EU will strenge Regeln für Internetkonzerne und einen Datenpakt mit den USA
Hassrede im Netz und Betrug beim Onlinehandel – dagegen müssen Diensteanbieter künftig entschlossener vorgehen. So verlangt es der „Digital Services Act“der EU. Außerdem schmieden die USA und die EU an einem neuen Datenschutzpakt, nachdem Safe Harbour und Privacy Shield gekippt wurden. Doch bevor ein neues Regelwerk die Handelsbarrieren zwischen den USA und Europa abbauen kann, müssen die Amerikaner erst einmal ihre Geheimdienste an die Kandare nehmen.
Es sei der Goldstandard für die Internetregulierung, gar ein neues digitales Grundgesetz: Die Macher des Digital Services Act (DSA) überschlagen sich regelrecht darin, die Bedeutung des europäischen Regelwerks für das Internet hervorzuheben. Monatelang rangen das EU-Parlament, der Ministerrat und die EU-Kommission darum, wie die großen Diensteanbieter im World Wide Web in die Schranken gewiesen werden können. Mitte Dezember 2020 hatte die EU-Kommission einen ersten Entwurf für den DSA vorgelegt.
14 Monate später sagt Kommissions-Präsidentin Ursula von der Leyen: „Die Einigung über den Rechtsakt für digitale Dienste ist historisch, sowohl in Bezug auf die Geschwindigkeit als auch auf den Inhalt.“Die Grundregeln für alle Onlinedienste in der EU würden verbessert. Außerdem werde dafür gesorgt, dass das Onlineumfeld ein sicherer Raum werde, der die Meinungsfreiheit und die Möglichkeiten für digitale Unternehmen schütze. Das Regelwerk setze den Grundsatz in die Praxis um, dass das, was offline illegal ist, auch online illegal ist.
Der DSA soll die großen Onlinekonzerne stärker in die Verantwortung nehmen. Margrethe Vestager, Digitalkommissarin der EU, forderte: „Plattformen sollten ihre Entscheidungen zur Inhaltsmoderation transparent machen, verhindern, dass sich gefährliche Desinformationen verbreiten, und vermeiden, dass unsichere Produkte auf Marktplätzen angeboten werden.“Mit der Vereinbarung stelle man sicher, dass die Internetgiganten für die Risiken, die ihre Dienste für die Gesellschaft bedeuteten, zur Verantwortung gezogen würden.
Wildwest-Zeiten sind vorbei
„Das Regelwerk überträgt der Kommission die Aufsicht über sehr große Plattformen“, ergänzte Wettbewerbskommissar Thierry Breton, „einschließlich der Möglichkeit, bei wiederholten schweren Verstößen wirksame und abschreckende Sanktionen von bis zu sechs Prozent des weltweiten Umsatzes oder sogar ein Verbot der Tätigkeit im EU-Binnenmarkt zu verhängen.“Die „Wildwest-Zeiten“seien endgültig vorbei, in denen die großen Onlineplattformen sich so verhalten hätten, als seien sie „zu groß, um sich zu kümmern“.
Das ist eine klare Ansage an Amazon, Meta Platforms (Facebook), Google und Co. Erstmals gibt es mit dem DSA ein Regelwerk zu den Pflichten
und Verantwortlichkeiten von Onlineangeboten, so die Botschaft aus Brüssel. Je größer die Plattform sei, desto mehr Verantwortung habe sie und desto mehr Pflichten müsse sie erfüllen.
Konkret geht es um folgende Punkte:
➔ Bekämpfung illegaler Inhalte durch ein verpflichtendes Meldesystem: Nutzerinnen und Nutzer können entsprechende Inhalte kennzeichnen und melden. Plattformen müssen die Zusammenarbeit mit „vertrauenswürdigen Hinweisgebern“ermöglichen.
➔ Neue Vorschriften für die Rückverfolgbarkeit gewerblicher Nutzer auf Onlinemarktplätzen, um Verkäufer illegaler Waren leichter aufspüren zu können.
➔ Wirksame Beschwerdemechanismen ermöglichen es Nutzerinnen und Nutzern, Entscheidungen von Plattformbetreibern überprüfen zu lassen, beispielsweise warum ein Inhalt entfernt oder nicht entfernt wurde.
➔ Mehr Transparenz von Onlineangeboten, insbesondere bezüglich der Algorithmen, die zum Beispiel den Empfehlungssystemen mancher Plattformen zugrundeliegen.
➔ Verpflichtungen für sehr große Webseiten, Risiken für den Missbrauch ihrer Systeme zu analysieren und Maßnahmen zu ergreifen. Das Risikomanagement der Plattformen wird von unabhängiger Seite überprüft.
➔ Zugriff unabhängiger Forscher auf die Kerndaten größerer Plattformen, um unabhängig die Wirkweise der Algorithmen sowie Risiken für Gesellschaft und Demokratie zu untersuchen.
➔ Regeln zur Durchsetzung, die der Komplexität des Onlineraums gerecht werden: Die Mitgliedstaaten werden dabei von einem neuen europäischen Gremium für digitale Dienste unterstützt. Bei sehr großen Plattformen übernimmt die EU-Kommission die Überwachung und Durchsetzung.
