Datenschutz & Sicherheit
EU-Staaten fordern ein Jahr Vorratsdatenspeicherung für Internet-Dienste wie Messenger
Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.
In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.
Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.
Das geht aus einem Papier der Ratspräsidentschaft hervor, über das zuerst Falk Steiner bei heise berichtete. Wir veröffentlichen das Dokument im Volltext: Künftige Vorschriften zur Vorratsdatenspeicherung in der Europäischen Union.
Vielzahl von Internet-Diensten
Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.
Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.
Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.
Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.
Wer, wann, wo, wie, mit wem?
Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.
Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.
Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.
Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.
Mindestens ein Jahr Speicherfrist
Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.
Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.
Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.
Nicht nur schwere Straftaten
Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.
Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.
Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.
Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.
Verhältnismäßigkeit neu bewerten
Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“
Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.
Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.
Gesetzesvorschlag 2026
Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.
In einem ersten Schritt hat sie bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Die Kommission plant, im ersten Quartal 2026 eine Folgenabschätzung abzuschließen.
Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.
Hier das Dokument in Volltext:
- Classification: Limite
- Date: 27 November 2025
- Place: Brussels
- From: Presidency
- To: Delegations
- Document: WK 16133/2025 INIT
Presidency Outcome Paper – Future rules on data retention in the European Union
1) Introduction
On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).
During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.
During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.
At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.
2) Background and context
For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.
Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.
In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.[6]
On 24 June 2025, the Commission presented a roadmap for lawful and effective access to data for law enforcement (‚the Roadmap‘).[7] It is in the context of the implementation of this Roadmap that the Commission is carrying out an impact assessment on data retention.
During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.
Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).
3) Summary of the Member States‘ remarks
Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.
Support for a new legislative framework
Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.
Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.
Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.
In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation[10], but also others, such as regulation in the field of consumer protection.[11]
Scope of service providers
Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.
More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.
Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.
Data to be retained
Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.
As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.
Targeted retention
On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.
On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.
Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.
For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.
Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).
Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.
Expedited retention orders (quick freeze)
While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.
The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.
Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.
Use of traffic and location data retained for marketing and billing purposes
In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.
Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.
However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.
Retention periods
As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.
According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.
Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.
On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.
Scope of crimes
Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.
In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.
On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.
Access rules and conditions
Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.
A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.
Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.
Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.
On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.
Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.
Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.
Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.
On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.
4) Conclusion
If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.
5) Next steps
Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.[13]
Footnotes
Datenschutz & Sicherheit
Bayerischer Landtag: Streit um Microsoft eskaliert
Die öffentliche Verwaltung steckt in einem Dilemma: Seit Jahrzehnten nutzen die meisten Behörden Microsoft-Produkte und Alternativen sind offenbar nur schwer vorstellbar. Nirgends zeigt sich das derzeit so deutlich wie in Bayern.
Im Oktober regte sich Kritik (PDF) an den Plänen des bayerischen Finanzministers Albert Füracker (CSU), Microsoft für fünf weitere Jahre in der Landesverwaltung einsetzen zu wollen. Seit 2023 besteht ein sogenannter Handelspartnervertrag zwischen der bayerischen Staatsverwaltung und dem US-Konzern. Er legt die Konditionen fest, zu denen das Bundesland Bürosoftware und Windows-Lizenzen bezieht. Dieses Vertragsverhältnis will Füracker nun verlängern.
Doch es regt sich breiter Widerstand gegen seine Pläne. „Wir reden hier nicht über den Kauf einzelner Excel-Lizenzen, sondern über eine Zementierung unserer kompletten digitalen Infrastruktur auf Jahre hinaus“, sagt Florian von Brunn (SPD) gegenüber netzpolitik.org.
Aber auch in der Landesregierung gibt es deutliche Kritik. Füracker und Digitalminister Fabian Mehring (Freie Wähler) stritten öffentlich um Datenschutz, Abhängigkeit – und um die Frage, ob die US-Regierung über Microsoft auf bayerische Daten zugreifen könnte. Die breite Medienberichterstattung über den Konflikt brachte Markus Söder (CSU) dazu, sich einzuschalten: „Solche Fragen gehören intern besprochen“, mahnte der bayerische Ministerpräsident.
