Der DSC-Beirat ist ein Gremium aus Zivilgesellschaft, Forschung und Wirtschaft. Er soll in Deutschland die Durchsetzung des Digital Services Act begleiten und den zuständigen Digital Services Coordinator unterstützen. Svea Windwehr ist Mitglied des Beirats und berichtet in dieser Kolumne regelmäßig aus den Sitzungen.

Eigentlich sollte die Sitzung im Juli die letzte für die bisherige Besetzung des DSC-Beirats gewesen sein. Denn es stand eine Neubesetzung an, für die der Ausschuss für Digitales und Staatsmodernisierung im Bundestag zuständig ist. Doch die verzögert sich voraussichtlich auf den 16. Oktober. Dann steht das Thema auf der Tagesordnung des Bundestages. Die Wahlvorschläge der Fraktionen sind bislang unbekannt, es bleibt also spannend.

Das alles führt dazu, dass ich ein weiteres Mal Einblicke aus der sechsten Beiratssitzung teilen kann. Sie hat wie wenig andere Sitzungen die Potenziale des DSC-Beirats gezeigt, aber auch die Krux der Durchsetzung des Digital Services Act (DSA).

Seltene Transparenz

Der wohl interessanteste Tagungspunkt der Sitzung war ein ausführlicher Austausch mit Prabhat Argawal. Argawal ist zuständiger Abteilungsleiter in der DG Connect, also der Generaldirektion der EU, die für die Durchsetzung des DSA gegenüber den allergrößten Plattformen verantwortlich ist. Der Austausch mit Argawal fand öffentlich statt und bot auch Menschen und Organisationen außerhalb des Beirats seltene Einblicke in den Brüsseler Maschinenraum.

Diese Offenheit war nicht immer selbstverständlich, ist inzwischen aber insbesondere dank des Engagements der zivilgesellschaftlichen Mitglieder so etwas wie eine etablierte Praxis. Man kann nur hoffen, dass der Beirat auch in seiner neuen Konstellation an dieser Praxis festhalten wird – gerade in Zeiten abnehmender Transparenz wie beim Digitalausschuss, der mittlerweile noch weniger öffentlich tagt als früher.

Prabhat Argawal gab ein Update zur internen Organisation seiner Abteilung, die zur Durchsetzung des DSA einige Referate dazugewonnen hat – unter anderem ein Referat, das sich ausschließlich auf Online-Marktplätze fokussiert. Ebenfalls noch recht jung ist ein eigenes Referat, das sich mit dem Schutz von Minderjährigen im Kontext des DSA auseinandersetzt.

Im Dickicht des Jugendschutzes

Zur Erinnerung: Der DSA regelt Fragen des Kinder- und Jugendmedienschutzes in Artikel 28. Dieser Artikel enthält, gelinde gesagt, einige Spannungen: So dürfen Diensteanbieter Minderjährigen keine personalisierte Werbung ausspielen. Sie sollen aber auch keine zusätzlichen Daten erheben, um herauszufinden, welche ihrer Nutzenden denn nun minderjährig sind. Verwirrendes Kernstück des Artikels ist die Verpflichtung, dass Diensteanbieter “geeignete und verhältnismäßige Maßnahmen” ergreifen sollen, um für ein “hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen” auf ihren Diensten zu sorgen.

Wer sich fragt, was das genau heißen soll, kann seit Juli die Leitlinien zu Artikel 28 konsultieren, in der die EU-Kommission ihre Vorstellungen einer gelungenen Umsetzung aufschreibt. Dazu gehören eine ganze Reihe sinnvoller Vorschläge, darunter: bessere Defaulteinstellungen, um die Privatsphäre zu schützen; das Abstellen von Designfeatures wie nie endenden Feeds, die süchtigmachende Effekte haben können; Maßnahmen, um Minderjährige von Lootboxen fernzuhalten.

Prabhat Argawal hat die Umsetzung genau jener Leitlinien als bisher enttäuschend eingestuft. Die Kommission prüfe noch, welche Änderungen Plattformen vorgenommen hätten, aber „in der Realität“ scheinen die Leitlinien bislang nicht angekommen zu sein.

Das mag auch mit der ungelösten Frage von Altersüberprüfungen zu tun haben. Inmitten lauter werdender Forderungen nach einem Social-Media-Verbot für Teenager sollte den Leitlinien eigentlich eine wichtige Rolle dabei zukommen, zu beantworten, wie sich Europa denn nun die Zukunft des Internets vorstellt.

