Mehr Europäische Souveränität – weniger Abhängigkeit von großen US-Konzernen. Das ist das zentrale Versprechen des Digitalen Euro. Doch immer wenn über technische Standards beim Digitalen Euro geredet wird, sitzen US-amerikanische Big Tech- und Finanzkonzerne mit am Tisch. Mastercard ist sogar an einem der Unternehmen beteiligt, die den Digitalen Euro zum Leben erwecken sollen.

Der Digitale Euro (D€) soll das grenzüberschreitende Bezahlen möglich machen und damit das Oligopol von Mastercard, Visa und PayPal aufbrechen. Spätestens seit der Rückkehr von Donald Trump ins Weiße Haus begründen Befürworter:innen das Projekt der EZB auch mit Europäischer Souveränität.

Europäische Souveränität als Ziel

So verweist Burkhard Balz, Vorstand der Bundesbank, im Tagesspiegel auf das Schicksal des brasilianischen Richters Alexandre de Moraes, der zuerst den ehemaligen brasilianischen Präsidenten Bolsonaro für seinen Putschversuch verurteilte. Die Trump-Regierung sanktionierte daraufhin den Richter und schloss ihn so de-facto vom Finanzsystem aus. Ähnliche Szenarien seien im europäischen Zahlungsverkehr denkbar. US-Anbieter „können dann darüber entscheiden, ob wir Europäer digital zahlen können oder nicht“, schreibt Bundesbanker Balz.

Weniger Abhängigkeit von US-Firmen ist also das Ziel des D€, insbesondere von Mastercard und Visa, die das bargeldlose Bezahlen in Europa dominieren. Umgesetzt werden soll das auf der einen Seite von EU-Kommission, Ministerrat und Europäischem Parlament – den EU-Gesetzgebern. Sie arbeiten an einem Gesetzespaket zum Digitalen Euro. Auf der anderen Seite arbeitet die Europäische Zentralbank (EZB) bereits an der Umsetzung. Und genau dort wirft der Einfluss von US-Konzernen Fragen auf.

Mastercard ist an App-Entwickler für den D€ beteiligt

Denn ausgerechnet Mastercard ist auch an einem wichtigen Unternehmen für die Entwicklung des Digitalen Euro beteiligt. Der gleiche Digitale Euro, der uns unabhängiger von Mastercard machen soll.

Denn zur Umsetzung des D€ hat die EZB bereits Aufträge vergeben. Unter Vertrag genommen wurden zehn Unternehmen für insgesamt fünf Aufträge: Alias-System, App und Software Entwicklung, Offline-Lösung, Risko- und Betrugsmanagement sowie sicherer Austausch von Zahlungsinformationen.

Einen Teil der Ausschreibung zur App-Entwicklung gewann die italienische Firma Fabrick. Mastercard hat Anteile an dem Unternehmen, das mehrheitlich zur italienischen Banca Sella Gruppe gehört. Mastercard kaufte sich 2023 in das Unternehmen ein, wie ein Pressemitteilung zeigt, und hält die Anteile bis heute. Wie viele Anteile Mastercard an Fabrick besitzt, ist unklar. Beide Unternehmen haben nicht auf Anfragen von netzpolitik.org reagiert.

„Es ist ein Risiko“

Bruno de Conti von der NGO Positive Money führt die Beteiligung von Mastercard auf die hohe Konzentration und Vernetzung innerhalb des Finanzmarkts zurück, er sei daher nicht überrascht gewesen, dass Mastercard an einem der Unternehmen beteiligt gewesen sei. „Dennoch stellt das ein Risiko dar“, warnt de Conti. Es brauche einen möglichst transparenten Prozess und eine starke EZB, die das Gemeinwohl verteidige.

Rechtsprofessor Andreas Kerkemeyer von der TU Darmstadt findet die Minderheitsbeteiligung von Mastercard zumindest überraschend: „Es ist wichtig für das Gelingen des Digitalen Euros, dass die Unternehmen, mit denen die EZB zusammenarbeitet, um die Kernfunktionen bereitzustellen, ihren Sitz in Europa haben, in europäischer Hand sind und auch nicht von nicht-europäischen Unternehmen aufgekauft werden.“

EZB: Minderheitsbeteiligung ist unproblematisch

Die EZB teilt auf Anfrage mit, dass die Verträge und Ausschreibungen eine Bedingung beinhalten, um die europäische Autonomie zu sichern. Dieser Bedingung zur Folge müssen alle Dienstleister des Digitalen Euro europäisch kontrolliert sein, also von einem Unternehmen mit Sitz in der EU oder einem EU-Bürger. Die EZB schreibt:

Kontrolle’ bedeutet die Möglichkeit, direkt oder indirekt über ein oder mehrere zwischengeschaltete Unternehmen einen entscheidenden Einfluss auf ein Unternehmen auszuüben. Die Kontrolle kann in einer der folgenden Formen ausgeübt werden: direkte oder indirekte Beteiligung von mehr als 50 % des Nennwerts des ausgegebenen Aktienkapitals der betreffenden juristischen Person oder Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter dieser Person.

