Was für Spiderman gilt, gilt bald auch für Facebook, Amazon und Pornhub: Aus großer Kraft folgt große Verantwortung. So ähnlich äußerte sich jedenfalls EU-Kommissionspräsidentin Ursula von der Leyen zum großen Internetregulierungsgesetz der Europäischen Union, dem Digital Services Act. Nach 16-stündigen Verhandlungen haben sich Unterhändler des Europaparlaments und der EU-Staaten am frühen Samstagmorgen in Brüssel auf das Gesetz über digitale Dienste (DSA) geeinigt, das für eine strengere Aufsicht von Onlineplattformen und mehr Schutz von Verbraucherinnen im Netz sorgen soll. Die Verabschiedung im Parlament gilt als Formsache. 

Der finale Text existiert noch nicht, an letzten Details wird im Hintergrund gearbeitet. Entsprechend sind auch noch nicht alle Einzelheiten bekannt. Tatsächlich gelten werden die Regeln auch nach Inkrafttreten erst nach einer Übergangsfrist. Eine politische Einigung aber ist nun erzielt. Damit ist nach harten und für EU-Verhältnisse schon beinahe hektischen Verhandlungen von gerade einmal anderthalb Jahren nun einigermaßen klar, was der Digital Services Act regeln soll.  

Alle Fragen im Überblick:

Was regelt der Digital Services Act?

Eine ganze Menge. Allgemein formuliert geht es um eine Reihe von Pflichten, die bestimmte Unternehmen erfüllen müssen. Sie müssen neue Regeln zu Cookie-Bannern und Onlinewerbung befolgen, illegale Inhalte löschen, mehr Transparenz über algorithmische Entscheidungen und ihren Effekt auf die Gesellschaft schaffen. Außerdem steht im DSA, wie die EU all die neuen Regeln durchsetzen will. Sie schafft demnach ein neues europäisches Gremium, das European Digital Services Board. Außerdem soll es in allen Mitgliedsstaaten sogenannte Digital Services Coordinators geben, die ebenfalls für die Durchsetzung der Regeln zuständig sind. 

Nach oben Link zum Beitrag

Macht der DSA das Internet zu einem besseren Ort?

Das ist jedenfalls das erklärte Ziel. Ein "Grundgesetz für das Internet" könne der DSA werden, sagte die EU-Parlamentarierin Alexandra Geese (Grüne) im Vorfeld der finalen Verhandlungen, an denen sie beteiligt war. Das Gesetz könne ein Werkzeug sein, das "Hass, Hetze und Desinformation ausbremst, die Rechte der Nutzerinnen und Nutzer stärkt und Onlineplattformen in die Pflicht nimmt wie noch nie" und "aus der EU heraus die Big-Tech-Revolution" auslöse, sagte sie. 

Um wirklich abzuschätzen, ob der DSA diese großen Versprechen einhält, ist es noch etwas zu früh. Wie solche Gesetze wirken, zeigt sich oft erst in der Praxis. Ein Beispiel dafür ist das Thema personalisierte Werbung (Details siehe unten): Zwar ist es nicht mehr erlaubt, die Daten Minderjähriger zu Werbezwecken auszuwerten. Wie die Unternehmen sicherstellen wollen, dass sie nur noch die Volljährige tracken, werden sie aber noch beantworten müssen. Und ob diese Mechanismen dann ausreichen, müssen möglicherweise erst Gerichte klären.

Sicher ist: Der DSA enthält einige Punkte, gegen die betroffene Unternehmen heftig lobbyiert haben, zum Beispiel besagte Regelungen zu Werbetracking. Einige der tendenziell strengeren Regeln, die das EU-Parlament Anfang des Jahres vorgeschlagen hatte, haben es offenbar in den finalen Text geschafft. 

