Darf Deutschland soziale Medien für Minderjährige verbieten? Damit haben sich die Wissenschaftlichen Dienste des Bundestags nun ein zweites Mal befasst. Nach wie vor sehen sie dafür keinen Spielraum. Vor allem das EU-Recht stellt Deutschland – und anderen EU-Mitgliedstaaten – hohe Hürden in den Weg. Das geht aus dem 27-seitigen Bericht hervor, den wir hier veröffentlichen.

Bereits im August 2025 sind die Wissenschaftlichen Dienste in eine Analyse zu diesem Ergebnis gekommen. Seitdem sind die Forderungen nach einem Social-Media-Verbot in Deutschland nur noch lauter geworden. Die CDU hat sich dem Vorhaben per Parteitagsbeschluss verschrieben, auch wichtige SPD-Politiker*innen fordern es. Zuspruch gibt es vom Kanzler und vom Vize-Kanzler. Deutschland ist damit in der EU nicht allein. Unter anderem Frankreich, Spanien und Österreich verfolgen ähnliche Pläne.

Eingriff ins Elternrecht

Die Expert*innen der Wissenschaftliche Dienste arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Gegen ein deutsches Social-Media-Verbot für Minderjährige sprechen ihrem Bericht zufolge vor allem vier rechtliche Gründe.

Erstens: Der Anwendungsvorrang. Er bedeutet, dass im Zweifel EU-Recht vor nationalem Recht gilt. Und die EU hat bereits einen Rechtsrahmen für soziale Medien. Das Gesetz über digitale Dienste (DSA) sieht je nach Risiko und je nach Online-Dienst spezifische Maßnahmen vor, auch zum Schutz von Minderjährigen. Das kann zum Beispiel bedeuten, dass ein Social-Media-Dienst suchtfördernde Funktionen abmildern muss. Auch Altersgrenzen und Kontrollen sind im DSA eine Option, aber keine Pflicht.

Nationale Regelungen wie ein Social-Media-Verbot könnten sich mit dem DSA beißen. Mitgliedstaaten dürften sie zwar beschließen, aber nicht anwenden. Die Expert*innen schreiben dazu: Der Anwendungsvorrang wirke dann, wenn „eine nationale Regelung den Anwendungsbereich der jeweiligen EU-Verordnung tangiert oder eine ähnliche Zielsetzung verfolgt“.

Zweitens: Die „vollständige Harmonisierung“ des Binnenmarkts. Hier geht es um Unternehmen. Zerstückelte Regelwerke in 27 Mitgliedstaaten sollen sie nicht abschrecken, in der EU Geschäfte zu machen. Stattdessen sollen die einheitlichen Vorschriften im DSA „eine Fragmentierung des Binnenmarkts verhindern bzw. beenden“, fassen die Wissenschaftlichen Dienste zusammen.

Drittens: Das Herkunftslandprinzip. Hier geht es darum, dass internationale Konzerne nur in dem EU-Mitgliedstaat reguliert werden sollen, wo sie auch ihren Sitz haben. Im Fall sozialer Medien wie TikTok, Instagram oder YouTube ist das Irland. Die Jurist*innen der Wissenschaftlichen Dienste halten deshalb fest:

Nationale Regelungen bzgl. einer Sperrung bzw. Beschränkung von Social-Media-Plattformen (z.B. Meta, Google, X, TikTok etc.) hätten danach weitgehend keine Auswirkungen.

Viertens: Das Elternrecht. Hier geht es mal nicht um EU-Recht, sondern ums Grundgesetz, und zwar ums „grundrechtlich gewährleistete Erziehungsrecht der Eltern“. Dieses Elternrecht schützt Eltern „vor Eingriffen in Fragen der Kindererziehung“, wie die Jurist*innen erklären. „Es umfasst dabei gegebenenfalls auch ihre Entscheidung, Medieninhalte ihren Kindern zugänglich zu machen, die sich potenziell schädlich auswirken können“.

Das bedeutet: Selbst wenn manche Eltern gerne ein staatliches Social-Media-Verbot für ihre Kinder hätten – möglicherweise darf sich der Staat in dieser Form schlicht nicht in die Erziehung einmischen.

