Digital Sovereignty

Was am VPN-Verbot in Europa wirklich dran ist.

Michael Mrak

Michael Mrak

7 Min. Lesezeit
Teilen
Was am VPN-Verbot in Europa wirklich dran ist.
Photo by Petter Lagson / Unsplash

In den vergangenen Wochen häufen sich Schlagzeilen, die ein angeblich bevorstehendes EU-weites VPN-Verbot kolportieren. Auslöser sind ein Hintergrundpapier des Wissenschaftlichen Dienstes des Europäischen Parlaments vom Jänner 2026, eine Pressekonferenz der Kommission Anfang Mai 2026 und parallele nationale Debatten in mehreren Mitgliedstaaten. Der folgende Beitrag ordnet die Faktenlage anhand der Primärquellen ein und beleuchtet die regulatorischen Wechselwirkungen mit DSGVO, NIS2, DORA und dem DSA.

Was tatsächlich vorliegt

Das EPRS-Briefing PE 782.618

Das im Jänner 2026 publizierte Papier "Virtual private networks and the protection of children online" ist ein Hintergrunddokument des European Parliamentary Research Service (EPRS). Es ist ausdrücklich keine Position des Parlaments, sondern Arbeitsmaterial für Abgeordnete. Im Originaltext heißt es:

"The content of the document is the sole responsibility of its author(s) and any opinions expressed herein should not be taken to represent an official position of the Parliament."

Inhaltlich beschreibt das Papier den starken Anstieg an VPN-Nutzung nach Inkrafttreten von Altersverifikationspflichten in Großbritannien und Frankreich, verweist auf die Forderung der englischen Children's Commissioner nach Beschränkung von VPNs auf Erwachsene und formuliert eine Erwartungshaltung: Die Revision des Cybersecurity Act werde "voraussichtlich" Kriterien zum Kinderschutz einführen, "potenziell auch Maßnahmen zur Verhinderung des Missbrauchs von VPNs". Die Wortwahl ist Konjunktiv, nicht Beschluss.

Die EP-Entschließung vom 26.11.2025

Die oftmals tendenziös zitierte Entschließung P10_TA(2025)0299 zum Schutz Minderjähriger im Internet ist nicht-legislativ (Initiativbericht nach Regel 55) und enthält in keinem ihrer 83 Punkte das Wort "VPN".

Die Entschließung fordert ein harmonisiertes digitales Mindestalter von 16 Jahren für soziale Medien, Video-Sharing-Plattformen und KI-Companions, untermauert durch die EU Age Verification App und das eIDAS2-Wallet. VPN-Beschränkungen sind nicht Teil des Beschlusstextes.

Quelle: Texts adopted, P10_TA(2025)0299

Aussagen von Exekutiv-Vizepräsidentin Virkkunen

Auf der Pressekonferenz zur Age Verification App am 1. Mai 2026 antwortete Henna Virkkunen auf eine Journalistenfrage, wie verhindert werden solle, dass Minderjährige die Altersverifikation per VPN umgehen, sinngemäß: "Es ist auch ein wichtiger Teil der nächsten Schritte sich anzuschauen, dass das nicht umgangen werden kann." Das ist eine Problemfeststellung, kein Maßnahmenvorschlag und kein Rechtsakt. Die offiziellen Pressedokumente (SPEECH/26/921, STATEMENT/26/820) enthalten keine VPN-bezogenen Vorhaben.

Der Vorschlag zum revidierten Cybersecurity Act

Am 20. Jänner 2026 hat die Kommission den Vorschlag COM(2026) 11 für eine Verordnung zum revidierten Cybersecurity Act vorgelegt. Inhaltlicher Schwerpunkt: Vereinfachung des EU-Zertifizierungsrahmens, Stärkung von ENISA, Behandlung von "Hochrisiko"-Drittlandsanbietern in 18 wesentlichen Sektoren und ICT-Supply-Chain-Sicherheit. Ein VPN-Verbot ist im Vorschlag nicht enthalten.