Mit alten Gewohnheiten brechen
Dass die öffentliche Verwaltung auch ohne Microsoft-Produkte arbeiten kann, zeigt das Beispiel Schleswig-Holstein. Das nördliche Bundesland gelang vergangenes Jahr der Umstieg auf einen Open-Source-Arbeitsplatz in der öffentlichen Verwaltung. Das Fazit fällt bisher positiv aus. Seit dem Umstieg habe man bereits rund 15 Millionen Euro an Lizenzkosten eingespart, sagt Digitalisierungsminister Dirk Schrödter auf Anfrage. Dagegen befürchten Fürackers Kritiker, dass der für seine Verhandlungen mit Microsoft einen dreistelligen Millionenbetrag veranschlagt. Auf Anfrage von netzpolitik.org will sich das Ministerium weder zu den Lizenzkosten noch dazu äußern, mit welchen Einsparungen es rechnet.
Auch in Bayern schaut man Richtung Norden. Er stehe im engen Austausch mit der SPD-Fraktion in Kiel, erklärt von Brunn. Er hofft offenbar darauf, dass die positiven Impulse von dort auch im Süden ankommen. „Es entbehrt nicht einer gewissen Ironie, dass die Regierung Söder in Bayern die Zeichen der Zeit nicht erkennt, während der CDU-Kollege Daniel Günther im Norden auf digitale Souveränität setzt.“
Als „Zeichen der Zeit“ sehen derzeit viele die dramatische geopolitische Lage, ausgelöst durch eine erratische Politik der US-Administration unter Präsident Donald Trump.
Trumps langer Arm
Die Auswirkungen zeigt etwa der Fall am Internationalen Strafgerichtshof in Den Haag. Mindestens zwei Richter verloren im Mai vergangenen Jahres jeglichen Zugriff auf digitale Dienste von US-amerikanischen Unternehmen, mutmaßlich infolge ihrer Rechtsprechung. Zu diesen Diensten gehören auch Microsoft-Produkte wie Outlook oder Office.
Seitdem stellen sich Politiker*innen zunehmend die Frage, wie viel Microsoft in der öffentlichen Verwaltung vertretbar ist – zumal diese in der Regel auch mit sensiblen Daten arbeitet. Zwar versichert das bayerische Finanzministerium gegenüber netzpolitik.org, dass die Daten dauerhaft „in mehreren staatseigenen Rechenzentren auf bayerischem Boden gesichert“ seien. Das schließt aber nicht aus, dass US-Behörden auch auf bayerische Verwaltungs- und Bürger:innendaten zugreifen.
Zu diesem Schluss kommt ein Gutachten vom März 2025, das im Auftrag des Bundesinnenministeriums (BMI) erstellt wurde. Demnach erlaube der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, den dortigen Sicherheitsbehörden weitreichenden Zugriff auf Daten in europäischen Rechenzentren. Auch der Foreign Intelligence Surveillance Act (FISA) lasse einen solchen Datenzugriff zu. Die Gefahr, die von diesen Gesetzen für die Verwaltung ausgeht, diskutierte (PDF) auch der Landtag Baden-Württemberg im Sommer.
„Das hebelt europäisches Recht aus“, so von Brunn. Daher fordere die SPD in Bayern nicht nur „ein sofortiges Moratorium für den Microsoft-Deal“, sondern auch „einen verbindlichen Migrationsplan bis 2030 hin zu Open Source“. Diese Strategie sollte auch vorsehen, technologische Abhängigkeiten von einzelnen Konzernen überhaupt erst zu identifizieren, sagt Benjamin Adjei von den Grünen auf Anfrage. Um die „heimische Digitalwirtschaft“ zu stärken, brauche es außerdem jene finanziellen Mittel, die die bayerische Landesregierung in Lizenzkosten von Microsoft aufwende.
