Während die EU-Kommission seit dem 20. April mit großflächigen Plakaten in europäischen Hauptstädten für „Meinungsfreiheit“ und „freie Presse“ wirbt, mehren sich auf nationaler Ebene Forderungen, virtuelle private Netzwerke (VPN) zu reglementieren oder zu verbieten.
Die Diskrepanz zwischen Selbstdarstellung und Regulierungspraxis wird sichtbar an Litfaßsäulen in Berlin, etwa vor der Deutschen Oper oder am Bahnhof Friedrichstraße, wo Slogans wie „Demokratie. Schütze, was zählt“ und „Freie Presse – Schützen, was uns wichtig ist“ prangen – finanziert aus EU-Mitteln.
Die bis zum Europatag am 9. Mai laufende Kampagne richtet sich an 18- bis 30-Jährige. Ein Sprecher der EU-Kommission erklärte dazu, „die Stärkung und Sicherung der Demokratie sowie der demokratischen Widerstandsfähigkeit“ seien „notwendige gemeinsame Maßnahmen“. Auf der zugehörigen Website wirbt die Kommission für den „Europäischen Schutzschild für Demokratie“, für den Digital Services Act (DSA) sowie für ein EU-Medienfreiheitsgesetz, das Journalisten vor rechtlicher Einschüchterung schützen soll.
Kritik an den Plakaten kam unter anderem von der Tageszeitung junge Welt. Die EU-Kommission hatte zum Tag der Pressefreiheit am 3. Mai auch vor der Redaktion der Zeitung in Berlin plakatieren lassen. Das Blatt sprach auf Facebook von „Heuchelei“ und verwies dabei auf EU-Sanktionen gegen den Journalisten Hüseyin Dogru sowie auf den Umgang der Bundesregierung mit der jungen Welt.
You can't make this up.
— Hüseyin Dogru (@hussedogru) May 3, 2026
It's World Press Freedom Day, and these posters are on my doorstep: "Free Press. Protect what matters to us."
The very same @eucouncil literally sanctioned me for exactly that.
This is definitely going to be my campaign poster. https://t.co/3KgV7W5Ypm pic.twitter.com/tFuuY9a5MJ
Auch die Substanz der angepriesenen Schutzgesetze steht in der Kritik. Artikel 4 des EU-Medienfreiheitsgesetzes sieht Ausnahmen vor. Der Einsatz von Überwachungssoftware gegen Journalisten ist erlaubt, wenn ein „überwiegender Grund des Allgemeininteresses“ vorliegt. Jan Erik Kermer vom Centre for Media Pluralism der Universität Sofia bezeichnet diese Formulierung in einem Aufsatz als zu unscharf, da der Unterschied zwischen öffentlicher und nationaler Sicherheit nicht klar definiert sei. Damit könne ein missbräuchlicher Einsatz von Überwachungssoftware gegen Journalisten gerechtfertigt werden. Auch der DSA, der Plattformen zur zeitnahen Löschung problematischer Inhalte zwingt, wird in der Kampagne als Schutzinstrument präsentiert – obwohl die Androhung hoher Bußgelder Anbieter zu vorsorglicher Überlöschung veranlassen kann.
Altersverifikation als Türöffner für umfassende „Identifizierung“
Parallel zur Kampagne stellte EU-Kommissionsvizepräsidentin Henna Virkkunen am 29. April auf einer Pressekonferenz in Straßburg die technischen Details einer EU-Altersverifikations-App vor. Nutzer sollen ihr Alter beim Zugriff auf Plattformen wie Instagram, TikTok oder YouTube nachweisen, ohne Pass oder Personalausweis direkt an Anbieter zu übermitteln. „Wir brauchen Tools, mit denen man sein Alter nachweisen kann, ohne für Online-Plattformen persönliche Daten wie den Reisepass oder andere Ausweisdokumente angeben zu müssen“, sagte Virkkunen. Eingerichtet wird die App allerdings einmalig mit einem Ausweisdokument. Mitgliedstaaten können sie als eigenständige Anwendung veröffentlichen oder in die European Digital Identity Wallet integrieren, die bis Ende 2026 in jedem EU-Staat verfügbar sein muss.
Die App startet nicht ohne Pannen. Der Sicherheitsforscher Paul Moore umging nach eigenen Angaben binnen zwei Minuten die PIN-Sperre durch Manipulation einer lokal gespeicherten Datei. Das Magazin Politico sprach von einem „PR-Desaster für Brüssel“. Pikant: Die Kommission selbst hatte zuvor Touristen geraten, die Alterskontrolle via VPN zu umgehen.