Quelle: Proposal for a Regulation for the EU Cybersecurity Act

Zwischenbilanz

Stand 10. Mai 2026 existiert kein formaler EU-Rechtsakt und kein Legislativvorschlag, der ein generelles VPN-Verbot oder eine Altersverifikation für VPN-Nutzung vorsieht. Es gibt politische Signale, ein Hintergrundpapier, eine nicht-bindende Parlamentsentschließung und nationale Initiativen einzelner Mitgliedstaaten (Dänemark hat einen entsprechenden Anlauf im Dezember 2025 nach öffentlicher Kritik wieder zurückgezogen).

Wer von einem geplanten EU-VPN-Verbot spricht, geht über die belegbare Faktenlage hinaus.

Argumente für eine Beschränkung von VPN-Nutzung

Befürworter einer Regulierung führen folgende Punkte ins Treffen:

Wirksamkeit nationaler Schutzgesetze. Im Vereinigten Königreich stiegen die VPN-Downloads nach Inkrafttreten der Altersverifikation des Online Safety Act um bis zu 1.800 Prozent. Wenn ein nationales Schutzgesetz durch ein triviales technisches Mittel umgangen werden kann, leidet die Glaubwürdigkeit der Regulierung. Aus dieser Sicht sind VPNs eine "Lücke" im Kinderschutzregime.

Konsistenz im Binnenmarkt. Eine fragmentierte Lage, in der einzelne Mitgliedstaaten VPN-Anbieter unterschiedlich regulieren (Spanien zwingt VPN-Provider zur IP-Sperre wegen Sportrechten, Dänemark erwägt strafrechtliche Sanktionen für Umgehung), schwächt den digitalen Binnenmarkt und schafft Rechtsunsicherheit.

Technische Machbarkeit. Die EU verfügt mit dem eIDAS2-Wallet und der Age Verification App über Infrastruktur, mit der theoretisch auch VPN-Anbieter zur Altersprüfung verpflichtet werden könnten, ohne Identitäten offenzulegen ("yes/no"-Antwort, Zero-Knowledge-Proof, Non-Linkability sind in der Entschließung explizit verankert).

Kohärenz mit DSA Art. 28. Wenn sehr große Plattformen nach Art. 28 DSA "angemessene und verhältnismäßige Maßnahmen" zum Schutz Minderjähriger einsetzen müssen, schwächt eine ungeregelte VPN-Nutzung die Wirkung dieser Verpflichtung.

Argumente gegen eine Beschränkung von VPN-Nutzung

Die Gegenargumente wiegen technisch und grundrechtlich schwer:

Sicherheits- und Resilienzfunktion. VPN ist eine Standardtechnologie in der Unternehmens-IT. Remote-Arbeit, sicherer Zugriff auf interne Systeme, Schutz auf öffentlichen Netzen und Site-to-Site-Verbindungen beruhen darauf. NIS2 (Richtlinie (EU) 2022/2555) verlangt in Art. 21 Abs. 2 lit. h ausdrücklich "Maßnahmen für Kryptografie" und in lit. j "Sicherheit beim Personalmanagement, Zugriffskontrolle und Anlagenmanagement", einschließlich sicherer Fernzugriffe. Eine Beschränkung von VPN-Tooling kollidiert mit diesen Sorgfaltspflichten für rund 100.000 wesentliche und wichtige Einrichtungen in der EU.

DORA-Kollision. Die Verordnung (EU) 2022/2554 verlangt von Finanzunternehmen in Art. 9 Abs. 2 die Implementierung "eines Sicherheits- und Verschlüsselungsstandards" sowie in Art. 9 Abs. 4 lit. a die Festlegung von Richtlinien zur Datensicherheit "im Ruhezustand und während der Übertragung". VPN-basierte Übertragung gehört zum Stand der Technik. Eine restriktive VPN-Regulierung müsste klare Ausnahmen für DORA-Adressaten vorsehen, sonst entsteht ein nicht auflösbarer Normenwiderspruch.