Gefahr „einer schutzlosen Preisgestaltung“
Inzwischen hat sich auch die SPD-Bundestagsfraktion in die Causa Microsoft eingeschaltet. In einem offenen Brief an Füracker positionieren sich deren digitalpolitischer Sprecher, Johannes Schätzl, der Landesvorsitzende der BayernSPD, Sebastian Roloff, und die Vorsitzende der SPD-Landesgruppe Bayern, Carolin Wagner, „gegen die Entscheidung, zentrale staatliche IT-Strukturen langfristig und ohne strategische Alternativenbewertung an einen einzelnen Anbieter zu binden“.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Füracker habe auf das Schreiben bislang nicht reagiert, sagt Carolin Wagner gegenüber netzpolitik.org, „ich bin mir aber sicher, dass er es gelesen hat“. An ihren Forderungen hält sie weiterhin fest: „Wir werden als Bundesrepublik nicht digital souverän, wenn die Bundesländer nicht souverän werden und dafür gilt es jetzt in München die Weichen zu stellen.“ Andernfalls setze Microsofts „monopolistische Stellung“ die öffentliche Verwaltung weiterhin „einer schutzlosen Preisgestaltung“ aus, warnt die SPD-Politikerin.
Souveränität as a service
Von der Forderung nach digitaler Souveränität hält der Politikwissenschaftler Thorsten Thiel von der Universität Erfurt indes wenig. Der Begriff führe viele, teils widersprüchliche Interessen zusammen und verschleiere, worum es im Kern eigentlich gehen sollte: eine öffentliche digitale Infrastruktur, die Politik und Zivilgesellschaft demokratisch gestalten.
Eines der Hauptprobleme sieht er darin, dass die Politik digitale Souveränität bestellt und die Wirtschaft liefert. Amazon, Google und Microsoft bieten inzwischen vermeintlich souveräne Cloud-Lösungen an – ohne dass die darin gespeicherten Daten tatsächlich sicher vor einem Zugriff durch US-Behörden sind. Souveränität sei so längst zu einem Service geworden, den Tech-Konzerne anbieten, sagt Thiel. In der Forschung wird dies als sovereignty-as-a-service bezeichnet.
Gleichzeitig greifen die Unternehmen gezielt in die Debatte darum ein, was digitale Souveränität bedeutet. „Sie eignen sich die Bedeutungen des zivilgesellschaftlichen Konzepts gezielt an und höhlen es aus“, sagt Thiel gegenüber netzpolitik.org. In der Folge entkämen sie auch einer schärferen Kontrolle und Regulierung durch die Politik.
„Wir sollten daher nicht danach fragen, ob das betreffende IT-Produkt nach Standard XY souverän ist“, sagt Thiel. Viel wichtiger sei die Frage, wie sehr wir uns binden, wenn wir eine bestimmte Software in der öffentlichen Verwaltung einsetzen.
Bei den Plänen Fürackers geht es aus Sicht des Politikwissenschaftlers um die Frage, ob in Bayern damit Alternativen verhindert werden. Thiel fordert daher positive Gegenbegriffe wie jenen der Interoperabilität. Der Begriff beschreibt die Fähigkeit verschiedener digitaler Systeme, miteinander zusammenzuspielen und Daten auszutauschen. Proprietäre Software verhindere dies in der Regel.
Datenschutz & Sicherheit
KI und Security: Zero-Day-Exploits durch KI sind bereits Realität
Einer aktuellen Studie zufolge kann Künstliche Intelligenz bereits anspruchsvolle Aufgaben wie das Schreiben von Zero-Day-Exploits erledigen, die bisher von menschlichen Experten erledigt wurden. Das Papier sorgt in der Security-Community entsprechend für Aufsehen – und das auch verdient: Die Studie unterscheidet sich grundlegend von „Trust me, bro“-Berichten über irgendwelche chinesischen Angreifer, die unglaubliche Dinge tun sollen. Der Autor Sean Heelan dokumentiert genau, was er wie gemacht hat und warum. Dazu stellt er die dabei entwickelten Prompts und Tools als Open Source zur Verfügung. Schließlich diskutiert er im Rahmen seiner Analyse die Schlüsse, die er aus den Ergebnissen zieht, und auch deren Grenzen.
