Digital Services Act: Wie die EU das Internet künftig regulieren wird

Inhaltsverzeichnis

Seit den frühen Morgenstunden am Samstag steht das Grundgerüst für den Digital Services Act (DSA), auf das sich Vertreter des EU-Parlaments, des Ministerrats und der Brüsseler Kommission nach einem finalen Verhandlungsmarathon verständigt hatten. Wahlweise gilt der DSA seinen Machern als "Goldstandard" für die Internetregulierung, Ende des "Wilden Westens" im Cyberspace, in dem sich die Tech-Giganten Amazon, Facebook, Google & Co. ihre eigenen Regeln schufen, oder gar als "digitales Grundgesetz".

Vor allem die Politik verspricht sich von dem Gesetz für digitale Dienste sehr viel. "Der DSA wird die Grundregeln für alle Online-Dienste in der EU verbessern", betonte Kommissionspräsidentin Ursula von der Leyen (CDU) bei der Bekanntgabe des erzielten Kompromisses. "Er wird dafür sorgen, dass das Online-Umfeld ein sicherer Raum bleibt, der die freie Meinungsäußerung und Möglichkeiten für digitale Unternehmen schützt." Je größer die Plattform sei, desto größer auch die Verantwortung des Betreibers.

"Beginn eines digitalen Frühlings"

Letztlich verleiht die Verordnung laut der EU-Kommissionspräsidentin dem Grundsatz praktische Wirkung, "dass das, was offline illegal ist, auch online illegal sein sollte". Dies hatten zuvor auch die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager und die Berichterstatterin des EU-Parlaments, Christel Schaldemose von den Sozialdemokraten, immer wieder hervorgehoben. Neu ist diese Absage an die "Unabhängigkeitserklärung" für den Cyberspace früher Internetutopisten freilich nicht und eigentlich eine Binse, die schon immer gilt. Schließlich stand der "Cyberraum" nie völlig vogelfrei jenseits der physikalischen Welt.

Zumindest etwas erfrischender und angepasst an die Jahreszeit beschreibt Alexandra Geese, Schattenberichterstatterin der europäischen Grünen-Fraktion, die potenziellen Auswirkungen des Gesetzes hoffnungsvoll als "Beginn eines digitalen Frühlings". Für sie handelt es sich auch um den "ersten, entscheidenden Schritt zu mehr Demokratie und Freiheit im Netz". Es ist nicht bekannt, ob sie damit diverse DSA-Vorläufer wie das deutsche Netzwerkdurchsetzungsgesetz (NetzDG) als medioker bis schlecht darstellen wollte.

Doch was hält die Verordnung inhaltlich überhaupt tatsächlich parat und welche Folgen könnten sich daraus entwickeln? Ganz genau lässt sich das noch nicht sagen, da Technik- und Rechtsexperten der EU-Gesetzgebungsgremien den finalen Text erst herbeizaubern müssen. Aus Mitteilungen der Parteien, die bis zuletzt mit am Tisch saßen, sind aber die allgemeinen Linien erkennbar.

Worum geht es im Kern?

Ziel sind verbindliche Verhaltensvorschriften für Online-Plattformen. Vestager verglich den Ansatz des Kommissionsvorschlags im Dezember 2020 mit der ersten Ampel, die in Berlin am Potsdamer Platz Ordnung auf die Straßen gebracht habe. Der DSA verankert so prinzipielle EU-weite Sorgfaltspflichten, die für alle digitalen Dienste gelten, die Verbraucher mit Waren, Dienstleistungen oder Inhalten versorgen. Dazu gehören neue Verfahren zur schnelleren Entfernung illegaler Inhalte sowie – laut der Kommission – "eines umfassenden Schutzes der Online-Grundrechte der Nutzer".

Wer muss die Vorgaben befolgen?

In den Anwendungsbereich des DSA fallen verschiedene Online-Vermittlungsdienste. Ihre Verpflichtungen hängen von ihrer Rolle, ihrer Größe und ihrem Einfluss auf das Online-Ökosystem ab. Vermittler nach dem Gesetz sind etwa Betreiber sozialer Netzwerke wie Meta mit Facebook und Instagram, Twitter und TikTok, andere Services zum Teilen von Inhalten wie YouTube, Suchmaschinen wie Google, Betreiber von App-Stores wie Apple und Online-Marktplätze wie Amazon und eBay.