DSGVO-Spannungsverhältnis. Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zu "Verschlüsselung" als Maßnahme nach Stand der Technik. VPNs sind ein etablierter Baustein dieser Sicherheitsarchitektur. Zugleich schützt Art. 8 GRC die Privatsphäre, und der EuGH hat in Urteilen wie La Quadrature du Net (C-511/18) und Tele2/Watson (C-203/15) wiederholt klargestellt, dass anlasslose Massenüberwachung mit der Charta unvereinbar ist. Logging-Pflichten für VPN-Anbieter, wie sie im Kontext einer EU-Datenretention diskutiert werden, müssten diese Rechtsprechung passieren.

Pressefreiheit und Whistleblowing. Die Whistleblower-Richtlinie (EU) 2019/1937 verlangt vertrauliche Meldekanäle. Journalisten, Hinweisgeber und Mitarbeiter in autoritären Drittstaaten nutzen VPNs zum Quellenschutz. Eine generelle Schwächung kollidiert mit Art. 11 GRC und der European Media Freedom Act (Verordnung (EU) 2024/1083).

Technische Ineffektivität. VPN-Sperren sind ein "Whack-a-Mole"-Problem. Anbieter wechseln IP-Bereiche im Minutentakt, Protokolle wie WireGuard, Shadowsocks oder obfuscated OpenVPN sind kaum von normalem TLS-Verkehr unterscheidbar.

Russland, China und Iran investieren seit Jahren in DPI-Infrastruktur und scheitern dennoch an konsequenter Durchsetzung. Eine effektive Durchsetzung in der EU würde Maßnahmen erfordern, die mit dem europäischen Grundrechtsverständnis nicht wirklich vereinbar sind.

Nutzerverlagerung in unsichere Tools. Wird der Markt für seriöse, prüfbare VPN-Anbieter eingeengt, weichen Nutzer auf Browser-Extensions oder kostenlose Apps mit zweifelhaftem Logging-Verhalten aus. Das Schutzniveau für Privatnutzer würde sinken, nicht steigen.

Wechselwirkungen mit der bestehenden EU-Regulatorik

Die folgenden Bezüge sind aus Compliance-Sicht zentral:

DSA (Verordnung (EU) 2022/2065). Art. 28 verpflichtet Plattformen, die für Minderjährige zugänglich sind, zu "angemessenen und verhältnismäßigen" Schutzmaßnahmen. Die Kommissions-Leitlinien vom 7. Oktober 2025 (C/2025/5519) konkretisieren dies. VPNs sind in diesen Leitlinien nicht adressiert. Die EP-Entschließung vom 26.11.2025 erweitert den politischen Erwartungshorizont, ändert aber nichts an der Rechtslage.

eIDAS2 (Verordnung (EU) 2024/1183). Das EUDI-Wallet ist bis Ende 2026 von den Mitgliedstaaten bereitzustellen. Es wird Kernträger der Altersverifikation. Eine technische Anbindung an VPN-Anbieter wäre denkbar, ist aber rechtlich nicht angelegt.

NIS2 (Richtlinie (EU) 2022/2555). Sichere Fernzugänge sind integraler Bestandteil der Cybersicherheitsmaßnahmen nach Art. 21. Eine künftige VPN-Regulierung müsste den B2B-Bereich klar ausnehmen.

DORA (Verordnung (EU) 2022/2554). Verschlüsselte Übertragung und sichere ICT-Drittparteienverbindungen sind in Art. 9 und Art. 28 verankert. Die Register of Information nach DVO (EU) 2024/2956 erfasst auch ICT-Drittdienstleister, die VPN-Komponenten liefern.

Cybersecurity Act-Revision (COM(2026) 11). Aktuell kein VPN-Bezug. Sollte sich das im Trilog ändern, wären Wechselwirkungen mit den oben genannten Rechtsakten zwingend zu adressieren.

ePrivacy. Die seit Jahren feststeckende ePrivacy-Verordnung könnte bei einer Wiederbelebung Vorgaben zu Kommunikationsmetadaten enthalten, die VPN-Anbieter direkt betreffen.

Einordnung für Unternehmen im DACH-Raum

Für Verantwortliche in IT-Sicherheit, Compliance und Datenschutz ergeben sich daraus folgende Beobachtungen ohne überstürzten Handlungsdruck:

  • VPN-Nutzung im Unternehmenskontext bleibt rechtmäßig und ist Stand der Technik. Aktuelle ISMS-Dokumentation, ISO 27001:2022 Annex A.8.20 (Network Security) und A.8.21 (Security of Network Services), sowie die Konfiguration von Site-to-Site- und Client-to-Site-VPNs sind nicht in Frage gestellt.
  • Politische Diskussionen rund um Kinderschutz fokussieren sich auf B2C-Endnutzer und auf Plattform-Verpflichtungen, nicht auf den B2B-Markt. Eine künftige Regulierung wird voraussichtlich an dieser Trennlinie ansetzen müssen, um Konflikte mit NIS2 und DORA zu vermeiden.
  • Wer Dienstleistungen für VPN-Anbieter erbringt oder solche Dienste selbst anbietet, sollte die Trilog-Verhandlungen zum Cybersecurity Act und mögliche Folgeinitiativen zum DSA-Enforcement aufmerksam verfolgen.
  • Die Rechtsprechung des EuGH zu Vorratsdatenspeicherung und Verschlüsselung setzt jeder pauschalen Logging-Pflicht enge Grenzen. Aus heutiger Sicht ist ein Eingriff, der Art. 7, 8 und 11 GRC standhält, regulatorisch anspruchsvoll.

Fazit

Die Behauptung eines geplanten EU-weiten VPN-Verbots ist faktisch nicht gedeckt. Belegbar ist, dass die EU-Institutionen die Frage der Umgehung von Altersverifikation thematisieren und dass einzelne Mitgliedstaaten Vorstöße unternommen haben. Belegbar ist auch, dass ein Verbot massive Folgekonflikte mit DSGVO Art. 32, NIS2 Art. 21, DORA Art. 9 und der EuGH-Judikatur auslösen würde.

Die nüchterne Einordnung lautet: Die Debatte ist real, ein Rechtsakt ist es nicht.

Compliance-Verantwortliche tun gut daran, die Entwicklung zu beobachten, dabei aber zwischen Tweets, Hintergrundpapieren, politischen Entschließungen und tatsächlich bindender Gesetzgebung sauber zu unterscheiden.

Quellen

  • EPRS, Virtual private networks and the protection of children online, PE 782.618, Jänner 2026: https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/782618/EPRS_ATA(2026)782618_EN.pdf
  • Europäisches Parlament, Entschließung vom 26. November 2025 zum Schutz Minderjähriger im Internet, P10_TA(2025)0299: https://www.europarl.europa.eu/doceo/document/TA-10-2025-0299_EN.html
  • Pressemitteilung des EP, 26.11.2025: https://www.europarl.europa.eu/news/en/press-room/20251120IPR31496/children-should-be-at-least-16-to-access-social-media-say-meps
  • Europäische Kommission, Proposal for a Regulation for the EU Cybersecurity Act, COM(2026) 11, 20. Jänner 2026: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act
  • Europäische Kommission, EU Cybersecurity Act (Übersichtsseite, Stand Jänner 2026): https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act
  • Verordnung (EU) 2022/2065 (DSA): http://data.europa.eu/eli/reg/2022/2065/oj
  • Verordnung (EU) 2022/2554 (DORA): https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  • Richtlinie (EU) 2022/2555 (NIS2): https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Verordnung (EU) 2016/679 (DSGVO): http://data.europa.eu/eli/reg/2016/679/oj
  • Verordnung (EU) 2024/1183 (eIDAS2): http://data.europa.eu/eli/reg/2024/1183/oj
  • Kommissionsleitlinien zu Art. 28(4) DSA, C/2025/5519, 7. Oktober 2025

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Claude Opus 4.7, Anthropic) erstellt und vor Veröffentlichung sorgfältig redaktionell geprüft.

Weiterlesen