Die Leitlinien zeichnen ein dementsprechend deutliches Bild: Altersüberprüfungen werden als Voraussetzung für erfolgreichen Kinder- und Jugendschutz gesehen und als geeignet und verhältnismäßig eingestuft. Das wirft Fragen auf: Altersbestimmungstechnologien können grundsätzlich umgangen werden, meist reicht dafür ein simples VPN. Ob sie also wirklich geeignete Instrumente sind, kann dahingestellt werden.

Schwerer wiegt aber ein Blick auf die Verhältnismäßigkeit ihres Einsatzes. Alle bekannten Altersbestimmungstechnologien basieren entweder auf öffentlichen Dokumenten wie Personalausweisen oder e-IDs oder der Verarbeitung anderer Daten der Nutzenden. Etwa indem ihr Nutzungsverhalten analysiert oder ihre biometrischen Daten verarbeitet werden, um ihr Alter zu schätzen. Beide Varianten bringen signifikante Datenschutzrisiken mit sich. Dazu kommt, dass nicht alle Menschen Zugang zu Ausweisdokumenten haben (eine nennenswerte Gruppe wären Kinder und Jugendliche unter 16). Sie könnten so massenhaft Zugang zu Informationen und Inhalten verlieren.

Studien zeigen zudem, dass KI-basierte Systeme, die das Alter von Nutzenden schätzen sollen, regelmäßig höhere Fehlerraten für Frauen und Menschen mit dunkleren Hauttönen haben.

Unbeachtet dieser negativen Implikationen von Altersbestimmungstechnologien stellen sie aber einen zentralen Aspekt der Leitlinien dar. Dazu kommt, dass die Leitlinien Mitgliedstaaten dazu ermächtigen, selber zu entscheiden, ob sie Zugangsverbote für bestimmte Dienste und Alterskohorten festlegen möchten. Mit Blick auf jüngste Äußerungen dänischer, französischer oder griechischer Regierungschef:innen, die sich ausnahmslos für Social-Media-Zugangsbeschränkungen für unter 15- beziehungsweise 16-Jährige einsetzen, scheint es also nur eine Frage der Zeit, bis Social-Media-Verbote zumindest in einigen EU-Ländern Alltag werden.

Je nach Sichtweise gibt es also noch jede Menge unbeantwortete Fragen dazu, was Plattformen genau tun sollen, um Kinder und Jugendliche auf ihren Diensten zu schützen.

Wirkt der DSA?

Trotz der Enttäuschungen beim Kinder- und Jugendschutz hebt Prabhat Agarwal aber die Wirksamkeit des DSA hervor. Er berichtet, dass die Plattformen bereits viel geändert, manche ihre Systeme sogar “komplett neu aufgestellt” haben, auch wenn es von außen nicht immer sichtbar sei. Die Zusammenarbeit mit der Kommission laufe gut: Von hunderten versandten Auskunftsersuchen habe bis jetzt kein Anbieter die Antwortfrist versäumt. Es ist erfreulich zu hören, dass Kommission und Plattformen einen Modus Operandi gefunden haben. Knapp drei Jahre nach seinem Inkrafttreten scheint die Frage, ob die Durchsetzung des DSA funktioniert, aber immer mehr zu einer Frage der Perspektive zu werden.

Eine aktuelle Studie von Das NETTZ kommt zu dem Schluss, dass die Meldewege auf großen Onlineplattformen selten genutzt werden – Nutzer:innen möchten zwar problematische Inhalte melden, fühlen sich aber von unbekannten rechtlichen Kategorien, mangelndem Feedback und komplexen Verfahren abgeschreckt: Jede vierte DSA-Meldung werde demnach abgebrochen.

In Amsterdam urteilte ein Gericht kürzlich, dass Meta gegen den DSA verstößt: Der Konzern hat die Auflage, chronologische Feeds anzubieten, die nicht auf Profiling basieren, nicht richtig umgesetzt. Das sind nur zwei Beispiele für absolute DSA-Grundlagen, bei denen es auch nach drei Jahren selbst bei den größten Plattformen noch hapert. Das ist insofern erstaunlich, als dass die Kommission eine ganze Abteilung und ein Budget von über 50 Millionen Euro zur Beaufsichtigung von sehr großen Online-Plattformen zur Verfügung hat. Auf den Abschluss eines Verfahrens durch die Kommission wartet man währenddessen nach wie vor.