Die Minderheitsbeteiligung von Mastercard habe „offenbar keine ‚Kontrolle‘ über den Anbieter zur Folge und wirkt sich daher nicht auf die Eignung des Anbieters aus, Arbeiten und Dienstleistungen für die EZB zu erbringen“, antwortet die EZB auf netzpolitik.org-Anfrage.

Das Regelwerk

Neben der Unternehmensbeteiligung ist Mastercard noch an einer anderen Stelle in der Umsetzung des Digitalen Euro mindestens involviert – ebenso wie einige US-amerikanische Big Tech-Konzerne.

Denn ein wichtiger Teil der D€-Umsetzung geschieht in der Rulebook Development Group (RDG). Diese arbeitet ein Rulebook („Regelwerk“) aus, in welchem einheitliche Regeln und technische Standards festgelegt sind. Besonders relevant ist das für die Unternehmen, die die zukünftigen Zahlungsprozesse abwickeln, etwa Banken oder andere Zahlungsdienstanbieter. Nach Auskunft der Bundesbank wurde die RDG „ins Leben gerufen, um eine Branchenperspektive auf den Entwurf des Regelwerks für den digitalen Euro zu gewinnen.“

Wo US-Konzerne mit am Tisch sitzen

Doch mit am Tisch sitzen auch Verbände, deren Mitglieder große US-amerikanischen Unternehmen sind, also genau die, von denen die EZB die europäische Abhängigkeit reduzieren möchte.

• Da ist zum einen als Vertreter der Zahlungsinstitutionen die European Payment Institutions Federation (EPIF). Diese ist dominiert von US-amerikanischen Big-Tech-Konzernen. Apple, Amazon Payments, Google Pay und Meta stellen immerhin die Hälfte der „Voll-Mitglieder“. Zu diesem Kreis gehören auch die US-Finanzkonzerne American Express, Moneygram und Western Union.
• Auch die Mitgliederliste der Electronic Money Association (EMA) liest sich wie ein Who-is-who der Plattformkonzerne: AirBnB, Amazon, ByteDance, Google, PayPal und Uber sind mit von der Partie, ebenso wie Finanzkonzerne wie American Express und die Kryptobörse Kraken.
• Amazon ist außerdem noch Mitglied im Händlerverband Eurocommerce, in dem auch Aldi und die Schwarz-Gruppe (Kaufland, Lidl) sitzen.
• Mastercard ist Mitglied in zwei in der RDG sitzenden Verbänden. Die belgische Präsenz von Mastercard ist Mitglied im European Payment Council, außerdem gehört Mastercard das Unternehmen „aiia“, welches Mitglied der European Third Party Providers Association ist.

Wie problematisch ist das?

Bundesbank und EZB verteidigen auf Anfrage die indirekte Präsenz von US-Konzernen in der RDG. So schreibt die EZB: „Alle derzeitigen RDG-Mitglieder aus dem privaten Sektor stammen aus einem europäischen Verband oder sind mit privaten Institutionen/Unternehmen mit Sitz in der EU verbunden.“ Das schließt allerdings auch Tochterunternehmen nicht-europäischer Konzerne mit ein.

Zudem seien die in der RDG ausgehandelten Regeln nicht verbindlich. „Die Rolle der RDG-Mitglieder ist beratend“, schreibt die Bundesbank auf netzpolitik.org-Anfrage. Die Verantwortung und Eigentümerschaft des Regelwerks bleibe beim Eurosystem. Auch die EZB betont, dass die letztendliche Entscheidung bei ihr liege: „Ein endgültiger Entwurf des vorläufigen Regelwerks wird einer öffentlichen Konsultation unterzogen. Anschließend wird das Regelwerk für den digitalen Euro dem EZB-Rat zur Prüfung und anschließenden Genehmigung vorgelegt.“