Weiterlesen nach der Anzeige
Zero-Day durch KI ist bereits Realität
Die Kernaussage von Heelans Beitrag „On the Coming Industrialisation of Exploit Generation with LLMs“ ist: Das Finden und konkrete Ausnutzen von Sicherheitslücken mit Exploits wird mit KI komplett industrialisiert. Der begrenzende Faktor für „die Fähigkeit eines Staates oder einer Gruppe, Exploits zu entwickeln, in Netzwerke einzudringen, […] und in diesen Netzwerken zu bleiben“ wird nicht mehr die Anzahl der von ihnen beschäftigten Hacker sein. Die relevante Grenze ist der „token throughput over time“ – also letztlich, wie viel Geld man in KI-Ressourcen investiert. Und das ist keine ferne Zukunft, sondern offensichtlich bereits Realität. Der Autor der Studie konnte es in seinen Experimenten ganz konkret beobachten: „Als die Herausforderungen schwieriger wurden, konnte ich immer mehr Token ausgeben, um weiterhin Lösungen zu finden. Letztlich war mein Budget der begrenzende Faktor, nicht die Modelle.“
Heelan hatte einen Zero-Day-Bug in QuickJS gefunden (übrigens mit einer KI). QuickJS ist ein einfacher JavaScript-Interpreter mit diversen Einschränkungen, aber schon ein recht komplexes Stück Software. Dann baute er Agents auf Basis von Anthropics Opus 4.5 (Claude) und OpenAIs GPT-5.2 (ChatGPT), die die Aufgabe erhielten, eigenständig funktionierende Exploits für diesen Bug zu erstellen. Durch die Tatsache, dass die Lücke noch nirgends dokumentiert war, konnten die KI auch nicht irgendwo abschreiben und Heelan überprüfte das Ergebnis rigoros (und ertappte auch tatsächlich eine der KIs beim Versuch, zu cheaten).
Abgestufte Komplexität
Um das Ergebnis aussagekräftiger zu gestalten, fügte Heelan schrittweise zusätzliche Exploit-Mitigations wie eine Sandbox und Control Flow Integrity hinzu, die die Aufgabe schrittweise und teils drastisch erschwerten. Das Ziel war immer nachgewiesene Remote Code Execution – also etwa eine Verbindung zu einem externen Netzwerk-Port mit einer Shell mit den Rechten des ausführenden JS-Interpreters. Es handelte sich somit um reale und recht anspruchsvolle Aufgaben, für die man normalerweise mindestens einen versierten Security-Spezialisten benötigen würde – besser sogar ein Team. Die KIs bekamen keine Anleitung oder auch nur Hilfestellung, sondern lediglich eine Umgebung, in der sie nach möglichen Lösungen suchen, die evaluieren und dann verwerfen oder weiter verbessern konnten.
Und das Ergebnis war beeindruckend: ChatGPT löste tatsächlich alle Aufgaben; Claude schaffte es in allen Fällen bis auf zwei. Insgesamt erstellten die KIs 40 funktionierende Exploits. Dabei fanden sie keine bahnbrechenden Dinge heraus, sondern nutzten vielmehr bekannte Einschränkungen und Schwächen der jeweiligen Mitigations, um diese zu umgehen. Wie sie die im konkreten Fall ausnutzen konnten, erarbeiteten sie sich selbst. Und sie kamen dabei auf Tricks, die Sean bis dato nicht bekannt waren und die er auch nicht im Internet finden konnte.
Weiterlesen nach der Anzeige
Fazit
Heelan demonstriert unter dokumentierten, verifizierbaren Rahmenbedingungen, dass und wie KIs die IT-Sicherheit unumkehrbar verändert: Man kann Angriffswerkzeuge für Tokens kaufen – und das skaliert unabhängig von der Ressource Mensch. In seinen Worten: „Du kannst Token gegen echte Ergebnisse eintauschen.“
Dass die Angriffsfähigkeit mit den Ressourcen des Angreifers skaliert, ist bereits bekannt. Nicht umsonst spielen staatlich finanzierte Advanced Persistent Threats in dieser Hinsicht in der höchsten Liga. Doch inzwischen ist nicht mehr von Millionen-Investments die Rede: Für das Lösen der anspruchsvollsten Aufgabe benötigte ChatGPT etwas mehr als drei Stunden; die Kosten für diesen Agenten-Lauf beliefen sich auf etwa 50 US-Dollar. Das ließe sich also leicht verzehn-, verhundert- oder gar vertausendfachen, ohne das Budget einer mittelgroßen Cybercrime-Bande zu sprengen. Damit skaliert das in einer Art und Weise, die bislang nicht für möglich gehalten wurde.