Virkkunen kündigte zugleich an, die Kommission habe vorläufig festgestellt, dass Instagram und Facebook gegen den DSA verstoßen, weil sie es „versäumt haben, Minderjährige unter 13 Jahren am Zugang zu ihren Diensten zu hindern“. Mehrere EU-Länder – darunter Österreich, Spanien, Frankreich, Dänemark und Griechenland – haben nationale Altersgrenzen eingeführt oder erwägen sie. Das Europäische Parlament forderte im November ein Mindestalter von 13 Jahren für soziale Medien und KI-Begleiter.
Europaparlament – zwischen Zustimmung und Warnung
In einem Pressegespräch in Straßburg sprachen sich deutsche Europaabgeordnete grundsätzlich für eine stärkere Regulierung sozialer Medien aus – allerdings mit unterschiedlichen Schwerpunkten. Vertreter der CDU/CSU betonen die Notwendigkeit verbindlicher Altersgrenzen und verlässlicher Altersverifikation mit Blick auf den Schutz von Kindern und Jugendlichen.
Von SPD und Grünen kommen Forderungen nach einer konsequenteren Durchsetzung bestehender EU-Regeln gegenüber großen Plattformen; ein pauschales Verbot sozialer Medien wird dort jedoch kritisch gesehen. Die FDP warnt vor leicht zu umgehenden Verboten und verweist auf Medienkompetenz sowie die Anwendung bestehender Instrumente.
Die Linke kritisiert mögliche Eingriffe in Datenschutz und informationelle Selbstbestimmung. Deutlich ablehnend äußert sich auch die AfD: Maßnahmen wie Altersverifikation oder Plattformregulierung werden dort teils als Eingriffe in Meinungsfreiheit und Datenschutz bewertet.
Was VPN-Dienste leisten
Der Begriff VPN steht für „Virtual Private Network“. Solche Dienste leiten den gesamten Internetverkehr durch einen verschlüsselten Tunnel über einen Server an einem anderen Ort. Für besuchte Websites erscheint die Anfrage dann so, als käme sie aus dem Land des VPN-Anbieters. Eingesetzt werden diese Tunnel von Unternehmen, um Mitarbeitern den sicheren Zugang zur Firmeninfrastruktur zu ermöglichen, von Privatpersonen zur Absicherung ihrer Verbindungen in offenen Wlans, zur Wahrung ihrer Identität gegenüber Trackern und Behörden, für den Zugriff auf in der Heimat gesperrte Inhalte – und in autoritären Staaten als Lebensader für unabhängige Information.
Genau diese Verschleierungsfunktion steht jedem flächendeckenden Identifizierungsmodell im Wege. Da Altersbeschränkungen nur wirken, wenn auch das Umgehen unterbunden wird, rücken VPN-Dienste in den Fokus. Nutzerzahlen belegen das Ausweichverhalten: In Australien stiegen VPN-Nutzungen nach Einführung der Altersbeschränkungen für Pornoseiten sprunghaft, ebenso in betroffenen US-Bundesstaaten und in Großbritannien.
Die britische Kinderschutzbeauftragte Rachel de Souza bezeichnete VPNs in einem BBC-Interview als „Schlupfloch, das geschlossen werden muss“. Die französische Digitalministerin Anne Le Hénanff erklärte Ende Januar gegenüber dem Magazin TechRadar anlässlich des Beschlusses zum Social-Media-Verbot für unter 15-Jährige, VPNs stünden „als Nächstes auf meiner Liste“. In den USA brachten laut einem Bericht von The Verge sechs republikanische Abgeordnete im Bundesstaat Michigan einen Gesetzentwurf ein, der neben der Verbreitung von Pornografie auch den Zugriff auf VPNs einschränken soll – samt einem Verbot der Darstellung von Trans-Personen im Netz. In Wisconsin scheiterte eine vergleichbare Initiative am Druck von Gegnern. In einem Online-Forum fragt ein Nutzer aus einem Drittweltland, ob er sich nach Aktivierung der EU-Altersverifikation überhaupt noch via europäischem VPN verbinden könne, da Plattformen das Alter dann zwingend prüfen müssten.
Andreas Proschofsky kommentierte die Entwicklung im österreichischen Standard: Dass viele westliche Staaten mit einigen Jahren Verzögerung dem Vorbild autoritärer Regime folgten, sollte „eigentlich zum Nachdenken veranlassen“. Selbst China gelinge es trotz umfassender Überwachung nicht, den Zugriff auf westliche Onlinedienste komplett zu blockieren – wohl aber, exzellenten Einblick in die Internetaktivitäten der breiten Masse zu erhalten.