Zivilgesellschaft: Kein Vorbeikommen an US-Konzernen

Expert:innen aus der Zivilgesellschaft sehen die indirekte Beteiligung von großen US-Konzernen kritischer. So sagt Carolina Melches zu netzpolitik.org: „Dass US-Unternehmen indirekt mit am Tisch sitzen, zeigt die problematische Allgegenwärtigkeit dieser Unternehmen im europäischen Zahlungsverkehr. Will man wichtige Stakeholder dabeihaben, kommt man an den US-Anbietern kaum vorbei.“

Bruno de Conti von der Nichtregierungsorganisation Positive Money Europe warnt, dass es beim Rulebook um „wesentliche Entscheidungen“ gehe. Die Einbindung von privaten Firmen bei Projekten wie dem Digitalen Euro sei auch eine Strategie der Zentralbanken, „um die Zurückhaltung vieler privater Unternehmen in Bezug auf digitale Zentralbankwährungen zu verringern“, schreibt de Conti auf Anfrage.

US-Digitalkonzerne könnten versuchen, auf einen möglichst unattraktiven Digitalen Euro hinzuarbeiten, aber es könnte auch auf eine interoperable Lösung hinauslaufen, so de Conti weiter. Die Frage nach der Problematik der Beteiligung von großen US-Konzernen „betrifft also weniger die Einbeziehung an sich, sondern vielmehr den Einfluss, den sie in den Gesprächen hatten – etwas, über das wir erschreckend wenig wissen.“

Wissenschaftler: Auch mit diesen Konzernen sprechen

Professor Andreas Kerkemeyer ist von der mindestens indirekten Beteiligung der US-Konzerne an der RDG nicht beunruhigt. „Da der Zugang zum Digitalen Euro für die Nutzer nicht über die EZB oder das Eurosystem erfolgt, sondern über (digitale) Zahlungsdienstleister, macht es schon Sinn mit all denjenigen zusprechen, die in diesem Markt aktiv sind“, sagt der Jura-Professor im Gespräch mit netzpolitik.org.

Für Kerkemeyer „besteht immer die Gefahr eines ‚regulatory capture‘, wenn die Vertreter von Firmen an Rechtsregeln mitarbeiten.“ Regulatory capture meint das Kapern einer Institution, die eigentlich dem Gemeinwohl dienen soll, durch einzelne Lobbygruppen.

„Allerdings steuert die EZB den Prozess maßgeblich, sie hat den Vorsitz und das Sekretariat der RDG inne und am Ende entscheidet sie über das Rulebook“, so Kerkemeyer. Außerdem habe die RDG noch mehr Mitglieder als die oben angesprochenen Verbände.

Der Blick richtet sich auf EU-Parlament und Rat

Dass der Digitale Euro gelinge, sehen alle drei Expert:innen auch in der Verantwortung von Parlament und Rat, diese beraten aktuell über das Gesetzespaket zum Digitalen Euro. So sagt Andreas Kerkemeyer: „In der Verordnung werden die wesentlichen Entscheidungen über den Digitalen Euro getroffen. Es ist klar, dass sich das Rulebook innerhalb des Rahmens der Verordnung bewegen muss.“

Carolina Melches von Finanzwende betont: Der Digitale Euro könne nur dann ein echtes Gegengewicht zu US-amerikanischen Anbietern werden, „wenn Infrastruktur und Betrieb bei seiner Einführung rein europäisch sind“. Hierfür müssten sich auch die EU-Gesetzgeber einsetzen.

Aus Sicht von Positive Money Europe ist das Europäische Parlament aktuell die größte Hürde, um Abhängigkeiten von den USA abzubauen. De Conti bezieht sich damit auf den Entwurf von Berichterstatter Navarrete, der im November im Wirtschaftsausschuss diskutiert wurde. Navarrete hatte vorgeschlagen, einen Online-D€ nur dann einzuführen, wenn bis zu seiner Einführung keine privat-wirtschaftliche pan-europäische Alternative bereitstünde.

Dieser Ansatz sei „kurzsichtig“, kritisiert de Conti: „Würde ein solches System letztendlich von einem Nicht-EU-Unternehmen aufgekauft, stünden wir wieder am Anfang – nur mit einer noch größeren Verzögerung bei der Entwicklung eines umsetzbaren und zuverlässigen Plans und einer weiteren Konsolidierung der Marktmacht in den Händen von Nicht-EU-Unternehmen.“

Das Berliner Unternehmen Outfittery wirbt mit einem innovativen Konzept: Kunden bekommen individuell auf sie abgestimmte Outfits statt einzelner Kleidungsstücke. Seit Anfang Dezember gibt es obendrein jedoch auch Phishing-Versuche. Diese verweisen auf offizielle Outfittery-Domains und stammen offenbar aus den Systemen des Unternehmens selbst. Eine persönliche Spurensuche.