Betroffen von dem neuen Regelwerk sind im Grunde alle Unternehmen, die irgendeine Art Onlinedienst anbieten. Dazu zählen SocialMedia-Anbieter wie TikTok, Twitter und Meta mit Facebook und Instagram, aber auch Messenger wie WhatsApp und Telegram, Suchmaschinen wie Google, Anbieter von App-Stores wie Apple und Onlinemarktplätze wie Amazon und Ebay. Außerdem müssen sich auch WebHoster, Internet-Zugangsdienste und CloudAnbieter an die neuen Regeln halten.
Große Plattform werden schärfer überwacht
Wie konsequent am Ende reguliert wird, hängt von der Größe der Plattformen ab. Dienste, die mit ihren Angeboten mehr als zehn Prozent der rund 450 Millionen Konsumenten in der EU erreichen, sollen strengeren Auflagen unterworfen sein als kleinere Anbieter mit weniger als 45 Millionen monatlich aktiven Nutzerinnen und Nutzern. Alle Anbieter, die Onlinedienste in der EU offerieren, müssen einen Kontakt beziehungsweise einen Rechtsvertreter benennen. Damit sollen Provider wie Telegram eingebremst werden können. Gerade deutsche Behörden hatten im Zuge der Verfolgung von Desinformation seitens Corona-Leugnern und Verschwörungstheoretikern immer wieder Schwierigkeiten, Telegram-Verantwortliche zu kontaktieren.
Die Regeln des DSA dürften noch für viel Gesprächsstoff sorgen. Gerade die Frage, wie tief die Einblicke von Behörden in Code und Algorithmen sein sollen, wird wohl kontrovers diskutiert werden. Die Onlinekonzerne argumentieren an dieser Stelle gern mit Betriebsgeheimnissen, die ihr Geschäft schützten.
Auch die Begehrlichkeiten, Daten einzusehen, um zu verstehen, wie Onlinedienste ihre Services adressieren, dürfte bei den Konzernen auf wenig Gegenliebe stoßen. Man darf gespannt sein, wie Amazon, Facebook, Google und Co. auf den Vorstoß der Europäer reagieren werden. Ende Mai wollen EU-Vertreter in die USA reisen und den Onlinekonzernen das Regelwerk im Detail präsentieren. Unklar ist, ob die Europäer verhandlungsbereit sind.
Noch steht der endgültige Gesetzestext jedenfalls nicht fest. Aktuell umfasst der Entwurf, auf
den sich die EU-Gremien geeinigt haben, 113 Seiten. Er muss noch vom EU-Ministerrat und dem EU-Parlament verabschiedet werden. Das soll im Spätsommer 2022 geschehen. Inkrafttreten soll der DSA dann am 1. Januar 2024.
Restriktionen schaden der digitalen Wirtschaft
Angesicht der Unschärfen halten sich Branchenverbände mit einer Einschätzung noch zurück. Da sich die ersten Pressemitteilungen der drei beteiligten EU-Institutionen aus Kommission, Rat und Parlament in ihren jeweiligen inhaltlichen Schwerpunkten unterschieden hätten, sei eine abschließende Bewertung erst bei Vorliegen des finalen Gesetzestextes möglich, heißt es vonseiten des Bundesverbands Digitale Wirtschaft (BVDW). Aus Sicht der Branchenvertreter sind eine Neufassung der Digitalgesetzgebung und die Anpassung der europäischen Rahmenbedingungen an die Anforderungen des 21. Jahrhunderts aber mehr als überfällig. Jedoch bestehe die Gefahr, dass der DSA zu einer Einschränkung für Unternehmen der digitalen Wirtschaft führen und Rechtsunsicherheit schaffen könne. „Sollte der endgültige Kompromiss viele der sehr restriktiven Bestimmungen des Parlaments enthalten, würde das der digitalen Wirtschaft massiv schaden“, kommentiert Thomas Duhr, Vizepräsident des BVDW, den vorliegenden Entwurf. „Das hätte eine rechtsunsichere Verquickung des DSA mit der DSGVO und der noch zu finalisierenden ePrivacy-Verordnung zur Konsequenz.“
Die strengen europäischen Datenschutzregeln spielen auch an anderer Stelle eine Rolle. Es geht um einen rechtssicheren Datenverkehr über den Atlantik. Ende März hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen überraschend erklärt, man habe eine „grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt“. Ein neues Regelwerk wäre tatsächlich überfällig: Im Juli 2020 hatte der Europäische Gerichtshof mit dem SchremsII-Urteil das bis dahin gültige Privacy-ShieldAbkommen außer Kraft gesetzt.