Während der Verhandlungen waren viele Nichtregierungsorganisationen (NGO) optimistisch, dass der DSA eine wirksame Regulierung werden könnte. Zuletzt kippte die Stimmung allerdings etwas. Einige Organisationen monierten, dass die Kommission kurz vor Ende noch neue Ideen in die Verhandlungen einbrachte. Und Patrick Breyer, EU-Abgeordneter der Piraten, der an den Verhandlungen beteiligt war, zeigte sich am Samstag enttäuscht: "Industrie- und Regierungsinteressen setzen sich weitestgehend gegen digitale Bürgerrechte durch", schrieb er

Nach oben Link zum Beitrag

Für wen gilt das Gesetz?

An die Regeln im DSA müssen sich alle Unternehmen halten, die digitale Dienste in der EU anbieten. Allgemein formuliert – und das muss es in einem Gesetzestext nun einmal sein – bestehen solche Dienste im Wesentlichen darin, Daten zu übertragen und zu speichern. Konkret betrifft das Gesetz also zum Beispiel Internetprovider, Hostinganbieter, Clouddienste, soziale Netzwerke, Messenger und Onlinemarktplätze. 

Der DSA unterscheidet allerdings zwischen verschiedenen Arten von Diensten, nicht alle Regeln gelten für alle Unternehmen gleichermaßen. Diese Unterscheidung verläuft im Wesentlichen entlang der Frage, was ein Unternehmen mit den ihm anvertrauten Daten macht. Alle betroffenen Unternehmen übermitteln Daten, das sind die Vermittlungsdienste. Manche speichern sie auch, das macht sie zu Hostingdiensten. Dazu zählen zum Beispiel Anbieter von Cloudspeichern. Manche Unternehmen beschränken sich nicht aufs Speichern, sondern bereiten die Daten auf, verbreiten sie und wählen dabei möglicherweise aus, was sie wem zeigen. Dann werden sie laut DSA zu Plattformen. Das können zum Beispiel soziale Netzwerke sein, App-Stores oder Onlinemarktplätze (Artikel 2 in den Verhandlungsfassungen).

Für Plattformen gelten mehr Regeln als für Hostinganbieter. Die strengsten Regeln müssen dabei "sehr große Plattformen" einhalten. Das sind Unternehmen, die mehr als 45 Millionen monatliche Nutzerinnen und Nutzer haben, das heißt, mehr als zehn Prozent Menschen in der EU erreichen (Artikel 25). Es gibt noch keine offizielle Liste der Dienste, die darunter fallen. Klar ist, dass Plattformen wie Facebook und Instagram davon betroffen sein dürften, die Rede ist auch immer wieder von Angeboten wie Pornhub und Ebay Marketplace. 

Nach oben Link zum Beitrag

Werden wir durch den DSA weniger getrackt?

Das kann gut sein, denn er enthält neue Regeln für Onlinewerbung. Werbebanner in Handyspielen, gesponserte Posts bei Instagram, Das-könnte-Sie-auch-interessieren-Vorschläge bei Amazon: Dafür werten Konzerne wie Meta und Alphabet, aber auch kleinere Unternehmen aus, worauf wir klicken, was wir kaufen, mit welchen Inhalten wir interagieren. Kombiniert wird das mit persönlichen Informationen, zum Beispiel dem Alter oder dem Wohnort. Werbetreibende können dann auswählen, wen sie mit ihren Anzeigen erreichen wollen. Die Insta-Werbung für Halsketten aus recycelten Plastikflaschen geht beispielsweise an Mitte-30-jährige Großstädterinnen, die sich für nachhaltige Mode interessieren. Der YouTube-Spot für bunt beleuchtete Tastaturen wohl eher an 15-jährige Gamer, die gerne Energydrinks trinken.

Zumindest Letzteres ist mit dem DSA nicht mehr erlaubt. Artikel 24 des DSA verbietet zielgerichtete Werbung, für die die Daten von Minderjährigen ausgewertet werden. Bei Erwachsenen darf künftig keine Werbung mehr auf Basis von sensiblen Daten ausgespielt werden, das sind zum Beispiel Gesundheitsdaten und alle Informationen, die auf die sexuelle Orientierung, die politische Meinung oder die religiöse Überzeugung schließen lassen.

