanalyse, nicht erst beim Einsatz selbstlernender Syste­me oder dem Erstellen von Verhaltensprofilen.

Kennzeichen erfassen, mit Bodycams filmen

Die geplanten Vorschriften für das KI-Training sind nach wie vor umfassend, wurden jedoch im Vergleich zum Kabinettsentwurf leicht abgemildert. Die Daten sollen demnach mindestens pseudonymisiert sein. „Um die Ausbildung diskriminierender Algorithmen zu vermeiden, sollen zusätzlich Echtdaten aus zerti­fizierten Datenbanken genutzt werden“, erklärt Albrecht Pallas, innenpolitischer Sprecher der SPD-Fraktion in einer Mitteilung.

Zwar soll die Polizei für Training und Test von KI-Systemen künftig mit externen Dienstleistern zusammenarbeiten, allerdings nur mit solchen, „deren Firmensitz und Serverstrukturen innerhalb der Europäischen Union liegen“, wie es im gemeinsamen Änderungsantrag heißt.

Weitere Entschärfungen beschränken sich auf Details. So wurde bei der neuen Befugnis zum verdeckten Scan von Autokennzeichen festgehalten, dass es vorher Ansatzpunkte für Straftaten von „grenzüberschreiten­der Relevanz“ geben muss. Das potenzielle Grenzgebiet – bis zu 30 Kilometer Entfernung von Polen und Tschechien – umfasst allerdings die Hälfte Sachsens.

Mit Bodycams soll die Polizei künftig auch in Wohnungen filmen dürfen. Allerdings hat das BSW hier die Bedingung durchgesetzt, dass der Einsatz nur zulässig sei, „sofern damit nicht die Überwachung der Wohnung verbunden ist“.

Doch keine Taser für alle

Das BSW brüstet sich zudem damit, die Einführung von Tasern – also Elektroschockern – für alle Polizist:innen verhindert zu haben. „Damit tragen wir auch den Bedenken vieler Polizeibeschäftigter Rechnung, die den zusätz­lichen Nutzen im Alltag kritisch bewerten“, lässt sich Jens Hentschel-Thöricht zitieren, Parlamenta­rischer Geschäftsführer des BSW. Es bleibt in Sachsen also dabei, dass nur Spezialkräfte der Polizei Taser tragen dürfen.

Die Abkehr von Tasern fällt aus der Reihe: Sie ist nicht Teil des gemeinsamen Ände­rungsantrags mit CDU und SPD, sondern kommt als eigener Änderungsantrag zur finalen Abstim­mung des Gesetzes im Landtagsplenum. Dennoch ist auch hier die Zustimmung von CDU und SPD vereinbart, heißt es vonseiten der Fraktionen. Das BSW beruft sich darauf, dass der Antrag „derzeit noch rechtssicher erarbeitet“ wer­de.

Möglicherweise will das BSW die Einigung durch dieses Manöver als besonderen Erfolg hervorheben. Das könnte auch ein Signal an die eigenen Reihen sein, denn die Polizeirechtsno­velle ist auch innerhalb des BSW umstritten. Erst kürzlich hatte das BSW sogar ein länder­übergreifendes Positionspapier zu den Polizeirechtsnovellen in Brandenburg, Thüringen und Sach­sen veröffentlicht. Darin schreibt Parteivorsitzende Amira Mohammed Ali: „Wir treten entschieden dem Im­puls der Innenminister entgegen, Bürger grenzenlos zu durchleuchten und zunehmend unter Gene­ralverdacht zu stellen.“

Konkret warnt das Papier vor algorithmischer Bewertung statt polizeili­cher Expertise. Zur Wirkung von KI-Videoüberwachung fehle wissenschaftliche Evidenz.

Unmut in der BSW-Fraktion

Dass mit den Stimmen des BSW nun trotzdem Quellen-TKÜ und Verhaltensscanner nach Sachsen kommen, schmeckt nicht allen BSW-Ab­geordneten. So hat die 15 Sitze starke BSW-Fraktion nach einem Bericht der Freien Presse (€), der sich mit netzpolitik.org-Informationen deckt, lediglich elf Stimmen für die SächsPVDG-Novelle zugesichert. Damit hätte die Polizeirechtsnovelle eine sehr knappe Mehrheit – mit nur einer Stimme mehr als nötig.

Die drei Fraktionen feiern sich dennoch für den Kompromiss: „Mit dem neuen Gesetz erhält Sach­sens Polizei wichtige und zeitgemäße Möglichkeiten zur Verbrechensbekämpfung“, sagt Ronny Wäh­ner, innenpolitischer Sprecher der CDU. „Wir halten damit Schritt mit der Entwicklung moderner Polizeigesetze in anderen Bundesländern.“

Der SPD-Abgeordnete Pallas teilt mit, mit den nun verein­barten Änderungen „schaffen wir ein zeitgemäßes Polizeigesetz, das Sicherheit und Freiheit glei­chermaßen Rechnung trägt“. Bernd Rudolph vom BSW betont: „Mit diesem Kompromiss stellen wir sicher, dass die sächsische Polizei moderne Technik nutzen kann, ohne dass die Privatsphäre der Bürgerinnen und Bürger unverhältnismäßig eingeschränkt wird.“

„Unterm Strich ein Desaster“

Vehementer Widerspruch kommt aus der Zivilgesellschaft. Stephanie Henkel, die sich neben dem C3D2 auch bei der Piratenpartei und den Datenpunks engagiert, bereitet die Ankündigung nach eigenen Worten große Sorgen. „Unterm Strich ist das, worauf sich die drei Parteien geeinigt haben, ein Desaster“, bilanziert sie.

