Digital Services Act: "Total krasses Vorhaben"
Regelwerke der EU sind nie eine packende Lektüre. Dabei geht es bei dem geplanten "Digital Services Act" um viel: die Bekämpfung der Hasskriminalität in Internetforen und Sozialen Netzwerken, den Schutz der Privatsphäre und den Umgang der Digital-Konzerne mit ihrer Datenmacht. Das Gesetz soll "Regeln für ein sicheres, vorhersehbares und vertrauenswürdiges Online-Umfeld" schaffen, "in dem die in der Charta verankerten Grundrechte wirksam geschützt sind". Die EU arbeitet an einer digitalen Welt, in der sich alle frei und sicher bewegen können. Klingt nach einem großartigen Projekt. Aber löst der "Digital Services Act" dieses Versprechen auch ganz konkret ein?
"Schweizer Taschenmesser" für die Kriminalitätsbekämpfung
Immerhin im Bereich der Kriminalitätsbekämpfung habe die EU schon jetzt Großes geleistet, findet Matthias Kettemann, Rechtsprofessor an der Universität Innsbruck: Die deutschen Gesetze zur Bekämpfung illegaler Inhalte, allen voran das "Netzwerkdurchsetzungsgesetz" (NetzDG), nähmen sich aus wie ein "Zahnstocher" im Vergleich zu dem "Schweizer Taschenmesser", das die EU da vorlege.
VIDEO: Morddrohungen auf Telegram: Regulieren per Gesetz? (11 Min)
Dieses Gesetz schreibe den Konzernen nicht nur vor, so Kettemann, üble Morddrohungen und Aufrufe zum Umsturz umgehend zu löschen und an die Behörden zu melden - sondern auch alle Arten illegaler Aktivitäten. Von Drogenverkäufen bis zum Waffenhandel. Positiv sei auch der Verzicht auf Löschfristen, findet Julia Reda von der Gesellschaft für Freiheitsrechte: Nur bei eindeutigen Äußerungen und Aktivitäten müssten die Konzerne sofort löschen. Ansonsten sollen sie die Entscheidungen der Gerichte abwarten.
Empfindliche Geldstrafen, politischer Druck
Alles Regelungen, an die sich aus Sicht von Expert*innen die Konzerne wahrscheinlich halten werden. Denn da sind zum einen die saftigen Sanktionen, die der DSA vorsieht: Die EU droht Konzernen, die ihre Netzwerke nicht entsprechend regulieren, hohe Geldstrafen an. Letzte Details seien noch in Ausarbeitung, so Kettemann, "aber nach aktuellen Berichten sind sehr hohe Strafen vorgesehen, die bis zu 20 Prozent des weltweiten Jahresumsatzes und - letztlich - auch hin zur Aufspaltung und Zerschlagung von Plattformen führen können".
Zum anderen werde auch der politische Druck, der mit einem solchen Gesetzespaket einher geht, über kurz oder lang Wirkung entfalten, glaubt Constanze Kurz vom Chaos Computer Club (CCC). Selbst auf Unternehmen, die sich bislang Regulierungen entziehen: "Wenn Telegram irgendwann Geld verdienen will", etwa indem es Werbung von EU-Unternehmen schaltet, "können die sich schwerlich den europäischen Gesetzen entziehen".
Schutz der Privatsphäre rutscht in den Hintergrund
Große Sorgen macht vielen Datenschützer*innen hingegen ein anderes Grundrecht, das in dem aktuell großen Bedürfnis nach Sicherheit im Netz gerade ziemlich in den Hintergrund rutscht: der Schutz der Privatsphäre. Die Vorlage der EU sei "nicht so ambitioniert, wie sie es hätte sein können", findet Reda von der Gesellschaft für Freiheitsrechte (GFF). Was im Gesetz stehe, so auch Kurz vom CCC, könne "nur ein Anfang" sein. Patrick Breyer, Europaabgeordneter der Piratenpartei, formuliert es noch drastischer: "Gegen illegale und unerwünschte Inhalte im Netz anzukämpfen, hat für viele oberste Priorität, auch wenn oft nur eine Verdrängung in andere Kanäle erreicht wird und immense Kollateralschäden für unsere offene Gesellschaft drohen."
