Die Europäische Kommission hat heute Nachmittag Pläne für die Überarbeitung mehrerer Digitalgesetze vorgestellt. Der „digitale Omnibus“, wie das Sammelgesetz genannt wird, soll unter anderem die KI-Verordnung, IT-Sicherheitsgesetze, den Data Act und die Datenschutzgrundverordnung (DSGVO) anpassen. Von uns veröffentlichte Entwürfe hatten Befürchtungen genährt, die EU-Kommission plane „den größten Rückschritt für digitale Grundrechte in der Geschichte der EU“, vor allem beim Datenschutz.

Diese Sorgen bestätigen sich nun weitgehend. Auch wenn ein paar Regeln weniger unter die Räder kommen, ist der digitale Omnibus tatsächlich auf Crash-Kurs mit digitalen Grundrechten.

Unter anderem sollen KI-Unternehmen eine Art Freifahrtschein für das Training ihrer Systeme mit personenbezogenen Daten erhalten. Die Kommission will klarstellen, dass Menschen hierfür nicht gefragt werden müssen, sondern lediglich über eine Widerspruchsmöglichkeit verfügen. Zudem sollen Regeln für gefährliche KI-Systeme aus dem AI Act aufgeschoben werden.

Die wohl weitreichendste Änderung wäre eine Neudefinition dessen, was als personenbezogene Daten verstanden wird. So sollen pseudonymisierte Daten teilweise ausgenommen werden. Die Kommission will zudem Betroffenenrechte schleifen: Unternehmen und Behörden sollen zudem weitreichende Möglichkeiten bekommen, Auskunfts- oder Löschanfragen von Betroffenen abzuweisen.

Getriebene im KI-Rennen

Dass diese Pläne hochgradig problematisch sind, darauf haben bereits im Vorfeld der heutigen Vorstellung mehr als 120 zivilgesellschaftliche Organisation sowie Sozialdemokraten, Liberale und Grüne im Europäischen Parlament hingewiesen. Und auch jetzt hagelt es Kritik von Verbraucherschutz- und Grundrechtsorganisationen.

Motiviert sind die Pläne durch den Wunsch der EU-Kommission, Europas Wettbewerbsfähigkeit zu steigern. Sie treibt vor allem die Sorge um, im globalen KI-Wettrennen den Anschluss zu verlieren, wie Kommissionsvizepräsidentin Henna Virkkunen und die Kommissare Valdis Dombrovskis und Michael McGrath auf einer Pressekonferenz heute deutlich machten. „Europa muss sich verändernden Technologien und Märkten anpassen“, so Virkkunen.

Mal abgesehen davon, dass viele Europäer:innen wohl lieber weniger als mehr KI in ihrem Leben haben wollen: Die Kommission kann auch auf explizite Nachfrage nicht erklären, wie der Abbau von Datenschutzregeln europäischen Unternehmen in einem Markt helfen soll, der von US-amerikanischen und chinesischen Firmen dominiert wird.

Reform ja, aber bitte nicht so

Um das einmal klar zu sagen: Die Datenschutzgrundverordnung ist nicht perfekt. Es gibt Reformbedarf. Das zeigen nicht zuletzt unsere Recherchen bei netzpolitik.org. Seit Jahren decken wir auf, dass das Schutzversprechen der DSGVO in manchen Bereichen unerfüllt bleibt, allen voran bei Online-Tracking und Datenhandel. Verantwortlich dafür ist vor allem die schleppende Durchsetzung, aber auch der Gesetzestext selbst.

Das Grundproblem der DSGVO ist der falsch verteilte Nerv-Faktor. Während kleine Unternehmen, Menschen in Vereinen oder Blogger:innen sich oft überfordert fühlen, haben große Digitalkonzerne leichtes Spiel. Allen voran Big Tech mit seinen Heeren an Anwält:innen weigert sich bis heute beharrlich, die DSGVO umzusetzen. Strafzahlungen, die ihnen die Kommission aufbrummt, preisen Meta, Google und Co. ein – was sind schon ein paar Milliarden Bußgeld bei einem Jahresgewinn von 100 Milliarden Dollar?

Hier müsste die EU-Kommission ansetzen, wenn sie ihr Mantra von der wertegeleiten Digitalisierung ernstnimmt. Gerne auch mit echten Vereinfachungen. Stattdessen räumt sie vor allem den Überwachungskapitalisten und KI-Räuberbaronen weitere Hürden aus dem Weg. Von den vorgeschlagenen Änderungen, so die Einschätzung der Datenschutzorganisation noyb, würden die großen Tech-Konzerne am meisten profitieren. Für die meisten anderen bringe die Reform eher mehr Rechtsunsicherheit als weniger.