Im Vergleich zum Kabinettsentwurf sieht sie nur einzelne Verbesserungen: etwa dass die Polizei keine Klardaten für KI-Trainings nutzen soll, oder dass nur EU-Dienstleister die für dieses Training notwendigen Daten bearbeiten sollen. Aber „die wirklich demo­kratiegefährdenden Änderungen“, wie die Quellen-TKÜ, Mustererkennung und Gesichtsscans stünden nach wie vor im Gesetz.

Stephanie Henkel ruft deshalb dazu auf, die Abgeordneten von BSW, CDU und SPD zu kontaktie­ren. „Die vermeintlich gefühlte Sicherheit, die die neuen Technologien bringen soll, ist keine Si­cherheit, sondern ein gefährliches Werkzeug, was nicht nur gegen uns als Bevölkerung, sondern auch gegen die Politiker:innen, die jetzt den Gesetzesentwurf vorantreiben, eingesetzt werden kann.“ Man könne nicht vorhersagen, was eine andere sächsische Regierung mit den neuen Befug­nissen und den damit gewonnen Informationen anstelle.

Wenig Zeit für Widerstand

Auch wenn die Mehrheit für den Gesetzentwurf sehr knapp ist – es bleibt wenig Zeit für öffentlichen Druck. Am 11. Juni werden die Abgeordneten im Innen­ausschuss über den gemeinsamen Änderungsantrag von BSW, CDU und SPD abstimmen. Wie die meisten Ausschusssitzungen im Landtag ist auch dieser Termin nicht öffentlich. Eine echte Debatte gibt es dann voraussichtlich erst am 24. Juni. Dann soll im Plenum des Sächsischen Landtags die Polizeirechtsnovelle final abgestimmt werden.

Die Abstimmung zu verschieben dürfte für die Abgeordneten keine Option sein. Wegen eines Urteils gegen das ak­tuelle SächsPVDG gelten einige aktuelle Befugnisse der Polizei nur bis Ende Juni 2026 – außer es kommt ein neues Gesetz. Selbst Grüne und Linke, die die vorgelegte Novelle ablehnen, wollen dieses Szenario verhindern. Die Grünen haben deshalb einen eigenen Entwurf für ein Polizeigesetz ohne weitreichende Befugnisse zur Überwachung vorgelegt.

Angreifer können die volle Kontrolle über Wave-7-Router von Acer erlangen. Schuld sind zwei „kritische“ Sicherheitslücken mit Höchstwertung, gegen die es bislang kein Sicherheitsupdate gibt. Acer stellt den Patch für Ende Juni in Aussicht.

Zugangsdaten einsehbar

In einer Warnmeldung führt der Hardwarehersteller aus, dass beide Lücken (CVE-2026-49200, CVE-2026-49201) mit dem maximalen CVSS Score 10 von 10 eingestuft sind. Der Hersteller gibt an, dass davon alle Router bis inklusive der Firmware T7c_GBL_1.01.000055 bedroht sind.

Aufgrund einer fehlenden Abschottung können Angreifer ohne Authentifizierung über das Webinterface auf die Firmware von Routern zugreifen und dort die Datei acer_cgi.log einsehen. Darin finden sich unverschlüsselte Zugangsdaten, sodass Angreifern im Anschluss die volle Kontrolle über Geräte erlangen.

Im zweiten Fall können Angreifer auf die upload.cgi-Binary zum Verarbeiten von Gerätebackups zugreifen und Firmwares modifizieren. So können sie etwa eine Hintertür im Code platzieren. Wie solche Attacken im Detail ablaufen, ist bislang unklar. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Angreifer keine großen Hürden für eine erfolgreiche Attacke überwinden müssen.

Router vom Internet trennen

Weil es derzeit keinen Sicherheitspatch und auch keine Übergangslösung zum Absichern der Router gibt, sollten Besitzer das Gerät von Internet trennen, um Angreifern keinen Ansatzpunkt zu geben. Da ein Router der Eingang ins eigene Netzwerk ist, gilt er als besonders schützenswert. Bislang gibt es seitens Acer keine Hinweise darauf, dass Angreifer bereits Geräte attackieren. Das kann sich aber schnell ändern.

Mitte März wurden Sicherheitslücken in TP-Links Router der Archer-Serie bekannt, die unter anderem ebenfalls das Flashen einer manipulierten Firmware ermöglichten.

(des)