X kassiert 120 Millionen Euro Strafe von EU-Kommission

Brüssel macht Ernst: Die Europäische Kommission verhängt die erste Geldbuße unter dem Digital Services Act – und trifft damit Elon Musks Plattform ins Mark. Der blaue Haken wird zum Politikum.

Es ist ein historischer Moment für die Tech-Regulierung: Am heutigen Freitag, dem 5. Dezember 2025, hat die EU-Kommission gegen die Social-Media-Plattform X (ehemals Twitter) eine Strafe von 120 Millionen Euro verhängt. Der Vorwurf: mehrfache Verstöße gegen den Digital Services Act (DSA). Damit setzt Brüssel erstmals das neues Regelwerk mit finanziellen Sanktionen durch – ein Präzedenzfall, der die globale Tech-Branche aufhorchen lässt.

Die Strafe beendet eine zweijährige Untersuchung, die kurz nach Inkrafttreten des DSA begann. Zwar liegt die Summe deutlich unter dem theoretischen Maximum von sechs Prozent des weltweiten Jahresumsatzes, doch die symbolische und operative Tragweite ist enorm. Im Fokus stehen drei zentrale Kritikpunkte: das umstrittene Verifizierungssystem mit dem blauen Haken, mangelnde Transparenz bei Werbeanzeigen und der blockierte Zugang für Forscher zu Plattformdaten.

EU-Kommissarin Henna Virkkunen stellte das Urteil heute Morgen in Brüssel vor: “Nutzer mit blauen Haken zu täuschen, Informationen über Werbung zu verschleiern und Forscher auszusperren – das hat in der EU online keinen Platz.” Die Reaktion aus Washington ließ nicht lange auf sich warten und offenbart einen wachsenden regulatorischen Graben zwischen der Europäischen Union und den USA.

Passend zum Thema EU-Regulierung: Die neue EU-KI-Verordnung bringt konkrete Pflichten für Kennzeichnung, Risikoklassifizierung und Dokumentation von KI-Systemen – viele Produktteams und Compliance-Verantwortliche sind darauf noch nicht vorbereitet. Unser kompakter Umsetzungsleitfaden erklärt verständlich, welche Nachweise und Prozesse jetzt notwendig sind, wie Sie Ihr System richtig klassifizieren und welche Fristen Sie beachten müssen. Ideal für Unternehmen, die regulatorisch sicher aufgestellt sein wollen. KI-Umsetzungsleitfaden jetzt kostenlos herunterladen

Das Herzstück der Entscheidung betrifft X’s kostenpflichtiges Verifizierungssystem. Die Kommission wertet den “Blue Check” als irreführendes Design-Element – ein sogenanntes “Dark Pattern”.

Vor Musks Übernahme stand der blaue Haken für verifizierte Identitäten von Personen des öffentlichen Lebens, Journalisten und offiziellen Institutionen. Heute kann ihn jeder Nutzer gegen eine Abo-Gebühr erwerben, wobei nach EU-Einschätzung “vernachlässigbare” Identitätsprüfungen stattfinden.

Die Regulierer argumentieren: Dieses System suggeriert Authentizität und Vertrauenswürdigkeit, wo in Wahrheit bezahlte Fake-Accounts oder Bot-Netzwerke dahinterstecken können. “Der DSA schreibt keine Nutzerverifikation vor”, so die Kommission in ihrer offiziellen Stellungnahme. “Aber er verbietet eindeutig, fälschlicherweise zu behaupten, Nutzer seien verifiziert worden, wenn keine solche Prüfung stattgefunden hat.”

X muss das System innerhalb von 60 Arbeitstagen überarbeiten, damit Nutzer authentifizierte Konten von zahlenden Abonnenten unterscheiden können. Bei Nichteinhaltung drohen weitere Strafzahlungen – periodisch und möglicherweise deutlich teurer.

Transparenz-Lücken: Werbe-Archiv und Forschungszugang blockiert

Über die Nutzeroberfläche hinaus kritisiert die Kommission gravierende Mängel bei Transparenzpflichten für Werbung und Datenzugang.

Die Untersuchung ergab, dass X’s Werbearchiv – eine verpflichtende öffentliche Datenbank zur Aufklärung über politische und kommerzielle Botschaften – “unzuverlässig” und “schwer zugänglich” war. Forscher und Watchdog-Organisationen meldeten massive Verzögerungen, fehlende Datenfelder (etwa zur Zielgruppe und zum Auftraggeber) und eine umständliche Bedienung, die effektive Kontrolle nahezu unmöglich machte.

Darüber hinaus hat X laut EU-Befund aktiv wissenschaftliche Forschung behindert. Sehr große Online-Plattformen (VLOPs) müssen geprüften Forschern Zugang zu öffentlichen Daten gewähren, um systemische Risiken wie Desinformation oder Wahlmanipulation zu untersuchen. X habe nicht nur keinen funktionierenden Zugang bereitgestellt, sondern unabhängiges Daten-Scraping in seinen Nutzungsbedingungen explizit verboten – die Wissenschaft wurde regelrecht “ausgesperrt”.