Das eine tun, das Gegenteil behaupten

Das alles versucht die Kommission in ein Verfahren zu pressen, das eigentlich nur für technische Änderungen und Vereinfachungen gedacht ist. Ein Omnibus, das sagen selbst Freunde der Datenindustrie, ist kein geeignetes Werkzeug für eine derart umfassende Reform. Noch vor wenigen Wochen kommunizierte die Kommission deshalb in alle Richtungen, die DSGVO solle erst 2026 im Rahmen eines Digital Fitness Checks wohlgeordnet überarbeitet werden.

In anderen Teilen hält der Omnibus zwar, was er verspricht. Vier verschiedene Gesetze zur Datennutzung will er zu einem zusammenfassen. Die Regeln für Cookies und Tracking sollen fortan nicht mehr in zwei unterschiedlichen Rechtsakten stehen. Und Unternehmen sollen IT-Sicherheitsvorfälle nur noch einer Stelle melden müssen. All das vereinfacht die Dinge und ist zu begrüßen.

Bei der Datenschutzgrundverordnung aber liefert die EU-Kommission einen überhasteten und verstolperten Reformvorschlag, der im Eiltempo die Arbeit eines Jahrzehnts europäischer Digitalpolitik einzureißen droht. Selbst Vorschläge, die die Flut an Cookie-Bannern reduzieren sollen, wirken unausgegoren und enthalten riesige Schlupflöcher für Medienunternehmen.

Derweil behauptet die Kommission steif und fest, sie schlage lediglich Vereinfachungen vor. Gleichzeitig wahre sie „die höchsten europäischen Standards in Bezug auf Grundrechte, Datenschutz, Sicherheit und Fairness“. Von Vereinfachung sprechen, während man einen Kahlschlag plant und von Werten, wenn man an Wertschöpfung denkt, – diese Form des orwellschen Neusprech kennen wir sonst eigentlich von Populisten und Diktatoren wie Trump oder Putin.

Wobei: Dass sie die Konseqeunzen der eigenen Vorschläge lieber nicht klar kommuniziert, kann man durchaus nachvollziehen. Die EU-Kommission opfert hier dem KI-Hype Europas Position als globales Vorbild bei der demokratischen Gestaltung der digitalen Welt.

Wo bleibt die Digitalisierung, die den Menschen dient?

Mit ihrem Vorschlag verlässt die EU-Kommission jenen Pfad, der als ein dritter Weg der Digitalisierung galt. Nicht der Wild-West-Kapitalismus der USA sollte Vorbild sein, nicht der staatlich gesteuerte Digitalkapitalismus Chinas, sondern etwas Eigenes. Europa ist die einzige digitale Großmacht, die Freiheit und Fairness garantieren will. Das droht nun vorbei zu sein.

Die Kommission kann sich bei ihrem Kurs der Unterstützung Deutschlands und Frankreichs sicher sein. Auf dem gestrigen „Gipfel zur Europäischen Digitalen Souveränität“ beschworen Vertreter:innen beider Regierung die Stärke Europas. Unabhängigkeit durch Innovation und Innovation durch Deregulierung, so lautet jetzt das neue Mantra. Merz, Wildberger und Co. merken offenbar gar nicht, wie sehr ihr „Erst machen, dann regulieren“-Ansatz dem Sound des Silicon Valley ähnelt.

Für Stimmen aus der Zivilgesellschaft war auf dem Gipfel kein Platz. Es könnte wohl den Innovationsgeist stören, wenn jemand darauf hinweist, dass beim KI-Wettrennen bereits die Prämisse verkehrt ist, weil Big Tech die Regeln vorgibt. Jetzt lässt man die USA gewinnen, von denen man sich doch gerade unabhängig machen wollte.

Es ist damit nur konsequent, dass der deutsche Digitalminister auf dem Gipfel von Europäer:innen vor allem als „Kunden“ und nicht als „Bürgern“ spricht. In einem Punkt allerdings hat er durchaus Recht: Europa darf sich nicht aufs Regulieren beschränken, sondern muss auch selbst gestalten. Das Ziel muss eine Digitalisierung sein, die nicht Konzernen, sondern Menschen dient. Dafür aber fehlt sowohl der deutschen Regierung als auch der EU-Kommission jeglicher Plan.

