Digital Services Act: Zwang zum Löschen für ein sicheres Internet

Mit dem Digital Services Act zwingt die EU Onlineplattformen, illegale Inhalte schnell zu löschen. Außerdem sollen Google & Co. für die EU-Überwachung zahlen.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 30 Beiträge

(Bild: Cristian Storto/Shutterstock.com)

Von
  • Holger Bleich

Es ist vollbracht: Nach dem Digital Markets Act hat die Europäische Union nun auch dessen Zwillingsgesetz, den Digital Services Act (DSA), unter Dach und Fach bekommen. Im sogenannten Trilogverfahren hatten sich am 22. April Vertreter des EU-Parlaments mit denen der Mitgliedsstaaten unter Moderation der EU-Kommission zusammengesetzt. Nachts um 3 Uhr – nach 16 Stunden Verhandlung – vermeldeten sie, in allen strittigen Punkten Kompromisse geschlossen zu haben.

Die Akteure müssen sich fragen lassen, ob es eine gute Idee war, den von der EU-Kommission als neues "Online-Grundgesetz“ gefeierten DSA in einem intransparenten Verfahren nachts hinter verschlossenen Türen auszuverhandeln. Die endgültige Fassung des Gesetzestextes lässt sich bislang noch nicht beurteilen, weil sie erst in einigen Wochen niedergeschrieben und juristisch geprüft sein wird.

Bis tief in die Nacht verhandelten die EU-Institutionen im Trilogverfahren hinter verschlossenen Türen über den DSA-Kompromiss.

(Bild: EU-Kommission)

Während der DMA für offene Märkte im Digitalen sorgen soll, wird der DSA Produkte und Inhalte regulieren. Er wird die mehr als 20 Jahre alte E-Commerce-Richtlinie ersetzen. An deren Kern rührt er nicht, das sogenannte Haftungsprivileg bleibt bestehen: Onlinedienste – seien es Zugangsanbieter, Domain-Registries, Hoster, Suchmaschinen oder soziale Medien – müssen Inhalte erst dann auf ihre Rechtmäßigkeit prüfen, wenn sie im Einzelfall von möglichen Rechtsverstößen wissen. Eine Pflicht zur Vorabprüfung (Upload-Filter) kommt nicht, wie Artikel 7 klarstellt.

Mehr von c't Magazin Mehr von c't Magazin

Der DSA soll dafür sorgen, dass illegale Inhalte möglichst schnell verschwinden. Dabei kann es sich um strafrechtlich relevante Inhalte handeln, in Deutschland also beispielsweise um ein breites Spektrum, angefangen bei Beleidigungen über Volksverhetzung bis zum Aufruf zum Terror. Anders als oft in Medienberichten zum DSA und von der EU-Kommission selbst dargestellt, fallen darunter keine hassgetränkten Meinungsäußerungen, solange sie sich im erlaubten Bereich bewegen. Es ist also schlicht falsch, wenn von einem "EU-Gesetz gegen Hass und Hetze“ gesprochen wird.

Onlineplattformen – das kleine Webforum ebenso wie Twitter oder Facebook – müssen mit einem vom DSA vorgegebenen Meldeverfahren Hinweise ermöglichen, "unverzüglich“ prüfen und gegebenenfalls sperren. Sie dürfen "vertrauenswürdigen Hinweisgebern“, also etwa Factchecking-Organisationen, erweiterte Melderechte zuweisen. Umgekehrt sollen normierte Beschwerdeverfahren und externe Streitschlichtungsverfahren Nutzerrechte erweitern. Nutzer können sich dem DSA-Kompromiss zufolge künftig besser gegen unrechtmäßige Inhalts- und Account-Sperren wehren.

Die EU-Kommission hat schon im ersten Entwurf des DSA vom Dezember 2020 auf eine Schwäche der Datenschutz-Grundverordnung (DSGVO) reagiert: Während diese einheitliche Regeln festsetzte, gelten im DSA für User-Content-Plattformen andere Vorschriften als für Durchleitungsdienste, für sehr große Marktteilnehmer schärfere Maßnahmen als für kleine. Sogenannte "Very Large Online Platforms“ (VLOPs) – Anbieter mit mehr als 45 Millionen Nutzern innerhalb der EU – müssen anders als Hobbyisten-Blogs beispielsweise offenlegen, wie viel Personal sie für Inhaltsprüfungen einsetzen, und dies in jährlichen Transparenzberichten darstellen.

Außerdem gilt für sie im DSA ein risikobasierter Ansatz, ähnlich wie in der DSGVO: Gemäß Artikel 26 werden VLOPs verpflichtet, jährlich selbst die Gefahren zu bewerten, die ihre Plattformen für Gesellschaft und demokratische Willensbildung darstellen. Dabei sollen sie nicht nur die gemeldeten Inhalte, sondern über Prüfberichte von Externen auch das Design der Plattform sowie die Wirkungsweise von Algorithmen in die Risikobewertung einbeziehen. Die erkannten Gefahren sollen sie umgehend beseitigen.

In Artikel 27a des DSA findet sich überdies ein zeitlich befristeter Krisenmodus, mit dem die EU-Kommission sofortige Risikoanalysen und scharfe Maßnahmen für maximal drei Monate anordnen kann. Er greift bei Gefährdung der öffentlichen Sicherheit oder der öffentlichen Gesundheit. Es ist unschwer zu erkennen, dass die Verhandler hier konkret den Ukrainekrieg und Desinformationskampagnen während der Coronapandemie im Kopf hatten.

