Die EU-Kommission zieht eine überwiegend positive erste Bilanz zum Digital Markets Act (DMA). Das EU-Digitalgesetz erfülle seinen Zweck und habe sich positiv auf digitale Märkte ausgewirkt, heißt es in der ersten Evaluation des Gesetzes, die gestern veröffentlicht wurde.

Rund drei Jahre ist der DMA in Kraft, schrittweise mussten große Tech-Konzerne eine Reihe an Auflagen umsetzen, darunter Vorgaben zur Interoperabilität oder mehr Auswahlmöglichkeiten für Nutzer:innen. Das Gesetz soll die Macht großer Online-Dienste wie Amazon oder Apple begrenzen und so faire Verhältnisse in digitalen Märkten schaffen.

Besonders betroffen sind sogenannte Gatekeeper. Damit sind übermäßig große Online-Dienste gemeint, die in bestimmten Sektoren zu viel Marktmacht konzentrieren und damit funktionierenden Wettbewerb bedrohen. Bislang hat die Kommission sieben Unternehmen beziehungsweise 23 von deren Kernangeboten als Gatekeeper eingestuft. Darunter sind WhatsApp von Meta, der App Store von Apple oder die Google-Suchmaschine von Alphabet.

DMA öffnet Geschäftsfelder

Laut EU-Kommission funktioniert der Ansatz: „Der DMA hat das Verhalten, technische Design-Entscheidungen und die vertraglichen Vereinbarungen von Gatekeepern maßgeblich verändert und damit neue Möglichkeiten für Unternehmen und Wettbewerber eröffnet“, resümiert die Kommission im Evaluationsbericht. Für Endnutzer:innen habe der DMA in wichtigen Bereichen für mehr Kontrolle und Wahlmöglichkeiten gesorgt.

Konkret hebt die Kommission eine Reihe an Punkten hervor, an denen sich der Erfolg des DMA messen lasse. Nutzer:innen könnten nun einfacher von einem Online-Dienst zu einem anderen wechseln und dabei ihre Daten mitnehmen; marktmächtige Dienste wie Meta könnten Daten ihrer Nutzer:innen nicht mehr so einfach zusammenführen und verwerten wie früher; zudem seien neue App Stores und Messenger entstanden, die Nutzer:innen mehr Wahlmöglichkeiten bieten würden.

Trotz dieser positiven Bilanz ist die Lage aber weiterhin nicht optimal. Im Vorjahr hagelte es millionenschwere Wettbewerbsstrafen für Apple und Meta, weil sie bestimmte DMA-Vorgaben nicht umgesetzt haben. Ein interoperables und florierendes Ökosystem aus Messengern ist bis heute nicht entstanden. Auch eigentlich verbotenes manipulatives Design ist nicht aus den Online-Auftritten der Gatekeeper verschwunden.

DMA kann bremsen, aber kaum verhindern

Entsprechend gemischt beurteilt Aline Blankertz von der Nichtregierungsorganisation Rebalance Now den DMA. „Er war nicht dazu gemacht, die Macht der Tech-Konzerne einzuhegen, sondern er verlangsamt etwas die Geschwindigkeit, mit der sie weitere Macht erlangen, indem er teilweise verhindert, dass sie diese missbrauchen“, sagt die Wirtschaftswissenschaftlerin.

Zwar habe das Gesetz „kleine Verbesserungen“ bewirkt, etwa bei der Interoperabilität oder der Deinstallierbarkeit von Apps, so Blankertz. Auch habe der DMA dazu beigetragen, von der „sehr einzelfallbasierten Analyse unter dem klassischen Wettbewerbsrecht“ zu einer „etwas einfacheren, etwas schnelleren Bekämpfung besonders problematischer Verhaltensweisen“ der Tech-Konzerne zu kommen.

Gerade bei der Durchsetzung des DMA hapert es jedoch, schreibt nicht zuletzt die EU-Kommission selbst in ihrer Evaluation. Demnach habe das immer noch relativ junge Gesetz „noch nicht sein volles Potenzial“ ausschöpfen können. Allerdings halten sich die vorgeschlagenen Verbesserungen in Grenzen: So sollte es etwa mehr Transparenz und Informationsaustausch im Rahmen des „regulatorischen Dialogs“ mit Gatekeepern geben. Zudem will die Kommission mehr Bewusstsein bei betroffenen Online-Anbietern schaffen und sie verstärkt darüber aufklären, an welche Auflagen sie sich zu halten haben.