Meta hat vor einem US-Gericht einen wegweisenden Erfolg errungen. In einem Kartellrechtsverfahren entschied gestern ein US-Bundesrichter, dass der US-Konzern bei der Übernahme der damals aufstrebenden Konkurrenten Instagram und WhatsApp nicht gegen das Wettbewerbsrecht verstoßen hat.

Meta, das der Gründer Mark Zuckerberg im Jahr 2004 als Facebook in die Welt setzte, habe keine Monopolstellung inne, urteilte der Richter des U.S. District Court im District of Columbia. Eine von der klagenden Handelsbehörde FTC (Federal Trade Commission) geforderte Zerschlagung des Social-Media-Konzerns ist damit vorerst vom Tisch.

Die vor knapp fünf Jahren eingereichte Klage hatte Meta unterstellt, seine Marktmacht im Bereich sozialer Medien missbraucht zu haben. Um diese dominante Stellung abzusichern, habe sich der Konzern seine damals schärfsten Konkurrenten einverleibt – erst den Photo-Dienst Instagram für eine Milliarde US-Dollar im Jahr 2012, zwei Jahre später den Messenger WhatsApp für 19 Milliarden US-Dollar.

Völlig veränderte Marktsituation

Diesem Argument wollte sich der Richter nicht anschließen, zu sehr habe sich zwischenzeitlich die Lage geändert. Mit Anbietern wie TikTok, YouTube und anderen herrsche ausreichend Wettbewerb: „TikTok – von Meta als schärfster Konkurrent angesehen – betrat erst vor sieben Jahren den Markt“, schrieb Richter James Boasberg in seinem Urteil, und habe den Markt seitdem überrannt.

Entsprechend sei der Vorwurf der FTC, Meta habe dem Wettbewerb geschadet, nicht nachvollziehbar. So beharre die Handelsbehörde weiterhin darauf, dass „Meta mit denselben alten Konkurrenten wie im vergangenen Jahrzehnt konkurriert, dass das Unternehmen in diesem kleinen Marktsegment eine Monopolstellung innehat und diese durch wettbewerbswidrige Übernahmen aufrechterhalten hat“, so der Richter. Diese Behauptungen habe die Behörde nicht belegen können.

Die Klage hatte fast von Beginn an mit Gegenwind zu kämpfen. Eingereicht hatte sie die FTC im Jahr 2020, in der ersten Amtszeit von US-Präsident Donald Trump. Kaum ein halbes Jahr später hat der gleiche Richter die Klage verworfen, weil es der Behörde nicht gelungen sei, eine Monopolstellung Metas nachzuweisen. Ausgestattet mit robusteren Argumenten reichte die FTC die Klage erneut ein, diesmal unter der Federführung der von Joe Biden neu bestellten FTC-Chefin Lina Khan.

Schwer nachweisbare Hypothese

Doch schon damals warnten manche Beobachter:innen, dass die teils neuartigen Argumente der Behörde einen schweren Stand vor Gericht haben würden. Demnach sei der Nachweis der Hypothese schwierig, dass Meta nicht so dominant geworden wäre, wenn es die konkurrierenden Anbieter nicht übernommen hätte.

In einer Stellungnahme begrüßte der Konzern das Urteil. „Die heutige Entscheidung des Gerichts erkennt an, dass Meta einem harten Wettbewerb ausgesetzt ist“, so Metas Top-Juristin Jennifer Newstead. Die FTC prüft noch, Berufung gegen das Urteil einzulegen, die Chancen stehen Beobachter:innen zufolge jedoch schlecht. Meta dürfte das Urteil als Zeichen interpretieren, ungestört weiter andere Tech-Firmen zu übernehmen.

Für Kritiker:innen des Unternehmens und der gegenwärtigen Verhältnisse im digitalen Raum ist die Entscheidung eine herbe Niederlage – zumal der Ansatz, gegen die Übermacht von Big Tech gerichtlich statt gesetzgeberisch vorzugehen, zu einem guten Teil der Dysfunktionalität des US-Kongresses geschuldet ist.