„Populistische Verbote“

Unterm Strich beschreiben die Jurist*innen vor allem Hürden für ein deutsches Social-Media-Verbot; Spielräume dagegen nicht. Das letzte Wort ist damit aber nicht gesprochen – das wäre auch nicht die Aufgabe der Wissenschaftlichen Dienste. Hierfür verweisen die Expert*innen auf den Europäischen Gerichtshof: „Abschließend könnte über die Frage verbleibender Regelungsspielräume der Mitgliedstaaten im Bereich des Verbots bzw. der Beschränkung von Social-Media-Plattformen nur der EuGH entscheiden.“

Der Bundestagsabgeordnete David Schliesing (Die Linke) kommentiert mit Blick auf das Gutachten: „Obwohl die Regierungsparteien populistisch Verbote als schnelle Lösung fordern, würden diese sowohl im EU-Recht als auch durch das Grundgesetz auf erhebliche Hürden stoßen.“ Die Debatte solle schnellstmöglich versachlicht werden. „Erstens müssen die bereits bestehenden rechtlichen Instrumente endlich konsequent genutzt werden“, so Schliesing, „zweitens müssen wir die Medienpädagogik stärken. Schulen, Familien und die Jugendhilfe benötigen dafür mehr Zeit, Personal und bessere Rahmenbedingungen.“

„Ein Social-Media-Verbot macht den Jugendschutz schlechter“

Die dünne Rechtslage dürfte den Befürworter*innen nationaler Social-Media-Verbote in Deutschland und anderen EU-Mitgliedstaaten bekannt sein. Wohl auch deshalb verbinden viele ihre Vorstöße mit Forderungen nach einer EU-weiten Lösung, so auch die Unterzeichner*innen des SPD-Papiers. Auf diese Weise gerät die EU-Kommission unter Druck, möglicherweise doch noch einen eigenen Entwurf für ein EU-weites Verbot vorzulegen.

Viele Organisationen haben Kritik an einem Social-Media-Verbot und den zur Durchsetzung geforderten Alterskontrollen. Warnungen und Ablehnung kommen etwa von Kinderschützer*innen und Lehrer*innen, von IT-Sicherheitsforschenden, aus kirchlichen Organisationen und Elternverbänden. Bis Sommer sollen Expert*innen-Kommissionen auf EU-Ebene und Deutschland-Ebene Lösungen für Kinder- und Jugendschutz im Netz entwickeln.

Selten hat eine Podcastepisode so viel weiterführendes Feedback produziert, wie die vorangegangene zu GrapheneOS. Die Hosts haben diverse Tipps, Links und Erfahrungsberichte erhalten, die sie natürlich gerne weitergeben – zusammen mit ein paar eigenen Updates zu Themen, die in früheren Folgen zur Sprache kamen. Im weiteren Verlauf der Folge geht es dann viel um alte und neue Bugs und verschiedene Pläne Googles zur „Post Quantum“-Welt.

Den Einstieg macht Sylvester mit einer sehr alten Sicherheitslücke, nämlich einem Pufferüberlauf in Unix Version 4 von 1973 – der dennoch ganz aktuell eine CVE-Nummer erhalten hat. Die Hosts diskutieren, was an der Lücke interessant ist, wieso auch vermeintlich(?) irrelevante Lücken eine CVE-Nummer erhalten und wieso CVE-2025-71263 kein „1973“ im Namen trägt.

Weiter geht es mit neuen und sehr viel schmerzhafteren Sicherheitsproblemen. Christopher erzählt von Lücken in Citrix Gateway und Netscaler ADC, die seit der Podcast-Aufzeichnung noch kritischer wurden, weil sie nun aktiv ausgenutzt werden. Außerdem debattieren die beiden Hosts Coruna und DarkSword, zwei Exploit-Kits, die beide gleich eine ganze Reihe Lücken enthalten und durch deren Kombination vergleichsweise neue iOS-Versionen befallen können.