Es wäre somit erstmals realisierbar, mit einem überschaubaren Investment ein Arsenal von funktionierenden Zero-Day-Exploits für nahezu alle mit dem Internet verbundenen Geräte zu erstellen. Eine Verbindung mit dem Intervnet ist dann kein theoretisches Risiko mehr, das man managen kann. Es bedeutet vielmehr die Gewissheit, dass da draußen jemand direkt die Möglichkeit hat, Schwachstellen auszunutzen – und das im Zweifelsfall auch macht.
Für dieses Szenario müssen wir Security neu denken. Also nicht unbedingt neue Technik, wie wir IT sicher machen. Das wissen wir und die bekannten Methoden funktionieren auch gegen KI-unterstützte Angriffe. Die zentrale Herausforderung ist, wie wir diese Security in die Fläche bekommen, damit das Vorhandensein von Sicherheitslücken eine Ausnahme wird und nicht die Regel.
Was wir auf alle Fälle dringend benötigen, sind mehr Studien dieser Art und Qualität, die nicht nur unser Verständnis der Möglichkeiten von KIs verbessern, sondern weitere Forschung aktiv unterstützen. Insbesondere brauchen wir ähnlich konstruktive Ansätze, um die andere Seite der Medaille zu evaluieren – also wie man mit KI den Angreifern das Leben schwerer macht und den Verteidigern hilft. Und damit meine ich nicht noch knalligere Werbung für angebliche KI-Funktionen in Security-Tools oder mehr „vertraut uns – wir haben das im Griff“
(ju)
Datenschutz & Sicherheit
EU-Parlament macht Vorschläge für mehr digitale Souveränität
„Die Europäische Union ist von ausländischen Technologien abhängig, was erhebliche Risiken für sie birgt“, heißt es in einem Bericht, den das Europäische Parlament am Donnerstag mit großer Mehrheit angenommen hat. Einige wenige Unternehmen verfügten über eine „konzentrierte Macht“ über wichtige digitale Märkte. Außerdem hätten sie die Kontrolle über die Infrastruktur: Betriebssysteme, künstliche Intelligenz, Suchmaschinen, Zahlungsdienste, Werbung und soziale Medien.
„Die jüngsten geopolitischen Spannungen zeigen, dass die Frage der digitalen Souveränität Europas von enormer Bedeutung ist“, schreibt der liberale Abgeordnete Michał Kobosko in einem Post auf X. Die EU sei aufgrund der Abhängigkeiten gleich mehreren Bedrohungen ausgesetzt: der Erpressung durch die USA, der Spionage durch China, der Sabotage durch Russland oder Störungen in den Lieferketten.
Daher wendet sich das Parlament mit einer Reihe von Forderungen und Ideen an die Kommission und die Mitgliedstaaten. Erstens soll die Kommission die Abhängigkeiten Europas in der digitalen Infrastruktur ermitteln und die Risiken bewerten. Auf Grundlage einer solchen Bestandsaufnahme könnten dann die notwendigen Maßnahmen koordiniert werden.
Bevorzugte Vergabe an EU-Unternehmen
Zweitens wünschen sich die Abgeordneten die Möglichkeit, manche öffentliche Aufträge exklusiv an souveräne europäische Unternehmen vergeben zu können. Unternehmen aus Drittstaaten würden dann ausgeschlossen werden. Solche Mechanismen gebe es etwa in China oder den USA, aber noch nicht in der EU, betonen die Abgeordneten.
