EU-Strategie gegen Verbrechen: Warum VPNs ins Visier geraten

Wenn es um Datenschutz geht, gilt die EU oft als Vorreiterin, die weltweit Maßstäbe setzt. Mit der Einführung der wegweisenden Datenschutz-Grundverordnung (DSGVO) im Jahr 2018, die als Standard für den Schutz personenbezogener Daten angesehen wird, ist dieses Lob auch nicht ganz unberechtigt.

In den letzten Jahren jedoch haben verschiedene Gruppen innerhalb der EU Initiativen vorgeschlagen, die ein anderes fundamentales digitales Grundrecht gefährden könnten — eines, das eng mit dem Schutz personenbezogener Daten verknüpft ist: das Recht auf Privatsphäre. Bis vor Kurzem galt der sogenannte „Chatkontrolle“-Vorschlag als größte Bedrohung. Er hätte dazu führen können, dass Ende-zu-Ende-verschlüsselte Messenger verpflichtet werden, sämtliche Fotos, Videos und Links, die Sie mit anderen teilen, automatisch zu scannen. Dieser Vorschlag wurde bislang (noch) nicht umgesetzt, nachdem mehrere Länder starke Bedenken bezüglich seiner weitreichenden Folgen für die Privatsphäre geäußert haben.

VPNs als „zentrale Herausforderung“ für Strafverfolgungsbehörden

Die aktuelle Bedrohung geht von einem neu veröffentlichten Bericht der High-Level Group (HLG) aus. Diese Arbeitsgruppe erhielt im Juni 2023 den Auftrag, „bestehende Herausforderungen“ zu analysieren, denen Strafverfolgungsbehörden in der EU im Zusammenhang mit dem Datenzugang gegenüberstehen, sowie mögliche Lösungsansätze zu identifizieren.

Im März 2025 wurde die Abschlussversion des Berichts veröffentlicht. Darin werden VPNs als eine der zentralen Herausforderungen für die Arbeit der Behörden benannt.

Verschlüsselte Geräte und Apps, neue Kommunikationsanbieter, virtuelle private Netzwerke (VPNs) usw. wurden entwickelt, um die Privatsphäre legitimer Nutzer:innen zu schützen. Gleichzeitig bieten sie Kriminellen jedoch effektive Möglichkeiten, ihre Identität zu verbergen, illegale Produkte und Dienstleistungen zu vermarkten, Zahlungen abzuwickeln sowie ihre Aktivitäten und Kommunikation zu verschleiern — und so Ermittlungen, Aufdeckung und Strafverfolgung zu umgehen.

Es ist das erste Mal, dass VPNs von EU-Institutionen explizit als Herausforderung für die Arbeit von Strafverfolgungsbehörden bezeichnet werden. Diese Einordnung ist bedenklich — denn etwas als „Herausforderung“ zu bezeichnen, bedeutet in der Regel auch, dass man es überwinden möchte, oder?

Zugutehalten muss man dem Bericht allerdings, dass mehrfach betont wird, wie wichtig ein Gleichgewicht zwischen dem Zugang zu Informationen einerseits und dem Schutz der Privatsphäre sowie der Sicherheit andererseits sei. An einer Stelle werden „einige Strafverfolgungsexperten“ zitiert, die „darauf hingewiesen“ hätten, dass Verschlüsselung in bestimmten Fällen so gestaltet sei, dass sie sowohl Sicherheit als auch Inhalts-Scanning ermögliche.

Wir sehen das anders. Auch wenn die Autoren des Berichts bemüht sind, vorsichtig zu formulieren und von einem Kompromiss zwischen Privatsphäre und Ermittlungszugang sprechen — in Wirklichkeit schließen sich diese beiden Dinge gegenseitig aus. Der Zugang für Behörden bedeutet immer eine Schwächung der Verschlüsselung und damit auch der Privatsphäre, die entscheidend für den Schutz persönlicher Daten ist.

Mit der neuen Initiative „ProtectEU“, einem überarbeiteten Konzept für die innere Sicherheit Europas, wächst die Sorge, dass digitale Grundrechte künftig zugunsten erweiterter Strafverfolgungsbefugnisse ins Hintertreffen geraten könnten. Ein zentrales Ziel der Strategie besteht darin, „den Strafverfolgungsbehörden zeitgemäße Instrumente zur Kriminalitätsbekämpfung an die Hand zu geben – insbesondere durch „rechtmäßigen Zugang zu Daten“.

