Europäische Entscheidungsträger behandeln die Nutzung von VPNs zunehmend als ein Verhalten, das eingedämmt werden soll.
Cindy Harper
Australiens Beschränkungen für soziale Medien für unter 16-Jährige sind zu einem praktischen Referenzpunkt für Regulierungsbehörden geworden, die sich nicht mehr mit Theorie begnügen, sondern zur Durchsetzung übergehen.
Während sich das System im Routinebetrieb einpendelt, werden seine Nebenwirkungen deutlicher. Eine der sichtbarsten ist das erneute politische Interesse daran, Werkzeuge einzuschränken, die private Kommunikation ermöglichen – insbesondere Virtuelle Private Netzwerke. Dieses Interesse hat Konsequenzen, die weit über die sogenannte „Altersverifikation“ hinausgehen.
Ein internes Briefing des Europäischen Parlamentsforschungsdienstes (EPRS) vom Januar 2026, das wir einsehen konnten, dokumentiert einen starken Anstieg der VPN-Nutzung nach der Einführung verpflichtender Alterskontrollen.
Der Bericht stellt einen „signifikanten Anstieg der Zahl virtueller privater Netzwerke (VPNs), die genutzt werden, um Online-Altersverifikationsmethoden in Ländern zu umgehen, in denen diese gesetzlich vorgeschrieben sind“, fest und ordnet diesen Trend in ein breiteres politisches Umfeld ein, in dem der „Schutz von Kindern im Internet ganz oben auf der politischen Agenda steht“.
Die Erfahrungen Australiens passen in dieses Muster. Je strenger die Altersbarrieren werden, desto häufiger greifen Menschen zu Werkzeugen, die ihre Überwachung und Profilierung reduzieren. VPNs sind dabei die erste Anlaufstelle, da sie weit verbreitet, einfach zu bedienen und darauf ausgelegt sind, die Sichtbarkeit der Online-Aktivitäten gegenüber Dritten zu begrenzen.
Das EPRS-Briefing beschreibt klar, was diese Werkzeuge leisten. „Ein virtuelles privates Netzwerk (VPN) ist eine digitale Technologie, die darauf ausgelegt ist, eine sichere und verschlüsselte Verbindung zwischen dem Gerät eines Nutzers und dem Internet herzustellen.“
Weiter heißt es, VPNs verbergen IP-Adressen und leiten den Datenverkehr über entfernte Server, um „Online-Kommunikation vor Abfangen und Überwachung zu schützen“. Dies sind Funktionen zum Schutz bürgerlicher Freiheiten, keine Randerscheinungen, und sie galten lange als legitime Schutzmechanismen in demokratischen Gesellschaften.
Druck in Richtung privater Infrastruktur
In der europäischen Debatte werden VPNs zunehmend als Hindernis für die Durchsetzung von Regeln dargestellt. Der EPRS-Bericht hält fest, dass „einige argumentieren, der Zugang zu VPN-Diensten sollte auf Nutzer oberhalb eines digitalen Volljährigkeitsalters beschränkt werden“. Diese Sichtweise deutet datenschutzfördernde Technologien faktisch zu einer regulatorischen Lücke um, die geschlossen werden müsse.
Die Erfahrungen im Vereinigten Königreich zeigen, wie schnell sich diese Logik verschärft. Nachdem der Online Safety Act in Kraft trat, dominierten VPN-Apps die App-Store-Rankings.
Laut Bericht waren „die Hälfte der Top-10-Gratis-Apps in den Download-Charts der britischen App-Stores Berichten zufolge VPN-Dienste“, wobei ein Entwickler von einem „1.800-prozentigen Anstieg der Downloads im ersten Monat nach Inkrafttreten der Gesetzgebung“ sprach.
Diese Zahlen werden nun herangezogen, um Vorschläge zu rechtfertigen, die den Zugang zu Verschlüsselungswerkzeugen einschränken würden.
Die Kinderbeauftragte für England hat gefordert, VPNs auf Erwachsene zu beschränken. Das EPRS-Briefing verdeutlicht die Tragweite dieses Ansatzes: „Während Datenschutzbefürworter argumentieren, dass die Auferlegung von Altersverifikationspflichten für VPNs erhebliche Risiken für Anonymität und Datenschutz mit sich bringen würde, behaupten Kinderschutzkampagnen, dass ihre weitverbreitete Nutzung durch Minderjährige eine regulatorische Reaktion erfordere.“
Aus Sicht der Bürgerrechte ist das problematisch. Altersverifikation verlagert sich von der Regulierung einzelner Dienste hin zur Regulierung der Art und Weise, wie Menschen ihre Internetverbindungen generell schützen. Diese Ausweitung betrifft Journalisten, Aktivisten, Whistleblower und gewöhnliche Nutzer, die VPNs nutzen, um Tracking zu reduzieren, Profilbildung zu vermeiden oder sicher zu kommunizieren.
Regulatorische Abstimmung verstärkt die Risiken
Australien trägt direkt zu dieser politischen Richtung bei. Die eSafety-Kommissarin Julie Inman Grant trifft sich mit einer von Ofcom einberufenen Kooperationsgruppe zur Altersverifikation, an der auch die Europäische Kommission beteiligt ist.
In einer gemeinsamen Erklärung nach einem solchen Treffen heißt es, dass „die drei Regulierungsbehörden im Laufe des Jahres 2026 weiterhin regelmäßige Austauschformate pflegen werden, um wirksame Ansätze zur Altersverifikation, die Durchsetzung gegenüber Plattformen für Erwachsene und anderen Anbietern zum Schutz von Minderjährigen, relevante technologische Entwicklungen sowie die wesentliche Rolle des Datenzugangs und unabhängiger Forschung zur Unterstützung wirksamer regulatorischer Maßnahmen weiter zu erörtern“.
Der Fokus auf Datenzugang spiegelt Formulierungen wider, die bereits in europäischen Politikdokumenten enthalten sind. Das EPRS-Briefing warnt, dass „im Zuge der Überprüfung von Cybersicherheits- und Datenschutzgesetzen in der EU auch VPN-Dienste einer strengeren regulatorischen Prüfung unterzogen werden könnten“.
Weiter heißt es, „es ist wahrscheinlich, dass der überarbeitete Cybersicherheitsakt Kriterien zum Kinderschutz einführen wird, die potenziell Maßnahmen zur Verhinderung des Missbrauchs von VPNs zur Umgehung gesetzlicher Schutzvorkehrungen umfassen“.
Die Verankerung von Kinderschutzkriterien im Cybersicherheitsrecht birgt das Risiko, die Unterscheidung zwischen Inhaltsregulierung und Kommunikationssicherheit aufzuheben. Diese Unterscheidung hat traditionell private Korrespondenz davor geschützt, zu einem Instrument routinemäßiger staatlicher Steuerung zu werden.
Der EPRS-Bericht erläutert, warum die Skalierung solcher Maßnahmen umstritten bleibt, und stellt fest, dass bestehende Methoden „einschließlich Verifikation, Schätzung und Selbsterklärung für Minderjährige relativ leicht zu umgehen sind“. Vorgeschlagene Alternativen setzen auf biometrische Verfahren, Ausweisdokumente oder dauerhafte, gerätegebundene Alterssignale.
Frankreichs sogenannte „Double-Blind“-Anforderung wird häufig als datenschutzfreundlicher Ansatz angeführt. Das Briefing erklärt, dass nach diesem Modell „die Plattform für Erwachsene keine Informationen über den Nutzer erhält, außer der Bestätigung der Berechtigung, während der Altersverifikationsanbieter keine Kenntnis darüber hat, welche Websites der Nutzer besucht“.
Doch auch hier beruht die Lösung auf dem Ausbau der Verifikationsinfrastruktur, anstatt die Datenerhebung an der Quelle zu begrenzen.
In Frankreich deuten Beamte an, dass Bemühungen zur Einschränkung des Zugangs von Kindern zu sozialen Medien über Plattformregeln hinausgehen und auch die Werkzeuge betreffen könnten, mit denen Menschen ihre Online-Privatsphäre schützen.
Abgeordnete treiben einen Vorschlag voran, der Personen unter 15 Jahren die Nutzung sozialer Medien untersagen würde, und mindestens eine ranghohe Persönlichkeit hat angedeutet, dass virtuelle private Netzwerke Teil der nächsten Durchsetzungsphase werden könnten.
In einem Interview mit dem öffentlich-rechtlichen Sender Franceinfo beschrieb die beigeordnete Ministerin für Künstliche Intelligenz und digitale Angelegenheiten, Anne Le Hénanff, das Thema als fortlaufenden Prozess und nicht als abgeschlossene Politik. „Wenn [diese Gesetzgebung] es uns erlaubt, eine sehr große Mehrheit der Kinder zu schützen, werden wir weitermachen. Und VPNs sind das nächste Thema auf meiner Liste“, sagte sie.
Auf EU-Ebene wird die Richtung zunehmend explizit. Das EPRS-Briefing hält fest, dass das Europäische Parlament eine Entschließung verabschiedet hat, die Altersverifikationsmethoden unterstützt und eine digitale Altersgrenze von 16 Jahren für soziale Medien fordert. Ermittlungen im Rahmen des Digital Services Act laufen bereits, und mehrere Regierungen unterstützen das Konzept einer paneuropäischen digitalen Volljährigkeit.
EU nimmt VPNs ins Visier, während Alterskontrollen ausgeweitet werden