Die Reform des Vergaberechts ist ohnehin für das zweite Quartal dieses Jahres geplant, wie im Arbeitsprogramm der Kommission für 2026 abzulesen ist. Die Präsidentin der Kommission, Ursula von der Leyen, hat schon mehrfach versprochen, dass die Reform auch die Bevorzugung von europäischen Unternehmen in „bestimmten strategischen Sektoren“ ermöglichen wird. Bei ihrer Rede zur „Lage der Union“ im September 2025 erklärte sie, das Kriterium „Made in Europe“ einführen zu wollen.
Drittens machen die Abgeordneten auf die besonders gravierenden Abhängigkeiten im Cloud-Bereich aufmerksam. Die Daten würden „zum Großteil“ außerhalb des EU-Gebiets gespeichert und gehostet. Daher verlangen sie eine Definition der souveränen Cloud in der Verordnung über Cloud- und KI-Entwicklung, die die Kommission am 25. März vorstellen will.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Cloud-Daten vor Zugriff schützen
Außerdem wollen sie strengere Regeln für sensible Daten etablieren. Im europäischen System für die Cybersicherheitszertifizierung von Cloud-Diensten (EUCS), über das noch beraten wird, werde nicht ausreichend garantiert, dass Hosting-Anbieter nicht außereuropäischen Rechtsvorschriften unterliegen. Insbesondere der Cloud Act der USA dürfte hier gemeint sein. Der verpflichtet US-Unternehmen, Behörden aus den USA Zugriff auf von ihnen verarbeitete Daten zu gewähren, selbst wenn die Speicherorte außerhalb der Vereinigten Staaten liegen.
Im Bericht erwähnen die Abgeordneten auch die Wichtigkeit von „offenen und interoperablen Lösungen“, die ebenfalls durch die öffentliche Vergabe gefördert werden könnten. Insgesamt sprechen sie sich für Strategien wie Open Source als erste Wahl und „Öffentliches Geld – öffentlicher Code“ (Public Money, Public Code) aus. Dieser Grundsatz besagt, dass aus öffentlichem Geld finanzierte Software standardmäßig unter einer Open-Source-Lizenz veröffentlicht werden sollte.
Verurteilung von US-Druck
Durch einen Änderungsantrag der liberalen Renew-Fraktion hat es darüber hinaus ein weiterer Punkt in den Bericht geschafft: Die EU müsse auch bei der Durchsetzung ihrer Regulierung souverän bleiben, heißt es dort.
Damit reagieren die Abgeordneten auf die von den USA im Dezember verhängten Reiseverbote gegen Vertreter:innen der Zivilgesellschaft, darunter HateAid, und den ehemaligen Digitalkommissar Thierry Breton. Das Parlament fordert die Aufhebung dieser Verbote und eine „entschlossene“ Reaktion der Kommission und der Mitgliedstaaten auf diese „beispiellosen Angriffe“.
Der Bericht wurde im Sommer 2025 durch den Industrieausschuss (ITRE) erarbeitet. Die zuständige Berichterstatterin, die Abgeordnete Sarah Knafo, ist Teil der rechtsextremen ESN-Fraktion. Bei der Abstimmung in Straßburg wurde der Text mit 471 zu 68 Stimmen bei 71 Enthaltungen angenommen. Dagegen stimmten Mitglieder der Fraktionen der Linken und der rechtsextremen sogenannten „Patrioten für Europa“ (PfE).
Neue KI-Siri im Frühjahr: Apple soll fast alle versprochenen Funktionen nachliefern
Garmin Forerunner 570 im Test: Der neue Testsieger unter den Sportuhren
Gerüchte zu iOS 27: Siri könnte mit „Campos“ nun doch zum KI-Chatbot werden
-
Entwicklung & Codevor 2 MonatenKommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
-
UX/UI & Webdesignvor 3 MonatenArndt Benedikt rebranded GreatVita › PAGE online
-
Künstliche Intelligenzvor 4 WochenSchnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
-
Entwicklung & Codevor 1 MonatKommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
-
Künstliche Intelligenzvor 3 MonatenGoogle „Broadwing“: 400-MW-Gaskraftwerk speichert CO₂ tief unter der Erde
-
Apps & Mobile Entwicklungvor 2 MonatenHuawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
-
Apps & Mobile Entwicklungvor 2 MonatenFast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
-
Social Mediavor 1 MonatDie meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights