Der Forschungsdienst des Europaischen Parlaments hat virtuelle private Netzwerke als "Schlupfloch in der Gesetzgebung, das geschlossen werden muss" bezeichnet - zum ersten Mal hat eine offizielle EU-Institution VPNs als politisches Problem statt als Datenschutzinstrument eingestuft. Das Briefing, das im Mai 2026 vom Wissenschaftlichen Dienst des Europaischen Parlaments (EPRS) veroffentlicht wurde, befasst sich mit VPNs und dem Schutz von Kindern im Internet, hat aber weitreichendere Konsequenzen als blose Jugendschutzregeln.
Was das EPRS-Briefing tatsachlich sagt
Das EPRS-Dokument mit dem Titel "Virtuelle private Netzwerke und der Schutz von Kindern im Internet" wurde fur Mitglieder des Europaischen Parlaments erstellt, wahrend Altersverifizierungsgesetze ganz Europa erfassen. Das Kernergebnis: Aktuelle Altersverifizierungsmasnahmen - einschliesslich Verifizierung, Schatzung und Selbstauskunft - seien "fur Minderjaahrige relativ leicht mit VPNs zu umgehen". Das Briefing enthalt keine verbindlichen politischen Empfehlungen, skizziert aber Optionen - einschliesslich der Beschrankung des VPN-Zugangs auf Nutzer, die nachweisen konnen, dass sie 18 Jahre alt sind.
Diese Rahmung ist bedeutsam. Identitatsverifizierung als Voraussetzung fur die VPN-Nutzung wurden jeden VPN-Nutzer - ob Erwachsener, datenschutzbewusster Burger oder Journalist - verpflichten, einen Lichtbildausweis vorzulegen, bevor er seinen eigenen Internetverkehr verschlusseln kann. Der EPRS bezeichnet dies als Kinderschutzmassnahme. Datenschutzer nennen es eine Uberwachungsinfrastruktur im Gewand von Kindersicherheit.
Virkkunen: VPNs "durfen das System nicht umgehen"
Das EPRS-Briefing erschien nicht im luftleeren Raum. Exekutiv-Vizeprasidentin der Europaischen Kommission Henna Virkkunen erklarte beim Start einer EU-weiten Altersverifizierungsanwendung am 1. Mai 2026 direkt, dass VPNs das System untergruben. "VPNs sollten nicht erlaubt sein, das System zu umgehen," sagte sie und fugte hinzu, dies werde zu den "nachsten Schritten" gehoren, die Politiker in Betracht ziehen mussen.
Franzosische Politiker wurden noch deutlicher. Im Anschluss an das Verbot sozialer Medien fur unter 15-Jahrige erklarten mehrere Abgeordnete offentlich: "VPNs sind die nachsten auf der Liste" - womit sie direkte Beschrankungen von Umgehungstools, nicht nur von Plattformen, meinten.
Der britische Praazedenzfall: Was nach dem Online Safety Act tatsachlich passierte
Die EU-Bedenken sind nicht hypothetisch. Als das britische Online Safety Act im Juli 2025 in Kraft trat, explodierten die VPN-App-Downloads. Ein VPN-Entwickler meldete einen Anstieg der taglichen Registrierungen um 1.800% innerhalb des ersten Monats. VPN-Apps belegten kurzzeitig die Halfte der Platze in den Top-10 der kostenlosen Downloads im britischen App Store. Die Regulierungsbehorden hatten Altersschranken auf Websites fur Erwachsene eingerichtet; die Nutzer reagierten mit der Installation von Datenschutztools, die diese Schranken unwirksam machten.
Die britischen Erfahrungen werden nun europaweit als Beweis dafur angefuhrt, dass Altersverifizierung ohne VPN-Kontrollen nicht durchsetzbar ist. Die Logik lautet: Wer eine Mauer baut, aber eine Tur offen lasst, hat eine dekorative Mauer. Das EPRS-Briefing verwendet ahnliche Argumente und bezeichnet die VPN-Umgehung als "wachsende Herausforderung" fur jedes Altersverifizierungssystem.
Wer VPNs nutzt - und wen Beschrankungen tatsachlich treffen wurden
Die Rahmung von VPN-Nutzern als in erster Linie Minderjahrigen, die Alterskontrollen umgehen, ignoriert die tatsachliche Nutzerschaft. VPNs werden von Journalisten zum Schutz ihrer Quellen genutzt, von Remote-Arbeitern fur sichere Unternehmensverbindungen, von Dissidenten in autoritaren Staaten, von normalen Burgern in Landern mit starker Internetzensur und von Millionen Erwachsenen, die schlicht nicht mochten, dass ihr Surfverhalten vom Anbieter protokolliert oder an Werber verkauft wird.
Die Pflicht zur Identitatsverifizierung vor der VPN-Nutzung wurde diese gesamte Population denselben Datenerhebungsrisiken aussetzen, vor denen VPNs eigentlich schutzen sollen. Die Authentifizierungsdatenbank selbst wird zu einem hochkaraaatigen Angriffsziel. Wenn eine Regierung oder ein kompromittierter Anbieter weiss, wer wann ein VPN nutzt, ist die Kernfunktion des Netzwerks bereits gebrochen.
Datenschutzorganisationen wie EFF und Access Now sind konsequent: Jedes System, das Identitatskontrollen fur die VPN-Nutzung vorschreibt, schafft die Infrastruktur fur die Massenuberwachung verschlusselter Kommunikation - unabhangig von der im Moment der Einfuhrung angefuhrten Begrundung.
Wie der regulatorische Zeitplan aussieht
Bisher wurden noch keine EU-Rechtsvorschriften gegen VPNs formal vorgeschlagen. Das EPRS-Briefing ist ein Analysedokument, kein Richtlinienentwurf. Virkkunens Aussage signalisiert politischen Willen, ohne sich auf konkrete Massnahmen festzulegen. Der Zeitplan fur ein tatsachliches VPN-Einschrankungsgesetz wurde das Europaische Parlament und den Rat durchlaufen - ein Prozess, der wahrscheinlich zwei bis vier Jahre bis zur Umsetzung benotigt.
Aber die Richtung ist entscheidend. Vor drei Jahren diskutierte die EU, ob Verschlusselungs-Backdoors vorgeschrieben werden sollen. Heute diskutiert sie, ob Identitatsverifizierung vor dem Zugang zu Verschlusselungstools verlangt werden soll. Der Umfang des geplanten Eingriffs hat sich erheblich ausgeweitet.
Das britische Online Safety Act hat gezeigt, dass Altersverifizierungsgesetze die VPN-Nutzung antreiben. Die vorgeschlagene EU-Reaktion - die Beschrankung von VPN-Zugangen selbst - wurde einen grundlegenden Wandel darin darstellen, wie europaische Regierungen mit den Basiswerkzeugen der Internet-Privatsphare umgehen. Dieser Wandel ist nun in einem offiziellen Briefing des Europaischen Parlaments dokumentiert, von einem amtierenden EU-Kommissar zitiert und von Politikern in mehreren Mitgliedstaaten offentlich gebilligt.