Darum ist bis zuletzt gerungen worden. Es heißt, die Lobbyanstrengungen der großen Techkonzerne gegen diesen Artikel waren besonders heftig. Eine Gruppe EU-Abgeordneter, die sich die Tracking-free Ads Coalition nannte, wollte ursprünglich einmal erreichen, dass personalisierte Werbung ganz verboten wird. Dass das nicht durchsetzbar sein würde, zeichnete sich frühzeitig ab. Vielen gilt die nun getroffene Regelung dennoch als Erfolg. Patrick Breyer allerdings beklagte, die Regelungen seien kurz vor Schluss noch "verwässert" worden.  

Nach oben Link zum Beitrag

Muss Facebook seinen Algorithmus offenlegen?

In Artikel 31 der Verhandlungsfassungen ist geregelt, dass sowohl die EU-Kommission als auch Wissenschaftlerinnen "Zugang zu Daten" großer Plattformen bekommen sollen. Das heißt wohl eher nicht, dass Facebook den kompletten Code offenlegen muss. Stattdessen sollen "überprüfte" Institutionen Zugang bekommen. Zuletzt wurde noch darum gestritten, ob das nur für Wissenschaftler gilt oder auch für Nichtregierungsorganisationen. Ob sie explizit genannt sein werden, ist nach wie vor nicht klar, genau wie einige Details der Formulierung. 

Mehr Transparenz fordern Forscherinnen und Aktivisten schon lange. Die Argumentation: Nur so kann man herausfinden, auf welcher Basis entschieden wird, welche Inhalte wir auf Plattformen wie Facebook, YouTube oder TikTok zu sehen bekommen. Bevorzugt zum Beispiel Instagram Fotos mit nackter Haut? Belege dafür fand die Organisation AlgorithmWatch im Jahr 2020. Forschende analysierten die Instagram-Feeds einiger Freiwilliger mit einem Browser-Plugin. "Ohne Zugriff auf die Daten können wir nur das Ergebnis des Algorithmus' sehen und müssen bis zu einem gewissen Grad spekulieren, wie er tatsächlich funktioniert", sagt John Albert von AlgorithmWatch. Das werde durch den DSA möglicherweise besser. "So könnten wir das ganze Bild zu sehen bekommen", sagt er. 

Noch ist unklar, inwieweit sich Konzerne auf ihr Geschäftsgeheimnis berufen können, um den Zugriff auf bestimmte Daten zu verhindern. Dass sie sich allzu bereitwillig in den Algorithmus oder auch nur die Gewichtung ihrer Inhalte schauen lassen, ist jedenfalls unwahrscheinlich. AlgorithmWatch sah sich vergangenes Jahr nach Druck von Facebook gezwungen, das Forschungsprojekt zu beenden. Die Datenauswertung verstoße gegen die Nutzungsbedingungen von Facebook, so die Begründung des Konzerns. "Es ist nicht klar, ob der DSA in Bezug auf solche Datenspendep-Projekte Klarheit schaffen wird", sagt Albert.

Nach oben Link zum Beitrag

Gibt es bald wirklich weniger Hass und Hetze im Internet?

Das ist zumindest fraglich. Der DSA werde "dafür sorgen, dass das, was offline illegal ist, auch online als illegal angesehen und so behandelt wird", sagte die EU-Kommissarin für Digitales, Margrethe Vestager, nach der Einigung. Illegal, das könnten zum Beispiel gefälschte Produkte sein, die auf einer Handelsplattform verkauft werden. Vor allem aber bezieht es sich auf Inhalte, die Menschen in sozialen Netzwerken posten, zum Beispiel Aufrufe zu Gewalt oder Volksverhetzung. Natürlich verschwinden solche Inhalte nicht auf magische Weise durch ein Gesetz. Immerhin will die EU aber klarer regeln, wie Plattformen mit ihnen umgehen müssen. 