“Transparenz ist der Grundpfeiler des DSA”, betonte Virkkunen. “Ohne Datenzugang können wir die Risiken nicht bewerten, die Plattformen für unseren demokratischen Diskurs darstellen. X’s Barrieren waren keine technischen Pannen – sie waren strukturelle Hindernisse für Rechenschaftspflicht.”

Eine “moderate” Strafe mit großer Signalwirkung

Branchenbeobachter merkten schnell an, dass die 120 Millionen Euro relativ bescheiden ausfallen – verglichen mit den ursprünglich befürchteten Milliarden-Strafen. Nach DSA-Berechnung hätte X theoretisch bis zu 140 Millionen Euro (sechs Prozent des geschätzten Jahresumsatzes von rund 2,3 Milliarden Euro für 2024) zahlen können.

Doch Rechtsexperten warnen: Die eigentliche Härte liegt nicht in der Summe, sondern in der Struktur der Entscheidung. Indem die EU das “Blue Check”-System offiziell als täuschend einstuft, greift sie direkt das Kerngeschäftsmodell von X’s Premium-Abonnements an.

“Die Strafe bemisst sich nach Schwere und Dauer des Verstoßes, nicht nur nach einem pauschalen Umsatzprozentsatz”, erklärt die Digital-Policy-Analystin Dr. Elena Kostioukovitch. “Aber die Anordnung, das Produktdesign zu ändern, ist der eigentliche Stachel. X muss sein Hauptabo-Angebot für den europäischen Markt möglicherweise grundlegend umbauen – oder riskiert tägliche Strafzahlungen, die die ursprünglichen 120 Millionen schnell in den Schatten stellen.”

Diese Durchsetzungsmaßnahme ist ein Warnschuss an andere Tech-Riesen wie Meta, TikTok und Google, die alle aktuell eigene DSA-Compliance-Prüfungen durchlaufen. Sie zeigt: Die Kommission ist bereit, Produktdesign-Änderungen zu diktieren – nicht nur Bußgelder zu verhängen.

Transatlantische Spannungen: Washington schlägt zurück

Das Urteil hat die Spannungen zwischen Brüssel und Washington unmittelbar verschärft. Nach der politischen Neuausrichtung in den USA nach den Wahlen 2024 fällt die Reaktion amerikanischer Offizieller kämpferisch aus.

US-Vizepräsident JD Vance kritisierte kurz nach der Bekanntgabe auf X die EU für “Angriffe auf amerikanische Unternehmen” und das Abwürgen von Innovation unter dem Deckmantel von Regulierung. “Die EU sollte Meinungsfreiheit unterstützen, statt amerikanische Firmen für ‘täuschendes Design’ zu bestrafen, wenn Nutzer genau wissen, was sie kaufen”, postete Vance.

Diese Haltung spiegelt jüngste Aussagen von US-Handelsminister Howard Lutnick wider, der letzte Woche in Brüssel warnte, dass aggressive Durchsetzung von DSA und Digital Markets Act (DMA) die transatlantischen Handelsbeziehungen belasten könnte. Die Strafe gegen X gilt weithin als Testfall, ob die EU ihre “digitale Souveränität” gegenüber einer zunehmend protektionistischen US-Administration behaupten kann.

Elon Musk, der bereits mehrfach mit EU-Regulierern aneinandergeraten ist, hat sich formal noch nicht geäußert, wird aber voraussichtlich vor dem Europäischen Gerichtshof Berufung einlegen. In früheren Auseinandersetzungen hatte Musk die Bedenken der Kommission abgetan und dem damaligen Kommissar Thierry Breton einmal mit einem Meme aus dem Film Tropic Thunder geantwortet.

Wie geht es weiter? Die nächsten 90 Tage werden entscheidend

X steht jetzt unter enormem Zeitdruck, um Compliance zu erreichen:

60 Tage: Das Unternehmen muss einen Plan vorlegen, wie das “täuschende” Haken-System korrigiert wird.

90 Tage: X muss die Mängel im Werbearchiv und beim Forschungsdatenzugang beheben.

Verfehlt X diese Fristen, kann die EU “periodische Strafzahlungen” von bis zu fünf Prozent des durchschnittlichen weltweiten Tagesumsatzes für jeden Tag der Verzögerung verhängen. Diese könnten die ursprüngliche Strafe schnell in den Schatten stellen.

Für die gesamte Tech-Branche bestätigt die heutige Entscheidung: Der DSA ist kein theoretisches Regelwerk mehr, sondern ein aktives Durchsetzungsinstrument. Unternehmen können sich nicht länger hinter vagen “Nutzungsbedingungen” verstecken, um Transparenzpflichten zu umgehen. Seit dem 5. Dezember 2025 ist die Ära der Selbstregulierung für Social Media in Europa endgültig vorbei.

PS: Die Entscheidung gegen X macht deutlich, dass mangelnde Transparenz und Sicherheitslücken nicht nur Reputationsschäden, sondern auch regulatorische Folgen nach sich ziehen können. Ein praxisnaher Cyber-Security-Guide erklärt, warum 73% der deutschen Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet sind, welche sofort umsetzbaren Schutzmaßnahmen auch kleine IT-Teams implementieren können und welche Compliance-Aspekte (inkl. KI-Regeln) besonders kritisch sind. Nützlich für Geschäftsführer und IT-Verantwortliche. Jetzt Cyber-Security-Guide downloaden