Erfasst werden ferner Vermittlungsdienste mit Netzinfrastruktur wie Internet-Zugangsanbieter, Domain-Registrierungsstellen und Hosting-Dienste wie Cloud-Anbieter und Webhoster.

Sehr große Online-Plattformen und sehr große Online-Suchmaschinen werden strengeren Anforderungen unterworfen. Dabei handelt es sich um Services, die mehr als zehn Prozent der 450 Millionen Verbraucher in der EU zu ihren Nutzern zählen beziehungsweise erreichen.

Um die Entwicklung von neu gegründeten Firmen und Startups im Binnenmarkt zu gewährleisten, werden laut dem Rat "Kleinst- und Kleinunternehmen" mit weniger als 45 Millionen monatlich aktiven Nutzern in der EU von bestimmten neuen Vorschriften befreit.

Was zählt zu den konkreten Auflagen?

Vor allem Maßnahmen zur Bekämpfung illegaler Waren, Dienstleistungen und Inhalte im Internet. Dazu gehört ein Mechanismus, der es den Nutzern ermöglichen soll, entsprechenden Content einfach zu markieren und so zu melden. Plattformen können dabei mit "vertrauenswürdigen Markierern" ("trusted flaggers") zusammenarbeiten.

Behörden aller Art können künftig Host-Providern ohne Richtervorbehalt grenzüberschreitende Anordnungen schicken, um gegen illegale Inhalte wie strafbare Hasskommentare, Darstellungen sexuellen Kindesmissbrauchs oder die unautorisierte Nutzung urheberrechtlich geschützter Werke vorzugehen. Betroffene Plattformen müssen solche Angebote dann "ohne unangemessene Verzögerung" sperren oder blockieren und bei schweren Straftaten zudem der Polizei melden.

Die Bestimmungen beziehen sich auch auf schädliche Inhalte wie Desinformation. Darauf zielen vor allem Auflagen für Empfehlungssysteme ab, die Plattformen etwa in ihren News-Feeds verwenden. Mit dem DSA müssen sie die Funktionsweise der dafür genutzten Algorithmen in groben Zügen transparent machen.

Alle erfassten Online-Dienste müssen eine Kontaktstelle beziehungsweise einen Rechtsvertreter in der EU benennen. Das gilt auch für Messenger-Services wie Telegram, mit dessen Erreichbarkeit sich die deutsche Politik und Justiz derzeit schwertut. Niemand soll so in Europa auf dem Markt agieren können, ohne sich an europäisches Recht zu halten.

Dazu kommen unter anderem neue Pflichten zur Rückverfolgbarkeit gewerblicher Nutzer auf Online-Marktplätzen. Alle Händler müssen identifiziert werden, während die Anonymität der privaten Nutzer gewahrt bleiben soll. Online-Marktplätze müssen Datenbanken auch Dritter stichprobenartig auf illegale Produkte abfragen und "zumutbare Anstrengungen" unternehmen, um die Rückverfolgbarkeit der Händler sicherzustellen.

Was ist der Unterschied zum NetzDG?

Nach dem deutlich weniger breit ausgerichteten NetzDG müssen Betreiber großer Plattformen für nutzergenerierte Inhalte offensichtlich strafbare Beiträge, die ihnen beispielsweise User melden, innerhalb von 24 Stunden löschen. Die Entscheidung über komplexe Fälle, bei denen die potenzielle Rechtswidrigkeit schwer zu bewerten ist, können Anbieter seit zwei Jahren aber auch zunächst an die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter (FSM) weiterleiten. Das dort angesiedelte Expertengremium muss sich vor allem mit Beleidigung und Agitation auseinandersetzen. Wenn die Vorschriften aus dem DSA spätestens Anfang 2024 greifen, haben sie in ähnlich gelagerten Bereichen direkt Vorrang gegenüber dem NetzDG.

Welche Sonderregeln gelten für Big-Big-Tech?