Ein Blick in die Details zeigt: Die Kommission beabsichtigt, einen Fahrplan zur Verschlüsselung zu entwickeln und eine Folgenabschätzung durchzuführen, um die Regeln zur Vorratsdatenspeicherung auf EU-Ebene zu überarbeiten. Auch wenn das zunächst harmlos klingt — vieles deutet darauf hin, dass es sich dabei lediglich um diplomatisch formulierte Vorbereitungen für verpflichtende Hintertüren in der Verschlüsselung handelt.

In dieser Debatte gibt es keinen Mittelweg

Der jüngste Fokus der Europäischen Union auf VPN-Dienste — zusammen mit Ende-zu-Ende-verschlüsselten Messenger-Apps — macht ein zentrales Problem deutlich: Der Drang nach mehr Datenzugriff geht auf Kosten persönlicher Freiheiten. Auch wenn nachvollziehbar ist, dass Strafverfolgungsbehörden Instrumente zur Verbrechensbekämpfung benötigen, gibt es in dieser Diskussion keinen Mittelweg. Es steht eine grundlegende Entscheidung an: Entweder man entscheidet sich für Sicherheit und Anonymität, oder man akzeptiert Mechanismen, die die Erfassung von Nutzerdaten ermöglichen. Und sobald man diese Erfassung zulässt, begibt man sich auf eine abschüssige Bahn, auf der langfristig die Privatsphäre von Millionen Menschen gefährdet wird.

Die HLG hat VPN-Dienste klar ins Visier genommen und als „zentrale Herausforderung“ für Ermittlungen bezeichnet. VPNs anonymisieren die Online-Aktivitäten der Nutzer:innen, indem sie deren IP-Adressen verbergen. Das erschwert es den Behörden, Metadaten zu erfassen, die zur Identifikation von Verdächtigen beitragen könnten. Gerade weil Metadaten — etwa wer, wann und von wo kommuniziert — in vielen Fällen ebenso aufschlussreich wie der eigentliche Inhalt sein können, wird dies als ernstzunehmendes Hindernis gesehen. Besonders beunruhigend ist, dass die Empfehlungen des Berichts darauf hindeuten, dass alle Dienste verpflichtet werden sollen, Metadaten zu speichern und auf Anfrage an Ermittlungsbehörden weiterzugeben — unter Androhung von Sanktionen.

Viele VPN-Anbieter — insbesondere solche mit strenger No-Logs-Politik — sind so konzipiert, dass sie die Anonymität und Sicherheit der Nutzerdaten konsequent schützen. Das bedeutet: Sofern keine grundlegenden technischen Änderungen vorgenommen werden, können diese Dienste die geforderten Informationen gar nicht bereitstellen — selbst wenn sie es wollten. Sie haben diese Daten schlicht nicht. Ein rechtlicher Rahmen, der VPN-Anbieter zur Speicherung von Metadaten verpflichtet — womöglich über längere Zeiträume hinweg —, würde das Geschäftsmodell vieler Anbieter untergraben und könnte dazu führen, dass sie sich vollständig vom EU-Markt zurückziehen.

Ein solcher Rückzug wäre kein Novum: Bereits 2022 verließen zahlreiche VPN-Dienste Indien, nachdem ein Gesetz sie dazu verpflichtete, umfangreiche Nutzerdaten — inklusive Namen — über längere Zeiträume zu speichern. Die Reaktion war ein massenhafter Rückzug von Servern und Diensten aus dem Land.

Ein weiteres Beispiel ist der Fall Telegram: Der Dienst geriet massiv unter Druck, nachdem französische Behörden den Gründer Pavel Durov festgenommen hatten. Die Plattform, einst ein Bollwerk der Privatsphäre, begann anschließend damit, zunehmend Nutzerdaten wie IP-Adressen und Telefonnummern an die Behörden weiterzugeben.

Wenn die EU VPN-Dienste dazu verpflichtet, Nutzerdaten zu sammeln und weiterzugeben, wird sie damit genau die datenschutzfreundlichen Dienste vertreiben, die zur digitalen Selbstbestimmung beitragen – und so die Grundrechte ihrer Bürger:innen schrittweise schwächen. Die entscheidende Frage lautet daher:

Ist es wirklich gerechtfertigt, die Privatsphäre von zig Millionen Menschen zu opfern, um möglicherweise einige wenige Täter aufzuspüren? Ist dieser Grad an Überwachung tatsächlich notwendig?

Unserer Ansicht nach dürfen wir den Blick für das Wesentliche nicht verlieren: den Schutz der Privatsphäre in einer digitalen Welt.