Artikel 8 der Verhandlungsfassungen zum Beispiel verpflichtet Unternehmen, auf Anweisung eines EU-Mitgliedstaates illegale Inhalte zu löschen. Außerdem müssen die Plattformen reagieren, wenn ihnen illegale Inhalte von Nutzerinnen und Nutzern gemeldet werden (Artikel 14) und es muss einfache Möglichkeiten geben, das zu tun. Gleichzeitig sollen sich Nutzerinnen auf gesonderte Regeln berufen können, wenn sie den Eindruck haben, dass etwas gelöscht wurde, was nicht hätte gelöscht werden sollen. 

Umstritten daran war vor allem, wie streng die Regeln sind. Dabei muss man abwägen: Wenn Plattformen sehr kurze Fristen bekommen, illegale Inhalte zu löschen, oder direkt für jede illegale Äußerung haftbar gemacht werden, dann löschen sie lieber zu viel als zu wenig. Möglicherweise müssten sie dann die Inhalte automatisiert überprüfen, mit sogenannten Uploadfiltern. Weil solche Systeme häufig den Kontext eines Inhalts nicht richtig verstehen, lehnen viele Netzaktivisten sie strikt ab. In der Debatte um das Urheberrecht gab es riesige Proteste dagegen. Offenbar mit Erfolg: Zumindest im Vorschlag der EU-Parlaments schließt der DSA Uploadfilter explizit aus. In Artikel 7 heißt es, die Provider "sind weder de jure noch de facto verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen mit automatischen oder nicht automatischen Mitteln zu überwachen". Ob es diese Formulierung in den finalen Text geschafft hat, ist noch nicht klar. Der Journalist Markus Beckedahl kritisiert, dass Uploadfilter nicht explizit verboten wurden

Die Organisation HateAid, die sich gegen Hass im Netz einsetzt, ist skeptisch, dass der DSA eine echte Verbesserung für Betroffene bedeutet. Nicht zuletzt, weil es in Deutschland bereits ein Gesetz gibt, das ähnliche Ziele hat: das Netzwerkdurchsetzungsgesetz (NetzDG). "Wir müssen damit rechnen, dass wir auf großen Plattformen hinter den Schutzstandard des NetzDG zurückfallen", sagt Josephine Ballon, Rechtsanwältin bei HateAid, im Gespräch mit ZEIT ONLINE. Und auch das NetzDG habe das Problem nicht effektiv lösen können. Positiv sei, dass die Regelungen des DSA anders als das Netz auch kleinere Plattformen betreffen und dass in manchen europäischen Ländern nun erstmals belastbare Regeln zum Thema gelten. Dennoch hätte sie sich zum Beispiel gewünscht, dass die EU die Plattformen verpflichtet hätte, Kontaktmöglichkeiten in allen Mitgliedsstaaten für von Hassbotschaften Betroffene einzurichten. Auch für feste Löschfristen hatte sich HateAid eingesetzt.  

Ein grundsätzliches Problem, das schon das NetzDG nicht lösen konnte, dürfte wohl bleiben: Wie wird entschieden, was "illegale Inhalte" sind? Letztendlich müssen das Gerichte klären. Weil das aber dauert, müssen zunächst Plattformen entscheiden, was zulässig ist und was nicht. Einen Ausweg aus diesem grundsätzlichen Dilemma weist auch der DSA nicht. Immerhin müssen Plattformen in Zukunft transparenter machen, nach welchen Kriterien sie Inhalte empfehlen und sortieren. "Dies wird sich auf aufmerksamkeitsbasiertes Ranking auswirken, das den Konzernen mit Desinformation, Hass und Hetze die Taschen vollmacht", sagte die Grünenabgeordnete Alexandra Geese.

Nach oben Link zum Beitrag

Verschwinden die Cookie-Banner?