Sehr große Plattformen und Suchmaschinen gelten als relevant für die öffentliche Meinungsbildung und so auch für die Demokratie. Artikel 26 verpflichtet sie daher zu jährlichen Bewertungen der Risiken, die auf ihr Design einschließlich ihrer algorithmischen Systeme und ihrer Funktionsweise sowie auf die Nutzung ihrer Dienstleistungen für Grundrechte, Menschenwürde, Datenschutz, Meinungs- und Medienvielfalt, Diskriminierungsverbot, Jugendschutz und Verbraucherschutz zurückgehen. Eventuelle negative Auswirkungen der Services für den öffentlichen Diskurs und Wahlen, für geschlechtsspezifische Gewalt sowie für das mentale und physische Wohlergehen der Nutzer müssen von den Betreibern analysiert werden. Artikel 27 verpflichtet sie, die identifizierten Gefahren auch zu beheben.

Die Kommission und Vertreter der Mitgliedstaaten sollen auch "Zugang" zu den Algorithmen sehr großer Online-Plattformen haben. Wie weit dieser gehen soll? Noch unklar. Veröffentlichen müssen werden Facebook & Co. ihre einschlägigen Programmroutinen wohl kaum, da sie hier immer wieder Geschäftsgeheimnisse ins Feld führten. Forscher und zivilgesellschaftliche Organisationen sollen aber Zugang zu Informationen wie Trainingsdaten bekommen, um eine unabhängige Kontrolle zu ermöglichen und zu verstehen, wie diese Mega-Plattformen funktionieren.

Im Fall von Krisen wie Kriegen und Pandemien, von denen eine Gefahr für die öffentliche Sicherheit oder die menschliche Gesundheit ausgeht, kann die Kommission sehr große Plattformen auffordern, dringende Bedrohungen auf ihren Portalen zu begrenzen. Diese spezifischen Maßnahmen sind auf drei Monate begrenzt.

Werden die Meinungsfreiheit und andere Grundrechte tatsächlich geschützt?

Hier gehen die Ansichten auseinander und die Vorzeichen weisen in unterschiedliche Richtungen. Allgemeine Geschäftsbedingungen (AGBs) und Gemeinschaftsstandards, die Regeln für die Moderation von Inhalten aufstellen, müssen in Zukunft laut Artikel 12 auf objektive und nicht-willkürliche Art und Weise angewendet werden. Das ist ein Pluspunkt. Eine ungleiche Behandlung gleicher Inhalte bei verschiedenen Nutzern wird damit rechtswidrig. Online-Dienste müssen ferner bei der Anwendung ihrer AGBs die Grundrechte ihrer User berücksichtigen.

Über den Umgang mit rechtswidrigen und schädlichen Inhalten müssen Betreiber in maschinenlesbaren Transparenzberichten jährlich Rechenschaft ablegen. Sehr große Plattformen müssen zudem offenlegen, wie viel Personal sie für diese Moderationstätigkeiten einsetzen und wie dieses geschult und unterstützt wird. Die mitverhandelnde Abgeordnete Geese freut sich: "Das ist ein starker grüner Erfolg."

Ihr Fraktionskollege Patrick Breyer von der Piratenpartei moniert dagegen: "Die freie Meinungsäußerung im Netz wird nicht vor fehleranfälligen Zensurmaschinen (Upload-Filter), willkürlicher Plattformzensur sowie grenzüberschreitenden Löschanordnungen aus illiberalen Mitgliedsstaaten ohne Richterbeschluss geschützt, sodass völlig legale Berichte und Informationen gelöscht werden können." Die Privatsphäre im Netz werde entgegen der Position des Parlaments weder durch ein Recht auf anonyme Internetnutzung noch durch eines auf Verschlüsselung oder ein Verbot von Vorratsdatenspeicherung aufrechterhalten. Industrie- und Regierungsinteressen hätten sich gegen digitale Bürgerrechte durchgesetzt.

Wird Werbe-Tracking nebst Ausspähen von Nutzern verboten?

Jein. Untersagt wird die Profilbildung zu Zwecken gezielter Werbung auf Basis besonders sensibler Daten etwa über die politische und sexuelle Orientierung, Gewerkschaftszugehörigkeit und Religion. Dies bezieht sich auf Plattformen mit Nutzerinhalten wie Facebook, Instagram oder eBay, nicht aber für Portale mit selbst erstelltem Content wie Nachrichtenseiten. Informationen über Minderjährige dürfen für personalisierte Reklame überhaupt nicht mehr verwendet werden.