Auch der Forschungsdatenzugang existiert aktuell nur in der Theorie. Er ist ein Kernstück des DSA und soll es unabhängigen Forschenden ermöglichen, systemische Risiken mit Plattformdaten zu erforschen.

All diese Themen sind sehr komplex: Es ist kein Leichtes, den DSA mit Leben zu füllen. Doch angesichts der immer stärker werdenden Kritik an europäischen Ansätzen der Plattformregulierung müssen Aufsichtsbehörden entweder schlagkräftiger auftreten – oder an der Kommunikation ihrer Erfolge arbeiten.

Mit mehr als 170 geschlossenen Sicherheitslücken ist Microsofts Patchday diesen Monat überdurchschnittlich umfangreich ausgefallen. Gleich 17 Fixes für kritische Lücken stehen unter anderem für Azure, Copilot, Office sowie den Windows Server Update Service (WSUS) bereit. Überdies machen drei aktiv angegriffene Schwachstellen mit „Important“-Einstufung das (bestenfalls automatische) Einspielen der verfügbaren Updates besonders dringlich.

Aktive Exploits…

Aktive Exploits zielen laut Microsofts zugehörigen Advisories auf den Windows Remote Access Connection Manager (CVE-2025-59230, CVSS-Score 7.8) einen alten Agere-Modemtreiber (CVE-2025-24990, 7.8) sowie das Linux-basierte, auf Windows-Systemen nutzbare IGEL OS (CVE-2025-47827, 4.6).

Den Remote Access Connection Manager sichert ein Patch künftig gegen lokale Angreifer ab, die über die Lücke ihre Zugriffsrechte hätten ausweiten können. Der Agere-Treiber (ltmdm64.sys) wurde laut Sicherheitshinweis komplett entfernt – und mit ihm eine weitere Möglichkeit lokal zugreifender Bösewichte, schlimmstenfalls Admin-Rechte zu erlangen.

Der physischen Zugriff voraussetzende und deshalb auch lediglich mit „Medium“ bewertete Angriffsweg über IGEL OS wurde durch ein zum Patchday mitgeliefertes Update des Linux-Betriebssystems versperrt. Die Exploit-Möglichkeit dürfte aber auch im Vorfeld eher wenige, speziell konfigurierte Systeme betroffen haben.

… und kritische Lücken

Folgende frisch gepatchte Lücken stuft Microsoft als kritisch ein:

Die höchsten CVSS-Scores wurden in diesem Zusammenhang den Schwachstellen CVE-2025-59246 in Azure Entra ID, CVE-2025-59287 im WSUS (jeweils 9.8 von 10) sowie CVE-2025-49708 in einer Windows-Grafikkomponente (9.9) zugewiesen.

Zahlreiche Sicherheitslücken könnten unter bestimmten Voraussetzungen als Einfallstor zum Ausführen schädlichen Programmcodes aus der Ferne missbraucht werden (Remote Code Execution) – und damit etwa zum Einschleusen von Schadcode wie Ransomware oder zum Fernsteuern verwundbarer Systeme.

Weitere Patches & Informationen

Viele der weiteren verfügbaren Updates hat Microsoft als „Important“ markiert beziehungsweise mit der Einstufung „High“ versehen. Sie zielen unter anderem auf das .NET-Framework, diverse Office-Komponenten, PowerShell und den Betriebssystemkern.

Detaillierte Informationen zu sämtlichen Sicherheitslücken und Patches führt Microsoft im Security Update Guide auf.

(ovw)

Vertreter*innen von 25 EU-Staaten sowie Norwegen und Island haben eine gemeinsame Erklärung unterzeichnet. Es geht um Maßnahmen zum Schutz von Minderjährigen im Netz. Nur von Estland und Belgien fehlt eine Unterschrift. Angestoßen hat die sogenannte Jütland-Erklärung die dänische Ratspräsidentschaft. Im Mittelpunkt stehen Forderungen nach neuen EU-Regeln. Sie sollen mehr strenge Alterskontrollen und ein Mindestalter für sozialen Medien vorschreiben.