Eiserner Vorhang – dieses Mal digital, in Europa?
Die Parallele zu Russland drängt sich auf – und steht in scharfem Kontrast zur eigenen Berichterstattung westlicher Medien. Die ARD berichtet aus Moskau, dass die russische Aufsichtsbehörde Roskomnadzor in diesem Jahr bereits Hunderte VPNs gesperrt hat. Werbung und Verbreitung von VPNs stehen in Russland seit September vergangenen Jahres unter Strafe. Schülerinnen und Schülern in Irkutsk wird in Schulkursen beigebracht, wie „gefährlich“ die Nutzung von VPNs sei. Waleri Fadejew, Vorsitzender des russischen Menschenrechtsrats, erklärte auf einer Veranstaltung, wer einen VPN benutze, suche nicht nach objektiven Nachrichten, sondern „nach der Sichtweise des Feindes“: „Da ist etwas Ungesundes, Unnatürliches dran.“
Der Kreml begründet die Eingriffe mit Sicherheit, Schutz vor Cyberangriffen und der Abwehr ukrainischer Drohnen; per Gesetz kann der Inlandsgeheimdienst seit Februar Mobilfunk- und Internetsperren anordnen. Iwan Kolpakow, Chefredakteur des Exil-Mediums Meduza, sagte der ARD, das vergangene Jahr habe deutlich gezeigt, dass Russland mit allen Mitteln versuche, „den russischen Teil des Netzes vom globalen Netz abzukoppeln“. Tech-Experten in Russland hätten in den vergangenen Jahren – auch mithilfe von China und des Iran – „cyber-autoritäre Technologien“ entwickelt. WhatsApp ist gesperrt, Telegram gedrosselt, Facebook und Instagram als „extremistisch“ eingestuft. Eine junge Frau aus Moskau sagte Ende März der europäischen Nachrichtenagentur EBU: „Das russische Internet wird bald so aussehen wie das in Nordkorea.“
Die Argumente, mit denen europäische und amerikanische Politiker VPN-Restriktionen verlangen, ähneln strukturell denen aus Moskau – Schutz vor ausländischer Einflussnahme, Abwehr von Desinformation, Sicherheit von Minderjährigen. Die EU-Kommission selbst nennt im „Europäischen Schutzschild für Demokratie“ den Kampf gegen „Einflussnahme aus dem Ausland“ als Begründung für Faktenchecker-Netzwerke und ein Netzwerk von EU-Influencern. Was als Schutz vor Einmischung aus Russland gerechtfertigt wird, könnte auf der technischen Ebene jedoch denselben Effekt haben: einen identifizierbaren, kontrollierbaren und filterbaren Zugang zum Netz – nur eben mit europäischen Vorzeichen.
Digitale Brieftasche und Once-only-Prinzip schaffen die Infrastruktur
Die regulatorische Architektur, in die sich die Altersverifikation einfügt, wird parallel ausgebaut. Bis Dezember 2026 müssen alle Mitgliedstaaten mindestens eine European Digital Identity Wallet bereitstellen. Banken, Telekommunikations- und Energieanbieter werden ab Ende 2027 verpflichtet, sie zu akzeptieren. Analysten schätzen das Einsparpotenzial auf rund 150 Milliarden Euro jährlich.
Das im Februar 2026 aktualisierte „Once-Only Technical System“ (OOTS) ermöglicht Behörden den grenzüberschreitenden Direktzugriff auf Originaldokumente wie Berufsqualifikationen oder Führerscheine. Das im November 2025 vorgelegte „Digital Omnibus“-Paket soll Cookie-Banner durch zentrale Präferenzverwaltung – etwa über die Wallet – ersetzen und Fristen für Hochrisiko-KI-Systeme der KI-Verordnung um 16 Monate auf Dezember 2027 verschieben. Zugleich soll KI-Training künftig auf Basis des „berechtigten Interesses“ zulässig sein, was die strengen DSGVO-Auflagen lockert.
Auch Sicherheitsbehörden mahnen mehr Souveränität an. Am 27. April veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die C3A-Kriterien für souveräne Cloud-Dienste. BSI-Präsidentin Claudia Plattner betonte, der Rahmen schaffe die nötige Transparenz für öffentliche und private Auftraggeber. Wie aktuell die Vorgaben sind, zeigte eine Cyberattacke Ende April: Die Bundesregierung vermutet ausländische Urheber hinter einer Phishing-Kampagne, bei der rund 300 Signal-Konten von Spitzenpolitikern, Militärs und Journalisten kompromittiert wurden.