In der Vorweihnachtszeit trudeln allerlei Newsletter und Angebote im digitalen Postfach ein: Da möchte ein Versand auf seine Bestellfristen vor dem Fest hinweisen, ein Onlineshop hat Geschenkideen für die Lieben und ein dritter bittet um dringende Aktualisierung der Zahlungsdaten. So weit, so normal, doch halt: Irgendwas ist komisch an der E-Mail von Outfittery.

Verdächtige E-Mail aus legitimer Quelle

Die Aufmachung der Nachricht, die am 5. Dezember um 9:20 vormittags in meiner Inbox eintrudelte, erinnert stark an die Designsprache von Outfittery: Vor pastellfarbenem Hintergrund bewegen sich modische, aufeinander abgestimmte Kleidungsstücke. Auf Englisch werde ich – mit Vornamen angesprochen – auf ein Problem mit meiner Bezahlmethode aufmerksam gemacht und gebeten, über einen blau markierten Link eine Aktualisierung vorzunehmen. Nur so könne meine Mitgliedschaft weitergehen.

Allein: welche Mitgliedschaft? Schließlich habe ich den Dienst nie wirklich genutzt, sondern lediglich einmal ein Outfit zusammengestellt und somit auch nie Zahlungsdaten hinterlegt. Die E-Mail war zudem an die mit meinem Facebook-Konto verbundene Mailadresse adressiert – für echte Kundenkonten verwende ich individuelle Adressen.

Vom CRM in die Irre geführt?

Ein genauerer Blick auf die URL, die hinter dem blauen Button, aber auch alle anderen Links in der E-Mail hinterlegt ist: Sie zeigt auf http://lnk.stylist.outfittery.com/ls/click?upn=, kann also auch dem Unternehmen zugeordnet werden, das international tätig ist. Dass der Trackinglink per HTTP-URL aufgerufen wird und somit offenbar zu den letzten unverschlüsselten Webseiten der Welt gehört – geschenkt. Beim Klick lande ich jedoch an einer unerwarteten Stelle: Zunächst wird der HTTP- auf einen HTTPS-Link umgebogen (ich fühle mich gleich viel sicherer), dann jedoch auf die kryptische Adresse weitergeleitet. Dort befand sich zunächst eine Phishing-Seite (registriert am 2. Dezember), aktuell die Sperrseite eines Hosters namens CloudAccess.

Offenbar hatten Kriminelle also zumindest kurzzeitig Zugriff auf das System, mit dem Outfittery Tracking-Links für seine Marketingmails erstellt. Sie haben einen Link erstellt, der sein wahres Ziel maskiert und ihm den Ruch der Legitimität verleiht – und das bis heute: Auch am 18. Dezember, fast zwei Wochen nach der E-Mail, funktioniert die böswillige Weiterleitung.

Und woher kam die E-Mail? Dem leidgeprüften Mailserver-Veteranen bleibt der reflexartige Griff zur Tastenkombination Strg-U, um die Quellansicht zu öffnen und die Mailheader zu begutachten. Und die zeigen: Die Mail wurde über einen Server versandt, der als legitime Quelle von E-Mails der Firma Outfittery gilt. Das beweisen die gültigen DKIM-Header. Die Rückwärtsauflösung passt zum DNS-Eintrag, die IP gehört zum Maildienstleister Twilio (früher Sendgrid). Zudem ergibt die E-Mail keine Hinweise auf simple Header-Fälschtricks, wie Spammer sie seit Jahrzehnten verwenden.

Nach der Analyse wird klar: Da wurde eine E-Mail über Outfitterys technische Plattform versendet, sie enthält einen Link zur offiziellen Domain des Unternehmens, verweist aber auf einen Phishing-Link. Das deutet auf einen Sicherheitsvorfall hin. So schätzten auch mehrere Leser die Sachlage ein, die uns im Laufe der vergangenen Woche von gleichlautenden E-Mails berichteten. Ein Einzelfall scheint also ausgeschlossen, unklar bleibt jedoch die Quelle des Vorfalls. Gab es einen Einbruch in die Systeme von Outfittery oder des Maildienstleisters? Sind womöglich personenbezogene Daten abgeflossen?