Das Prinzip des Überwachungskapitalismus, wonach Plattformen umfassende Datenprofile über Personen erstellen, soll so etwas eingeschränkt werden. Die Volksvertreter wollten weitergehende "Do not Track"-Einstellungen im Browser gesetzlich verankern, konnten sich damit aber nicht durchsetzen.

Fallen die nervigen Cookie-Banner endlich weg?

Nein, aber sie könnten etwas "nutzerfreundlicher" werden. Derzeit drängen Webdesigner User mit Tricks wie "Dark Patterns" oft auf unfaire Art zu Entscheidungen. Bei Cookie-Bannern ist die Option für das Einwilligen etwa farblich deutlich unterlegt und direkt anklickbar, während für Opt-out mehrere Klicks nötig sind. Nutzer werden auch wiederholt belästigt, nachdem sie ihre Zustimmung in Tracking verweigert haben. Damit ist über ein Verbot im DSA Schluss: Schaltflächen müssen fair gestaltet sein, sodass Anwender künftig eine echte Wahl haben.

Leider sei der Text in der finalen Verhandlungsrunde aber abgeschwächt worden, bedauert Geese. Bereits von bestehender Verbraucher- und Datenschutzgesetzgebung abgedeckte Praktiken seien so nicht mehr in diesem Verbot enthalten. Laut Kontrolleuren muss bei Cookie-Bannern schon jetzt etwa anhand der Datenschutz-Grundverordnung (DSGVO) auch ein "Alles-ablehnen-Button" zum Standard werden.

Müssen sich Uploader bei Porno-Plattformen künftig ausweisen?

Das Parlament setzte sich für einen Artikel zum bildbasierten sexuellen Missbrauch auf Porno-Plattformen ein. Nutzer sollten Bilder, Videos oder Texte auf Erotik-Portalen wie Pornhub und xHamster erst hochladen dürfen, wenn sie beim Betreiber eine E-Mail-Adresse und Mobilfunknummer hinterlegt haben.

"Leider bleibt der DSA an dieser Stelle blind", bedauert Geese als Initiatorin des Vorschlags eine Niederlage an diesem Punkt. "Wir haben es nicht geschafft, wirksame Mittel zum Schutz vor geschlechtsspezifischer Gewalt im Internet zu verankern." Es gebe letztendlich auch keine eigene Klausel, die gegen Racheaktionen von Ex-Partnern mit Nacktbilder ("Revenge Porn") oder gegen heimlich gemachte Aufnahmen etwa auf Festivals schütze.

Welche Sanktionen drohen bei Verstößen und wer setzt sie durch?

Aufsichtsbehörden können Strafzahlungen in Höhe von bis zu sechs Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängen. Im Fall anhaltender Verstöße sind periodische Geldbußen in Höhe von bis zu sechs Prozent möglich. Regulierer können auch einstweilige Maßnahmen anordnen und Firmen auf bindende Selbstverpflichtungen einschwören. Sehr große Plattformen sollen über Gebühren an der finanziellen Last ihrer eigenen Aufsicht nach dem Verursacherprinzip mit bis zu 0,05 Prozent ihres weltweiten Jahresumsatzbeteiligt werden.

Die Kommission wird die zentrale Aufsicht über die speziell für sehr große Plattformen geltenden Vorschriften führen, um einen "Durchsetzungsstau" in einzelnen EU-Ländern zu verhindern. Ein Fehler wie bei der DSGVO soll so verhindert werden, wo Irland als Flaschenhals beim Verhängen von Sanktionen gilt.

Der neue Mechanismus soll das Herkunftslandprinzip beibehalten, wonach das Recht des Staates gilt, an dem ein Unternehmen seinen Hauptsitz in der EU hat. Die Landesmedienanstalten hatten zuvor gewarnt, der DSA drohe "ein bürokratisches Monstrum unter staatlicher Kontrolle zu kreieren". Das Prinzip der Staatsferne für die Medienaufsicht werde nicht eingehalten und bereits funktionierenden Kontrollorganen die Arbeit erschwert. Die neue Struktur sehe in zahlreichen Fällen die exekutive Gewalt unmittelbar bei der Kommission. Zudem bleibe unklar, welche grenzüberschreitenden Fälle künftig den umständlichen Weg über nationale Koordinatoren und den Koordinierungsausschuss aller 27 Mitgliedsstaaten gehen müssten.

(bme)