Es ist kompliziert

Von Svenja Bergt

Wenn es um die Regulierung von Onlineplattformen geht, gibt es eine ganze Reihe an Gesetzen auf verschiedenen Ebenen – und nicht wenige stammen aus der Zeit, als das Web 2.0 noch als neu und angesagt galt.

Das sind zum einen supranationale Regeln auf EU-Ebene wie etwa die Datenschutz-Grundverordnung und die e-Privacy-Richtlinie. Und zum anderen nationale Gesetzgebungen, in Deutschland beispielsweise das Netzwerkdurchsetzungsgesetz (NetzDG) oder – ab 1. Dezember in Kraft – das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Dazu kommt das Kartellrecht sowohl auf nationaler als auch auf EU-Ebene. Alle diese Gesetze beziehen sich nicht exklusiv auf Plattformen oder große IT-Konzerne, sondern ebenso auf andere Unternehmen, die in den entsprechenden Bereichen tätig sind.

Die Datenschutz-Grundverordnung(DSVGO) ist dabei das umfangreichste Regelungswerk. Wirksam wurden die neuen Regeln im Mai 2018 und glichen die EU-weit zuvor sehr unterschiedlichen Datenschutzregeln in den Mitgliedsstaaten an. So gibt es nun zum Beispiel eine gemeinschaftliche Basis für die Höhe von Bußgeldern und können die Aufsichtsbehörden Strafen in mehrstelliger Millionenhöhe verhängen. Zudem haben Verbände Klagerecht bekommen. So gehen NGOs wie die französische La Quadrature du Net oder die österreichische noyb gegen Unternehmen vor, die mit den Daten von Nut­ze­r:in­nen zu lax umgehen.

Diee-Privacy-Richtlinie dagegen ist so etwas wie der Dinosaurier der digitalen Regulierung. Der Name kommt zwar zeitgemäß daher, doch der Inhalt stammt aus dem Jahr 2002. Zur Einordnung: Facebook wurde 2004 gegründet, Whatsapp gibt es seit 2009.

In der EU ist man seit etwa fünf Jahren dabei, die e-Privacy-Richtline zur einer Verordnung zu machen. Das würde ihre Regelungen für die Mitgliedsstaaten verbindlicher machen und wäre eine Gelegenheit, sie auch inhaltlich auf den Stand der Zeit zu bringen: die Vertraulichkeit von Kommunikation stärken zum Beispiel, oder Tracking mindestens deutlich einschränken und damit die ungeliebten Cookiebanner überflüssig machen.

Zu Beginn des Verhandlungsprozesses war geplant, dass die Regeln der neuen e-Privacy-Verordnung gemeinsam mit denen der Datenschutz-Grundverordnung wirksam werden sollten – also vor dreieinhalb Jahren. Aktuell könnte sie schnellstenfalls wohl Anfang kommenden Jahres verabschiedet werden, eine Übergangszeit von zwei Jahren inklusive.

DasNetzwerkdurchsetzungsgesetz in Deutschland entstand als Reaktion auf vermehrt als problematisch wahrgenommene Inhalte, die etwa Hassnachrichten oder Verleumdungen auf Portalen wie Facebook oder Youtube verbreiten. Es verpflichtet Plattformen unter anderem dazu, offensichtlich rechtswidrige Inhalte nach einer Beschwerde innerhalb von 24 Stunden zu löschen.

Im kommenden Jahr soll eigentlich eine Erweiterung der Regeln wirksam werden: Sie verpflichtet dann Plattformen unter anderem dazu, strafbare gelöschte Postings an das Bundeskriminalamt zu melden, samt Namen, unter dem die Nachricht verfasst wurde und/oder IP-Adresse. Mit der Neuregelung soll der Kritik begegnet werden, derzufolge das NetzDG zwar dazu führen kann, dass problematische Inhalte verschwinden, es für die Verfassenden aber keine strafrechtlichen Folgen gibt. Doch einige Plattformen wehren sich juristisch gegen diese Weitergabepflicht.

Das eine sind die Gesetze, das andere ist ihre Durchsetzung. Beispiel Datenschutzgrundverordnung: Hier gibt es nicht eine einzelne europäische Behörde, die Beschwerden entgegennimmt und Verfahren einleitet, sondern jeder Mitgliedsstaat hat seine eigene Aufsichtsbehörde – oder gleich mehrere. Denn in Deutschland liegt die Datenschutzaufsicht größtenteils bei Landesbehörden. Das führt nicht nur zu reichlich Reibungsverlust bei der Abstimmung auf deutscher und europäischer Ebene, sondern auch dazu, dass manche Behörden ihre Aufgabe weniger in der Aufsicht als in der Wirtschaftsförderung zu sehen scheinen.

Die irische Datenschutzaufsicht etwa hat mittlerweile einiges an Ruhm im Verzögern von Verfahren erworben. Sehr zur Freude von IT-Konzernen, aber weniger von Nutzer:innen. So wurde im Oktober bekannt, dass die irische Behörde Facebook einen Freifahrtschein zur Datennutzung geben will und nicht gegen eine mutmaßliche illegale Änderung der Nutzungsbedingungen vorgeht. Die hatte Facebook nach dem Wirksamwerden der DSGVO getätigt, um weiterhin Daten für Werbezwecke verwenden zu können. Der Fall wird voraussichtlich vor dem Europäischen Datenschutzausschuss landen.

Auf europäischer Ebene sind auch die nächsten Regulierungsschritte bereits in Vorbereitung. Für Plattformen und Nut­ze­r:in­nen relevant sind vor allem vier. Zunächst dasDigitale-Dienste-Gesetz und dasDigitale-Märkte-Gesetz. Diese beiden Verordnungen fallen damit auf, dass sie große Plattformen ganz besonders ins Visier nehmen. Als Kriterien für Größe nannte die EU-Kommission bei der Vorstellung die Zahl der aktiven Nutzer:innen, den Jahresumsatz sowie eine „gefestigte und dauerhafte Position“ am Markt. Wer also mindestens darunter fallen dürfte: Facebook (mit Instagram und Whatsapp), Google (unter anderem mit Youtube), Amazon und Airbnb.

Die beiden Verordnungen sollen unter anderem dafür sorgen, dass Algorithmen transparenter werden und Ver­brau­che­r:in­nen Einblick darin bekommen, warum ihnen welche Werbung angezeigt wird. Abhängig von der Art des Verstoßes sind in den Entwürfen Bußgelder von bis zu 6 beziehungsweise bis zu 10 Prozent des weltweiten Jahresumsatzes vorgesehen.

Der dritte Regulierungsbaustein ist der europäische Rechtsrahmen für Künstliche Intelligenz (KI), den die EU-Kommission im Frühjahr vorgestellt hat. Darin ist etwa festgehalten, in welchen Bereichen KI nicht eingesetzt werden darf und welche Pflichten Anbieter haben, wenn sie eine KI-Anwendung auf den Markt bringen wollen.

Der vierte Baustein ist schließlich der Data Governance Act, bei dem es unter anderem darum geht, wie Dienste mit den Daten von Nut­ze­r:in­nen umgehen müssen – und wie wir Menschen mehr Autonomie über unsere Daten bekommen können.