Gegen Ende kommt endlich das Leib-und-Magen-Thema des Podcasts zur Sprache: Public-Key-Infrastruktur (PKI). Google treibt einen Vorschlag voran, die im Web jahrzehntelang etablierten Zertifikate und Zertifikatsketten nach dem X.509-Standard abzulösen. Sie skalieren nicht gut auf die deutlich größeren Schlüssel und Signaturen von quantensicheren Kryptografieverfahren (post-quantum cryptography, PQC) – und mit dieser Umstellung auf PQC hat es Google offenbar eilig. Schon bis 2029 will der Internetgigant auf die neuen Verfahren umsatteln, deutlich schneller als es beispielsweise das BSI vorsieht. Die Hosts erzählen, welche Schritte Google neben der PKI-Initiative aktuell geht, und überlegen, woher diese Eile rühren könnte.

(syt)

Im Chrome-Webbrowser klaffen 21 Sicherheitslücken. In der Nacht zum Mittwoch dieser Woche hat Google Updates veröffentlicht, die sie schließen. Eine der Schwachstellen erlaubt das Einschleusen von Schadcode und wird bereits im Internet attackiert.

In der Versionsankündigung hat Google dieses Mal zeitnah Informationen zu den darin geschlossenen Sicherheitslücken ergänzt. 19 Schwachstellen gelten demnach als hohes Risiko, zwei weitere als mittlerer Bedrohungsgrad. Für eine der Lücken mit hohem Risiko erklären die Entwickler, dass sie um einen Exploit in freier Wildbahn wissen – Angreifer nutzen sie zum Kompromittieren von Nutzern und Nutzerinnen aus.

Dabei handelt es sich um eine Use-after-free-Schwachstelle, bei der Programmcode auf Ressourcen zugreift, nachdem sie bereits freigegeben wurden und dadurch undefinierte Inhalte enthalten können. Das lässt sich oftmals mit etwas Geschick zum Einschleusen und Ausführen von Schadcode missbrauchen. Angreifer machen das bereits mit manipulierten Webseiten. Der Fehler findet sich in der WebGPU-Implementierung Dawn von Chrome (CVE-2026-5281, kein CVSS-Wert, Risiko laut Google „hoch“).

Google Chrome: Aktualisierte Versionen

Die Chrome-Versionen 146.0.7680.177 für Android und Linux sowie 146.0.7680.177/178 für macOS und Windows schließen die Sicherheitslücken. Die lassen sich lokal etwa durch den Aufruf des Versionsdialogs über den Klickpfad „Einstellungen“ (verbergen sich hinter dem Symbol mit drei aufeinander gestapelten Punkten rechts von der Adressleiste) und weiter über „Hilfe“ – „Über Google Chrome“ installieren, dort sollte das verfügbare Update angezeigt und dessen Installation angeboten werden. Unter Linux ist dafür in der Regel die Softwareverwaltung der eingesetzten Distribution zuständig. Android-Nutzer und -Nutzerinnen sollten im Google-Play-Store die Aktualisierung angeboten bekommen – allerdings stellt Google hier die neuesten Versionen nicht für alle Smartphones zur gleichen Zeit bereit, die Verfügbarkeit kann auch erst nach Stunden oder Tagen gegeben sein.

Auf dem Chromium-Projekt basierende Webbrowser wie Microsofts Edge sind mit hoher Wahrscheinlichkeit ebenfalls von den Sicherheitslücken betroffen, die attackierte Schwachstelle dürfte auch darin vorhanden sein. Wer diese Browser einsetzt, sollte ebenfalls prüfen, ob Aktualisierungen vorliegen.

Zuletzt hatte Google vor etwa eineinhalb Wochen ein umfangreiches Update verteilt, das 26 Sicherheitslücken geschlossen hat. Knapp eine Woche davor mussten die Entwickler zudem Notfall-Updates herausgeben, um zwei bereits angegriffene Sicherheitslücken zu schließen. Dabei kam es zu etwas Verwirrung – der erste Fix hatte eine der beiden Lücken anders als angekündigt nicht geschlossen, woraufhin Google am Folgetag ein weiteres Update außer der Reihe zum Stopfen eines zweiten bereits attackierten Sicherheitslecks veröffentlichte.

(dmk)