Dass sie verschwinden, ist sehr unwahrscheinlich. Selbst wenn weniger getrackt wird, wird es weiterhin Cookies geben. Aber immerhin: Es soll einfacher werden, sie abzulehnen. Dass User dazu gedrängt werden, Cookies oder anderen Dingen zuzustimmen, indem zum Beispiel der Button Zustimmen leuchtend hervorgehoben ist, während die Ablehnen-Option noch einen weiteren Klick entfernt ist, wird verboten. 

Solche sogenannten Dark Patterns, wörtlich übersetzt: "dunkle Muster", die es verhindern, dass Nutzerinnen "eine freie, autonome und informierte Entscheidung" treffen können, sollen laut bisherigem Artikel 13a untersagt werden. Bedeuten könnte das, dass Webseitenbetreiber nicht eine von mehreren Optionen prominenter darstellen dürfen als die anderen. Und wenn eine Nutzerin einmal abgelehnt hat, dass ihre Daten verarbeitet werden, dann könnte es nicht erlaubt sein, ständig nachzufragen, ob sie nicht vielleicht doch noch zustimmen will. So stand es jedenfalls in der Entwurfsversion des Parlaments. Laut dem Europaparlamentarier Patrick Breyer hat es zwar das Verbot ins Gesetz geschafft, nicht aber die Liste mit konkreten Praktiken.*

Nach oben Link zum Beitrag

Braucht es künftig keine Whistleblowerinnen mehr?

Begünstigt Instagram Essstörungen bei Jugendlichen? Hinweise darauf fand der Mutterkonzern Facebook. Öffentlich gemacht hat er die interne Untersuchung nicht, die Information kam erst durch eine ehemalige Mitarbeiterin, Frances Haugen, an die Öffentlichkeit. Ihre Enthüllungen zeigten: Techkonzerne wissen um die Probleme, die von ihren Plattformen ausgehen können, und mitunter kennen sie sogar Wege, diese Probleme zu lösen. Haugens zentraler Kritikpunkt ist, dass Techbosse wie Mark Zuckerberg solche Erkenntnisse ignorierten, "weil das heutige System profitabler ist", wie sie sagt. 

Nun verpflichtet der DSA die Plattformen, solche Untersuchungen nicht nur anzustellen, sondern auch zu veröffentlichen. In Artikel 26 wird geregelt, dass große Plattformen mindestens einmal im Jahr analysieren müssen, wie sich ihre Dienste auf die Öffentlichkeit auswirken. Kann Twitter eine Wahl beeinflussen? Ist YouTube schuld daran, dass Menschen sich in Verschwörungserzählungen verlieren? Wie einfach ist es, gefälschte Produkte über Amazon zu verkaufen? Solche Fragen könnten darunter fallen. Die Risikoanalysen sollen von externen Experten überprüft werden.

Zuletzt kam noch hinzu, dass die EU-Kommission in Einzelfällen auch außerhalb des Turnus verlangen kann, dass die Unternehmen bestimmte Risiken analysieren. Ein Beispiel könnte der Krieg in der Ukraine sein: Die Situation in der Welt hat sich verändert, welche Rolle spielen dabei eigentlich soziale Netzwerke? Über diese Frage müssten Journalistinnen und Beobachter dann nicht mehr alleine spekulieren, die Plattformen müssen selbst versuchen, sie zu beantworten. 

Allerdings wird dieser Teil des DSA auch kritisiert. Der Mechanismus sei eine "zu weitgehende Ermächtigung der Europäischen Kommission, einseitig einen EU-weiten Notstand auszurufen", schrieben eine Reihe von Bürgerrechtsorganisationen im Vorfeld

* Hinweis: In einer früheren Fassung dieses Textes hieß es, der Vorschlag des Europaparlaments zu Dark Patterns habe es offenbar in den finalen Gesetzestext geschafft. Der an den Verhandlungen beteiligten Abgeordnete Patrick Breyer hat uns darauf hingewiesen, dass das nur teilweise der Fall ist. Wir haben die Passage entsprechend geändert.

Nach oben Link zum Beitrag