So gelang es erst in der allerletzten Nachtsitzung vor der finalen Abstimmung am 20. Januar, noch eine der zentralen Forderungen der Datenschützer in den Entwurf zu schreiben: Nämlich, dass die Unternehmen ihre Dienste auch anonymen Nutzern zur Verfügung stellen müssen. Laut einer aktuellen Umfrage des Meinungsforschungsinstitutes YouGov wünschen sich immerhin mehr als 60 Prozent der EU-Bürger ein solches "Recht auf Anonymität".
Wird der Datenschutz geopfert?
Noch mehr irritiert der Artikel 9 ("Auskunftsanordnungen"): Hier ist in 20 Zeilen geregelt, wie Konzerne den nationalen Behörden die Daten ihrer Nutzer*innen zur Verfügung stellen sollen, und vor allem auch, wie viele Daten. In Absatz 2 heißt es dazu: "Der Diensteanbieter" sei "nur zur Bereitstellung von Informationen" verpflichtet, "die er ohnehin bereits für die Zwecke der Erbringung des Dienstes erfasst hat". Da Konzerne bekanntlich sehr viele Daten sammeln, dürfte da eine ganze Menge zusammenkommen.
Breyer von den europäischen Piraten fasst den Gesetzesvorschlag deshalb auch so zusammen: "Ganz konkret bedeutet das, dass Behörden ohne richterlichen Beschluss Surfprotokolle anfordern dürfen." Das komme einer "Überwachung auf Schritt und Tritt" gleich, findet Breyer. Auch Kurz vom CCC ist entsetzt: Das sei "ein total krasses Vorhaben": "Jetzt haben wir zehn Jahre über Datenschutz diskutiert - und dann sowas?"
Natürlich gelte diese Regelung in der Form nicht für Staaten wie Deutschland, deren Gesetze in einem solchen Fall einen Richterbeschluss vorsehen, so Breyer: "Aber was ist mit den Bürgerinnen und Bürgern in Ländern wie Polen oder Ungarn?" Also in Ländern, wo Bürgerrechte - vorsichtig formuliert - derzeit nicht gerade großgeschrieben werden. Überdies sei auch noch unklar, fährt Breyer fort, ob bspw. polnische Behörden nicht auch die Surfprotokolle von deutschen Nutzer*innen anfordern dürften.
Heiße Phase des Gesetzgebungsverfahrens
Breyer ist im "Ausschuss für Bürgerliche Freiheiten" des Europaparlaments für den Digital Services Act (DSA) zuständig: Das Gremium hat unter seiner Federführung einen entsprechenden Änderungsantrag eingebracht, damit auch laut EU-Gesetz ein richterlicher Beschuss nötig ist. Doch damit haben sie sich bei der Abstimmung im EU-Parlament nicht durchgesetzt.
Die Erwartungen sind auch bei Constanze Kurz vom CCC eher gemischt. Man müsse das jetzt erst mal sagen, "alle wollen hier gemeinsam etwas tun". Wenn es tatsächlich zu einer harten Regulierung der Tech-Konzerne komme, sei das wirklich "ein Meilenstein". Aber, so schränkt sie ein, sie sei jetzt sehr gespannt auf "die kommende Diskussion".
Jetzt geht das Gesetzgebungsverfahren erst richtig in die heiße Phase.Denn jetzt beginnt der "Trilog". So heißt der Prozess, in dem sich die großen europäischen Institutionen - Parlament, Kommission und Rat - auf ein finales Papier einigen. Geht es nach dem Vorsitzenden des Rates der EU, dem französischen Präsidenten Emmanuel Macron, soll das noch in seiner Amtszeit geschehen. Die geht bis zum 30. Juni 2022. Sechs Monate, in denen es aus Sicht von Datenschützer*innen allerdings noch eine ganze Menge zu tun gibt.