Angst vor Trump

Damit will sich Blankertz nicht begnügen, zumal sich europäische Digitalgesetze immer wieder als Zankapfel in den transatlantischen Beziehungen zwischen der EU und den USA erwiesen haben. Nur kurz nach seinem Amtsantritt hatte US-Präsident Donald Trump in einem Memorandum festgelegt, US-amerikanische Unternehmen vor „Erpressung und unfairen Geldbußen aus dem Ausland“ schützen zu wollen. Seitdem wurden immer wieder Gerüchte laut, dass die EU-Kommission, auch aus Angst vor Strafzöllen, Verfahren verschleppt und nicht so stark auftritt, wie es der DMA eigentlich verlangt.

Die Durchsetzung des DMA sei aufwändiger und langwieriger als diejenigen erhofft haben, die ihn als „self-enforcing“ bezeichnet hatten, so Blankertz. Hinzu komme, dass aufgrund der zunehmend EU-feindlichen Haltung der US-Regierung „selbst das bisherige, moderate Maß an Durchsetzung noch weiter zurückgefahren wird“.

Dies geschehe auch mit Rückendeckung der deutschen Regierung, entgegen des Koalitionsvertrags. „Damit steht nicht nur die Wirksamkeit wettbewerbspolitischer Regeln zur Debatte, sondern auch Prinzipien von europäischer Rechtsstaatlichkeit“, warnt Blankertz.

Spielraum habe die Kommission jedenfalls genug, ohne das Gesetz aufschnüren zu müssen, sagt die Wirtschaftswissenschaftlerin. „Viele der Regeln sind auch drei Jahre später noch in Spezifikationsphasen und werden von den Torwächtern deutlich enger ausgelegt als im Sinne der im DMA artikulierten Ziele von Fairness und Bestreitbarkeit.“

Gemischte Signale aus Brüssel

Entsprechend kritisch sei demnach die Ankündigung der Kommission zu bewerten, dass sie künftig den Fokus des DMA auf KI-Anwendungen und Cloud-Dienste ausweiten werde. Zum einen treibt die Kommission unter Ursula von der Leyen eine Deregulierungsagenda voran, mit der sie unter anderem eine „Überregulierung“ Künstlicher Intelligenz verhindern will.

Zum anderen weist Blankertz auf die jüngste und größte Firmenübernahme hin, die Google jemals angestoßen hatte. Erst im März hat der Tech-Riese knapp 28 Milliarden Euro auf den Tisch gelegt, um sich mit dem Segen der EU-Kommission und trotz zivilgesellschaftlicher Proteste das Sicherheits-Startup Wiz einzuverleiben.

„Es wäre illusorisch zu glauben, dass der DMA auch nur annähernd hinreichend wäre, um der weiteren Machtkonzentration in Cloud und KI effektiv entgegenzuwirken“, sagt Blankertz. Die Deregulierungsagenda und eine sich andeutende Aufweichung von Leitlinien zur Fusionskontrolle würden großen Konzernen in die Hände spielen, so die Expertin. „Selbst eine Ausweitung des DMA auf Cloud und KI sollte also nicht darüber hinwegtäuschen, dass viele andere Hebel ebenfalls genutzt werden müssen, um die Macht der Tech-Konzerne einzuhegen.“

Die Extended-Detection-and-Repsonse- (XDR) und Security-Information-and-Event-Management-Plattform (SIEM) Wazuh ist verwundbar. Angreifer können die Open-Source-Anwendung über insgesamt fünf Sicherheitslücken attackieren.

Schadcode-Attacken möglich

Wie aus dem Sicherheitsbereich der GitHub-Website von Wazuh hervorgeht, ist eine Schwachstelle (CVE-2026-30893) mit dem Bedrohungsgrad „kritisch“ eingestuft. Im Zuge einer Path-Traversal-Attacke können Angreifer unbefugt auf eigentlich geschützte Pfade zugreifen.

Im Anschluss ist es den Entwicklern zufolge möglich, dass Angreifer Python-Module manipulieren, die dann verschiedene Wazuh-Komponenten laden. So kann es zur Ausführung von Schadcode kommen. Im Anschluss gelten Systeme als kompromittiert.

Die verbleibenden Sicherheitslücken sind mit „mittel“ eingestuft. Darüber kann es etwa zu Abstürzen kommen (unter anderem CVE-2026-41499). Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 4.14.4 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer bereits Instanzen attackieren.