In vielen europäischen und amerikanischen Unternehmen und Behörden herrscht seitdem Unsicherheit darüber, wie mit der Übertragung und dem Speichern personenbezogener Daten umzugehen ist. Der Druck auf die Politik wuchs, eine Lösung zu finden. Doch die Verantwortlichen machten zunächst wenig Hoffnung auf ein schnelles Verhandlungsergebnis. Zu komplex sei das Thema, gerade auch wegen der strengen Datenschutzregeln in Europa. Außerdem solle ein neuer Vertrag den zu erwartenden rechtlichen Prüfungen diesmal standhalten können. Bereits 2016 hatte der EuGH Safe Harbour, das Vorläuferabkommen von Privacy Shield, gekippt.
Dass wieder Bewegung in die Verhandlungen kommt, ist auch der aktuellen politischen Ge
samtsituation geschuldet. Angesichts des russischen Angriffs auf die Ukraine verschieben sich die internationalen Handelsströme. Mit den Sanktionen gegen den russischen Machthaber Wladimir Putin, etliche Staatskonzerne und viele Oligarchen sind die wirtschaftlichen Beziehungen Europas nach Osten weitgehend gekappt. Infolgedessen dürfte sich der transatlantische Handel intensivieren.
Noch liegt kein Vertrag auf dem Tisch
Doch dafür müssen noch einige Hürden aus dem Weg geräumt werden. Auch wenn auf höchster politischer Ebene prinzipiell Einigkeit erzielt wurde, liegt noch kein verbindliches Abkommen auf dem Tisch. Einen unterschriftsreifen Vertrag gilt es noch im Detail auszuhandeln. Delegationen der US-Regierung und der Europäischen Kommission sollen in den kommenden Monaten die entsprechenden Dokumente ausarbeiten, die dann noch auf beiden Seiten des Atlantiks von den jeweiligen Parlamenten verabschiedet werden müssen, heißt es in einer Mitteilung aus Brüssel.
Die Hoffnungen aller Beteiligten, dass ein neues Abkommen Bestand haben wird, gründet sich in erster Linie auf einer Zusage der USA, die strengeren europäischen Datenschutzregeln zu respektieren. Dieser Punkt war 2020 ausschlaggebend dafür gewesen, dass die Richter am EuGH den Privacy Shield für nicht rechtens erklärt hatten. Personenbezogene Daten europäischer Bürger würden durch das Regelwerk bei einer Übermittlung in die USA nicht ausreichend geschützt, so die Begründung des Gerichts. Tatsächlich würde US-amerikanischen Interessen, was beispielsweise die nationale Sicherheit angeht, Vorrang eingeräumt.
Das ermögliche Eingriffe in die Grundrechte europäischer Nutzer, deren Daten in die USA übertragen werden. Die Richter verwiesen vor allem darauf, dass die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet sei. Die DSGVO schreibt vor, dass eine Nutzung der Daten auf das zwingend erforderliche Maß zu beschränken sei. Das sei in den USA hinsichtlich der Aktivitäten der Nachrichtendienste nicht der Fall. Der EuGH kritisierte ferner, dass für die groß angelegten Überwachungsprogramme der US-Geheimdienste keine Einschränkungen existierten. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Garantien und keine Möglichkeit ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen.
Das soll sich mit dem neuen Abkommen ändern. Die USA wollen sich dazu verpflichten, den Schutz der Privatsphäre im Rahmen der Nutzung von Daten europäischer Bürger einzuhalten. Sie würden neue Sicherheitsvorkehrungen treffen, um zu gewährleisten, dass Überwachungsmaßnahmen und Datenzugriffe durch die US-Geheimdienste gemäß den europäischen Datenschutzregeln erfolgen. Die Rede ist von einem zweistufigen unabhängigen Rechtsbehelfsmechanismus mit verbindlichen Befugnissen. Außerdem soll eine strenge und mehrschichtige Aufsicht über die Aktivitäten der Geheimdienste eingerichtet werden, um die Einhaltung der Beschränkungen für Überwachungsmaßnahmen sicherzustellen.
Während die europäische Position klar ist, bleiben auf US-amerikanischer Seite noch Fragen offen. Um der DSGVO zu genügen, müssten diverse US-Gesetze angepasst werden, wie zum Beispiel der Foreign Intelligence Surveillance Act und der Cloud Act. Diese erlauben US-Geheimdiensten weitgehenden Zugriff auch auf Daten von EU-Bürgern. Diese Gesetze zu ändern, bedarf der Zustimmung des Kongresses und des Senats. Angesichts der tiefen Gräben zwischen den politischen Lagern in den USA erscheint dies jedoch unwahrscheinlich. Offensichtlich plant US-Präsident Biden deshalb, den neuen Datenpakt als Dekret per Executive Order durchzusetzen. Ob sich die EU und deren Gerichte damit zufriedengeben werden, bleibt abzuwarten. Ein Dekret kann schnell wieder gekippt werden, ein Gesetz wäre deutlich stabiler und verlässlicher.
Noch stehen also viele Fragezeichen hinter dem neuen Abkommen. Es geht darum, ob und wie EU-Bürger ihre Ansprüche in Sachen Datenschutz vor US-Gerichten durchsetzen und wie die US-amerikanischen Internetkonzerne dazu verpflichtet werden können, mehr für den Datenschutz zu tun. Das zu klären dürfte noch viele Monate dauern.