Obwohl die Debatte, ähnlich wie in Europa und anderen Weltregionen, über den besten Regulierungsansatz der Branche seit geraumer Zeit tobt, ist es den US-Abgeordneten bis heute nicht gelungen, etwa mit EU-Digitalregeln vergleichbare Gesetze zu beschließen. Das fordert nun der ehemalige FTC-Regulierer Alvaro Bedoya: „Wenn die Gerichte die Macht von Meta nicht einhegen können, muss nun der Kongress handeln.“

Neben diesem Verfahren laufen derzeit noch eine Reihe weiterer gerichtlicher Auseinandersetzungen in den USA rund um große Tech-Konzerne, darunter Wettbewerbsklagen gegen Amazon und Apple. Zuletzt hatte jedoch ein Bundesrichter, trotz einer von ihm festgestellten Monopolstellung des US-Konzerns auf dem Markt für Online-Suche, eine Zerschlagung des Unternehmens abgelehnt.

Zugleich steht ein finales Urteil in einem anderen Verfahren gegen Google aus. Auch in diesem Fall attestierte eine Bundesrichterin dem Unternehmen ein Monopol, diesmal im Markt für Online-Werbung. Abhilfemaßnahmen will sie in den kommenden Monaten vorstellen.

Kampf gegen Big Tech auch in der EU

Letzterer Fall dürfte potenziell mehr Einfluss auf die Debatte in der EU haben, sagt die Ökonomin Aline Blankertz von der Nichtregierungsorganisation Rebalance Now. Erst im September hat die EU-Kommission ebenfalls festgestellt, dass Google seine Marktmacht in der Online-Werbung missbraucht hat. Abgeschlossen ist das Verfahren jedoch noch nicht, auch hier steht eine Zerschlagung zur Debatte.

„Die EU hat im hiesigen Verfahren von Google einen klar unzureichenden Vorschlag bekommen, um Adtech-Interessenkonflikte zu lösen, und wartet nun vermutlich auf die US-Entscheidung“, sagt Blankertz. Daher gebe es weiterhin auf beiden Seiten keine finale Absage an Zerschlagungen. Allerdings sei die politische Unterstützung aktuell bestenfalls zurückhaltend, so Blankertz: „In den USA stehen Big Tech weiterhin unter Trumps Schutz und die EU verhält sich weitgehend unterwürfig und vermeidet eine Konfrontation.“

Angesichts der aktuellen Deregulierungsbestrebungen auf EU-Ebene sei bemerkenswert, „dass der Digital Markets Act als praktisch einzige Regulierung positiv hervorgehoben wird, auch gestern beim deutsch-französischen Gipfel“, sagt die Ökonomin. Das wenige Jahre alte EU-Digitalgesetz sieht Zerschlagungen als Möglichkeit vor, wenn Unternehmen systematisch gegen ihn verstoßen.

Ein Automatismus sei dies jedoch nicht, zudem gehe es eher um „einen Horizont von Jahren als von Monaten“, dämpft die Expertin die Erwartungen. Doch das Thema Durchsetzung von Wettbewerbsrecht, das strukturelle Maßnahmen wie eine Zerschlagung beinhaltet, „ist sicher nicht vom Tisch“, sagt Blankertz.

Wenn Angreifer eine bestimmte Hürde überwinden können, sind Systeme mit Serv-U durch Schadcodeattacken kompromittierbar. Solwarwinds Platform ist ebenfalls verwundbar. Für beide Produkte des Softwareherstellers sind Sicherheitspatches verfügbar. Noch gibt es keine Berichte über Attacken.

Systeme absichern

In einer Warnmeldung zu drei „kritischen“ Schwachstellen (CVE-202540547, CVE-202540548, CVE-202540549) führen die Entwickler aus, dass Angreifer Schadcode auf PCs schieben und ausführen könnten. Das klappt aber nur, wenn Angreifer bereits über Admin-Rechte verfügen. Eine derartige Voraussetzung ist eigentlich untypisch für eine kritische Einstufung.

Aus der Beschreibung der Lücke geht hervor, dass das Risiko unter Windows als „mittel“ gilt, weil Services in diesem Fall in der Regel mit niedrigeren Nutzerrechten laufen. Die Entwickler versichern, die Sicherheitsprobleme in Serv-U MFT und Serv-U FTP Server 15.5.3 gelöst zu haben.

In Solarwinds Platform 2025.4.1 haben die Entwickler insgesamt acht Lücken geschlossen. Der Großteil ist mit dem Bedrohungsgrad „mittel“ eingestuft. Setzen Angreifer erfolgreich an einer mit „hoch“ eingestuften Schwachstelle (CVE-2025-47072) an, können sie über eine DoS-Attacke Software-Abstürze auslösen.

(des)