Outfittery taucht ab

Es wurde Zeit, bei Outfittery nachzufragen. Am 9. Dezember stellte ich dem Unternehmen die üblichen Fragen: Woran hat et jelegen, welche Daten wurden kompromittiert und welche Gegenmaßnahmen traf Outfittery? Auf meine Anfrage an die Support- und Datenschutzadresse antwortete das Unternehmen nicht. Eine Woche später hakte ich nach und nahm die mutmaßliche Adresse des Datenschutzbeauftragten der Konzernmutter, dpo@outfittery.com, in den Verteilerkreis auf. Diese Adresse antwortete mir umgehend: mit einer Unzustellbarkeitsnachricht.

Ansonsten herrschte Funkstille, obwohl ich um Antwort bis zum gestrigen 17. Dezember bat. Auch telefonisch macht Outfittery sich rar: Unter der Berliner Telefonnummer, die in der Datenschutzerklärung hinterlegt ist, hört der geneigte Redakteur lediglich eine Bandansage, man habe den Telefonsupport leider eingestellt. Das Unternehmen wechselte kürzlich den Besitzer: Im März verkündete der Geschäftsführer des spanischen Unternehmens Lookiero gemeinsam mit Julia Bösch, der Gründerin des Berliner Unternehmens eine Fusion. Bösch sowie der Prokurist schieden im August dieses Jahres aus der Geschäftsführung aus, die seitdem in spanischer Hand ist.

Dennoch bleibt unklar, was genau vorgefallen ist – auch unsere Leser berichten, auf ihre Anfragen ans Unternehmen keine Antwort erhalten zu haben. Licht ins Dunkel kann nun wohl nur noch eine Anfrage bei der Berliner Datenschutzbeauftragten liefern.

(cku)

Nachdem wir uns bereits im vergangenen Jahr über die Auszeichnung unserer Chefredaktion durch das medium magazin freuen durften, war unsere Überraschung umso größer: Erneut werden Anna Biselli und Daniel Leisegang mit dem dritten Platz in der Kategorie „Chefredaktion national“ bei der Wahl zu den „Journalistinnen und Journalisten des Jahres“ geehrt.

2024 hob die Jury hervor, wie netzpolitik.org „komplexe Recherche auf den Punkt“ bringt. Dieses Jahr stand für die unabhängigen Juror:innen offenbar unsere Rolle in den aktuellen Debatten im Mittelpunkt:

Netzpolitik.org war in diesem Jahr voller Debatten über Überwachung, Datenzugriffe und Bürgerrechte unverzichtbar – gerade weil dieses Wissen in vielen Redaktionen fehlt. Auch in eigener Sache geht das Chefredaktions-Duo voran, modernisiert klug Schritt für Schritt den Auftritt des Portals. So bleibt die Redaktion eine verlässliche, unabhängige Stimme für Datenschutz und digitale Freiheitsrechte.

Danke für die Anerkennung und die lobenden Worte, sowohl für unsere Chefredaktion als auch für die Arbeit und Kompetenz des gesamten Teams!

Eine feste Größe in der Branche

Das medium magazin ist eine Fachzeitschrift für Journalist:innen und mit seinem Erscheinen ab dem Jahr 1986 eine feste Größe in der Branche. Seit 2004 vergibt das Medium die undotierte Auszeichnung „Journalistinnen und Journalisten des Jahres“ in mehreren Kategorien.

In der Kategorie „Journalistinnen des Jahres“ zeichnete das medium magazin unter anderem Isabell Beer und Isabel Ströh für ihre Recherchen zu Vergewaltigungsnetzwerken aus, die sie in mehreren Dokumentationen veröffentlichten.

Den Ehrenpreis für ihr Lebenswerk erhielt Cathrin Kahlweit, die seit vielen Jahren herausragende Reportagen aus dem In- und Ausland veröffentlicht.

Alle gekürten Journalist:innen sind in der aktuellen Ausgabe des Magazins und später auch auf der Website zu finden. Die Jury setzt sich aus mehr als 100 Fachleuten zusammen.

Neben der Auszeichnung des medium magazins erhielt das Team von netzpolitik.org in diesem Jahr noch weitere Preise: Die Recherchen zu den Databroker Files gemeinsam mit dem BR gewannen den „Innovation Award 2025“ beim European Press Prize und wurden als bester interaktiver Online-Beitrag mit dem Datenschutz-Medienpreis (DAME) gekürt. Die Folge „Link-Extremismus“ unserer Podcast-Feature-Staffel „Systemeinstellungen“ zeichnete der Bayerische Journalistenverband mit dem „Rainer-Reichert-Preis zum Tag der Pressefreiheit“ aus. Vielen Dank für all diese Anerkennung unserer Arbeit!