Für die deutsche Regierung haben Digitalminister Karsten Wildberger (CDU) und Familienministerin Karin Prien (CDU) unterschrieben. Das irritiert, schließlich hatte sich das Kabinett im September darauf geeinigt, dass zunächst eine eigens eingesetzte Kommission aus Expert*innen ein Jahr lang Lösungen erarbeiten soll. Die Unterschriften der deutschen Minister*innen nehmen das Ergebnis der Kommission zwar nicht vorweg. Sie werfen aber die Frage auf, wie sehr sich die Regierung für die Arbeit der Kommission interessiert.

Die Illusion wirksamer Alterskontrollen

Die Jütland-Erklärung fügt sich ein in internationale Bestrebungen nach strengeren Alterskontrollen im Netz. Inhaltlich bringt sie die Debatte um Jugendmedienschutz jedoch nicht weiter, im Gegenteil. Der Fokus auf Alterskontrollen senkt das Niveau der Debatte. So heißt es in der Erklärung, aus dem Englischen übersetzt:

Es besteht die Notwendigkeit nach wirksamer und datenschutzfreundlicher Altersverifikation in sozialen Medien und anderen relevanten digitalen Diensten, die ein erhebliches Risiko für Minderjährige darstellen.

Mit diesen Worten beweisen die Unterzeichner*innen, das sie weiterhin einer Illusion erliegen. Es existiert nämlich keine Technologie, die Alterskontrollen wirksam und datenschutzfreundlich möglich macht. Um solche Kontrollen auszutricksen, genügen kostenlose Werkzeuge für digitale Selbstverteidigung, darunter VPN-Dienste, der Tor-Browser oder alternative DNS-Server. Das zeigt etwa der sprunghafte Anstieg der VPN-Nutzung in Großbritannien, wo Alterskontrollen jüngst auf Grundlage des Online Safety Acts verschärft wurden.

Datenschutzfreundliche Alterskontrollen sind zwar technisch denkbar, in der Praxis können sie aber nicht überzeugen. Selbst der als internationales Vorbild entworfene Prototyp der EU-Kommission setzt aktuell noch immer auf pseudonyme statt anonyme Kontrollen, und steht damit nicht im Dienst von Datenschutz und Privatsphäre. Bis Ende des Jahres will die Kommission allerdings nachbessern.

Zudem zeigt der jüngste Hack auf geschätzt 70.000 Ausweisdaten von Discord-Nutzer*innen, wie Alterskontrollen in der Praxis zum Datenschutz-Albtraum werden können. Ein frisches Gutachten aus Australien zeigt: Das ist kein Einzelfall. Wie sollen Nutzer*innen wissen, ob sie es gerade mit einem vertrauenswürdigen Kontrollsystem zu tun haben oder nicht?

Fachleute: Alterskontrollen kein Wundermittel

Hinzu kommt: Derzeit gibt es im EU-Recht kaum Spielraum für pauschale Alterskontrollen, wie sie den EU-Mitgliedstaaten offenbar vorschweben. Stattdessen bieten einschlägige Gesetze wie das Gesetz über digitale Dienste (DSA) und die Richtlinie über audiovisuelle Mediendienste (AVMD-RL) differenzierte Ansätze, je nach Art des Dienstes und des Risikos für Minderjährige.

Die Unterzeichner*innen der Jütland-Erklärung fordern deshalb neue und strengere EU-Gesetze. Konkret heißt es: „Es besteht Notwendigkeit zu prüfen, ob weitere Maßnahmen erforderlich sind, um den DSA zu ergänzen.“

Für das exakte Gegenteil argumentiert eine jüngst veröffentlichte Analyse der gemeinnützigen Denkfabrik Interface. „Denken Sie zweimal darüber nach, bevor Sie Alterskontrollen in verbindliches Recht auf EU-Ebene aufnehmen“, warnt darin Analystin Jessica Galissaire. Ihr Papier stellt die in der Jütland-Erklärung behauptete Notwendigkeit solcher Regeln in Frage.

Was Kinder im Netz erleben, und was Politik daraus lernen kann

Ausführlich beschreibt sie, dass selbst sehr große Plattformen wie Instagram, TikTok, Roblox oder YouTube bereits existierende Regeln schleifen lassen. Aufsichtsbehörden fehle es an Mitteln zur Durchsetzung, Zuständigkeiten seien unklar. Plattformen wiederum würden die rechtlichen Unschärfen ausnutzen, um weiter ihr eigenes Süppchen zu kochen. Alterskontrollen, warnt Interface, können und sollten nicht als Wundermittel („silver bullet“) behandelt werden.