(des)

Facebook und Instagram tun zu wenig, um Kinder unter 13 Jahren von ihren Plattformen fernzuhalten. Das hat die Europäische Kommission heute nach zwei Jahren Untersuchung vorläufig festgestellt. Die beiden Plattformen des Mutterkonzerns Meta hätten Risiken für Minderjährige nicht sorgfältig genug identifiziert und damit gegen Auflagen des Gesetzes über Digitale Dienste (DSA) verstoßen.

Die Ansage fällt in eine Zeit, in der die EU-Kommission unter großem Druck steht, EU-weit wirksame Alterskontrollen durchzusetzen. Unter anderem Frankreich, Dänemark und Griechenland haben Social-Media-Verbote für Kinder und Jugendliche angekündigt. Sie fordern von der EU, die Plattformen zu harten Alterskontrollen zu zwingen. Auch Bundeskanzler Friedrich Merz (CDU) und mehrere deutsche Minister*innen haben Sympathien für ein solches Verbot bekundet. Die Entwicklung hat Fahrt aufgenommen, nachdem Australien als erster Staat weltweit Kindern und Jugendlichen unter 16 Jahren den Zugang zu Social Media verwehrt hatte.

Parallel zu der Ankündigung stellte die EU heute Vormittag neue Leitlinien für den Einsatz ihrer Altersverifikations-App vor. “Unsere Lösung zur Altersverifikation muss Hand in Hand mit der starken Durchsetzung des DSA gehen”, sagte Digitalkommissarin Henna Virkkunen in einem Pressestatement, bevor sie zu den Untersuchungsergebnissen zu Meta überleitete.

Die App soll laut Kommissionspräsidentin Ursula von der Leyen “fertig” sein, wird allerdings von Sicherheitsexpert*innen massiv kritisiert, weil sie unsicher und leicht manipulierbar sei. Fachleute warnen zudem seit Monaten vor den Konsequenzen harter Alterskontrollen im Internet. Die damit geschaffene Infrastruktur sei unsicher und gefährde die Anonymität im Internet.

Vorbeugen, identifizieren, entfernen

Das Gesetz über digitale Dienste sieht keine Pflicht zu Alterskontrollen vor, sondern empfiehlt diese als eine mögliche Maßnahme, mit der Plattformen das Risiko für Kinder und Jugendliche mindern und sich an die Auflagen halten können.

Konkret wirft die Kommission Meta vor, entgegen der eigenen Geschäftsbedingungen, die ein Mindestalter von 13 Jahren vorsehen, Konten zu lax zu prüfen. Kinder unter 13 Jahren könnten bei der Registrierung einfach ein falsches Geburtsdatum angeben und sich so Zugang verschaffen. Auch seien die Möglichkeiten, Konten von Minderjährigen zu melden, zu kompliziert und die Meldungen würden nicht konsequent verfolgt.

Die Kommission zweifelt auch an der Risikobewertung, die Meta wie alle großen Plattformen im Rahmen des DSA abgeben musste. Die Bewertung widerspreche Erhebungen, die darauf hindeuteten, dass etwa 10 bis 12 Prozent der Kinder unter 13 Jahren auf Instagram oder Facebook zugreifen. Meta müssen seine Maßnahmen “stärken”, um solchen Registrierungen vorzubeugen, entsprechende Konten zu identifizieren und zu entfernen. Die Untersuchungsergebnisse seien vorläufig und keine finale Bewertung, sagte die Kommission.

Meta widerspricht

Meta widerspricht den Feststellungen: „Wir stellen klar, dass Instagram und Facebook für Personen ab 13 Jahren bestimmt sind, und wir haben Maßnahmen getroffen, um Konten von Personen unter diesem Alter zu erkennen und zu löschen“, erklärte ein Sprecher. Das Unternehmen werde weiterhin mit der EU zusammenarbeiten.

Der Konzern kann nun schriftlich auf die Vorwürfe reagieren und Einwände vorbringen. Gelangt die Kommission im nächsten Schritt dennoch zu dem Schluss, dass die Maßnahmen nicht ausreichen, droht eine Geldbuße von maximal 6 Prozent des weltweiten Jahresumsatzes. Meta verzeichnete für das Jahr 2025 einen Umsatz von 201 Milliarden US-Dollar.

Die Kommission hat die Untersuchung gegen Meta bereits im Jahr 2024 angestoßen. Parallel zum aktuellen Verfahren zum Schutz von Minderjährigen laufen weitere Untersuchungen, unter anderem zu süchtigmachenden Mustern auf Facebook und Instagram sowie Melde- und Beschwerdesysteme für illegale Inhalte.