Heiße Luft statt Argumente

Tatsächlich sind die Risiken für Kinder und Jugendliche zu vielfältig, um sie mit einer Maßnahme aus dem Weg räumen zu können. Zu nennen sind nicht nur potenziell verstörende Inhalte, sondern auch manipulative und süchtig machende Designs, Kontaktaufnahme durch böswillige Fremde oder Cybermobbing. Für diese und weitere Risiken braucht es spezifische Maßnahmen – und dafür wurden schon Grundlagen geschaffen.

So sieht das relativ junge Gesetz über digitale Dienste (DSA) vor, dass Dienste ihre jeweiligen Risiken einschätzen und eindämmen müssen, sonst drohen Strafen. Wie Maßnahmen aussehen können, hat die EU jüngst in DSA-Leitlinien ausbuchstabiert. Es geht etwa um Einschränkungen von unendlichem Scrollen und von Push-Benachrichtigungen und um sichere Voreinstellungen für Kontaktaufnahmen.

Diese Vielfalt der Risiken versucht die Jütland-Erklärung einzufangen, argumentiert jedoch unschlüssig. So seien „wirksame“ Alterskontrollen (die es wohlgemerkt nicht gibt) ein essentielles Werkzeug, „um die negativen Auswirkungen von illegalen und nicht altersgerechten Inhalten, schädlichen Geschäftspraktiken, süchtig machenden oder manipulativen Designs sowie übermäßiger Datenerhebung – insbesondere bei Minderjährigen – zu verringern.“

Das Zitat erweckt den Anschein einer Argumentation, entpuppt sich bei näherer Betrachtung jedoch als heiße Luft. So schützen Alterskontrollen nicht „insbesondere“ Minderjährige, nein, sie schützen, wenn überhaupt, ausschließlich Minderjährige. Denn wer eine Alterskontrolle überwindet, wird vor den aufgezählten Risiken ganz und gar nicht geschützt.

„Illegale“ Inhalte sind, wie das Wort es schon sagt, bereits illegal. Warum sollten Plattformen, die nicht konsequent gegen illegale Inhalte vorgehen, konsequent gegen Zugriff durch Minderjährige vorgehen? Ebenso sind Risiken wie süchtig machende und manipulative Designs und übermäßige Datenerhebung auf Grundlage anderer EU-Gesetze wie etwa dem DSA oder der DSGVO bereits reguliert.

Forderung ist Zeichen politischer Schwäche

Es scheint, als wollten die Mitgliedstaaten einmal großzügig Alterskontrollen über allerlei Missstände bügeln, gegen die es bereits Regeln gibt. Das ist weder angemessen noch erforderlich – und damit keine seriöse Grundlage für Gesetzgebung. Zugleich ist die Forderung nach Alterskontrollen ein Zeichen politischer Schwäche. Es ist teuer und mühsam, die Einhaltung bereits bestehender Gesetze durchzusetzen. Es ist dagegen bequem und billig, sich neue Gesetze auszudenken.

Behörden müssen oftmals vor Gericht ziehen, weil sich betroffene Unternehmen mit aller Macht gegen gesetzliche Einschränkungen wehren; vor allem, wenn sie deren Einnahmen schmälern könnten. Gerade bei Verbraucher- und Datenschutz müssen Aufsichtsbehörden oftmals für die Grundrechte der EU-Bürger*innen kämpfen.

Von echtem Kampfgeist ist in der Jütland-Erklärung jedoch keine Spur. Eher symbolisch merken die Vertreter*innen an, es sei „notwendig“, dass süchtig machende und manipulativen Designs „adressiert“ werden. Wie und von wem auch immer. Eltern solle man der Erklärung zufolge informieren, aber auch nicht in die Verantwortung nehmen. Dabei hätte niemand mehr Einfluss auf das Wohlbefinden von Kindern als Eltern und Aufsichtspersonen.

Strengere Regeln zu Alterskontrollen sollen es also richten, noch bevor die gerade erst geschaffenen Instrumente des DSA ihre Wirkung entfalten konnten. So sieht das aus, wenn Politiker*innen einen bequemen und billigen Weg einschlagen.