Schwer haben sie sich dem Vernehmen nach mit der geplanten Regulierung von Empfehlungsalgorithmen getan. Eine vom EU-Parlament geforderte Option für Nutzer, ihre Timeline nicht mehr algorithmisch von Plattformen sortieren zu lassen, hat es nicht in die finale DSA-Fassung geschafft. VLOPs müssen immerhin anbieten, Empfehlungen nicht mehr beruhend auf Profilbildung oder Verhaltensbeobachtung hin auszurichten. Außerdem sollen sie ihren Kunden leicht verständlich erläutern, wie Empfehlungen ihrer Algorithmen zustande kommen.

Obwohl die großen US-Konzerne heftig dagegen lobbyiert haben (siehe Grafik), werden sie wohl Einblicke in ihre Geschäftsgeheimnisse ermöglichen müssen. Artikel 31 des DSA soll der EU-Kommission sowie akkreditierten Wissenschaftlern Zugriff auf Daten und Algorithmen der großen Plattformen gewähren. Ob hier auch Quellcode-Analyse gemeint ist, wird erst der finale Gesetzestext klären. Auch ob – wie vom EU-Parlament gefordert – NGOs wie AlgorithmWatch Zugang erhalten werden, ist bislang offen.

Ins Regulierungswirrwarr hinsichtlich personalisierter Werbung greift nun außer der DSGVO (und der noch zu verhandelnden E-Privacy-Verordnung) auch der DSA ein. Gemäß Artikel 24 verbietet er, dass Werbetreibende sensible Daten wie politische oder sexuelle Orientierung zu Targeting-Zwecken erfassen und auswerten. Eine Option für Bürger, Tracking-Verfahren über technische Signale, etwa den Do-Not-Track-Mechanismus, abzulehnen, hat es zum Unmut von Bürgerrechtlern nicht in die finale DSA-Fassung geschafft.

Immerhin verbietet das Gesetz die Profilbildung bei Minderjährigen generell. Unklar ist allerdings bislang, wie Plattformen rechtssicher feststellen sollen, welches Alter ihre Nutzer haben. Der Bundesverband Digitale Wirtschaft (BVDW) will aus einer Pressemitteilung des EU-Rates herausgelesen haben, "dass ein Verbot datenbasierter Werbung im Hinblick auf Minderjährige nur gelten soll, wenn die Betreiber von Onlineplattformen positive Kenntnis davon haben, dass die Nutzung des Angebotes durch ein Kind oder einen Jugendlichen erfolgt“. Daraus spricht die Hoffnung der Anbieter, dass der DSA keine Verpflichtung zur Altersvalidierung enthält.

Auch die Manipulation von Nutzerentscheidungen mit Design-Tricks, den "Dark Patterns“, soll der DSA einschränken. Allerdings seien "die Vorschläge des EU-Parlaments zum Nachteil der Verbraucher:innen nur in abgeschwächter Form übernommen“ worden, kritisiert der Verbraucherzentrale Bundesverband vzbv. Offenbar bleibt der DSA im Allgemeinen – eine konkrete Liste von zu verbietenden Praktiken, wie sie das Parlament einbrachte, wurde vom Rat herausverhandelt.

Verbraucherschutzorganisationen wie der vzbv zeigten sich außerdem enttäuscht zum DSA-Kapitel über Online-Marktplätze. Statt regelmäßig mit Testkäufen ihre Händler überprüfen zu müssen, sollen sich Online-Riesen wie Amazon lediglich stichprobenweise die Angebote ansehen und die Stammdaten der Händler validieren. "Dass Betreiber von Online-Marktplätzen bei Sorgfaltspflichtverletzungen weiterhin nicht haftbar gemacht werden können, ist ein Manko des europäischen Verhandlungsergebnisses“, konstatiert der vzbv.

Die Strafen bei Verstößen gegen den DSA werden niedriger ausfallen als etwa beim DMA oder der DSGVO: Geldbußen in Höhe von bis zu sechs Prozent des weltweiten Jahresumsatzes eines Unternehmens sieht die Verordnung vor. Im Fall anhaltender Verstöße sind sie auch periodisch möglich. Bei anhaltenden systemischen Verstößen kommt auch ein vorübergehendes Verbot des Angebotes infrage. VLOPs sollen über Gebühren an der finanziellen Last ihrer eigenen Aufsicht nach dem Verursacherprinzip mit bis zu 0,05 Prozent ihres weltweiten Jahresumsatzes beteiligt werden.

Bei Aufsicht und Rechtsdurchsetzung hat die EU-Kommission schlechte Erfahrungen mit dem Herkunftslandprinzip in der DSGVO gemacht: Die irische Datenschutzbehörde sorgt derzeit für einen Durchsetzungsstau bei Verstößen großer Plattformen wie Facebook. Deshalb übernimmt im DSA die EU-Kommission direkt die Aufsicht über VLOPs und koordiniert grenzüberschreitende Ermittlungen. Auf nationaler Ebene sollen die Mitgliedsstaaten "Koordinatoren für digitale Dienste“ (DSCs) benennen. Dies sollen jeweils unabhängige Behörden sein.

Dieses Aufsichtsregime kritisierten die deutschen Landesmedienanstalten bereits im Vorfeld scharf. Der Deutsche Journalisten-Verband (DJV) bezeichnet den Kompromiss sogar als "verfassungswidrig“. Sein Bundesvorsitzender Frank Überall befürchtet: "Auf diese Weise wird die bewährte föderale Medienordnung, wie wir sie in Deutschland haben, mit einem Federstrich abgeschafft."

Die Kritik ändert allerdings nichts daran, dass der Digital Services Act nun weiter seinen Gang nimmt. Die noch ausstehende Zustimmung zum Kompromiss von EU-Parlament und Rat gilt als Formsache. Wenn er im Sommer verabschiedet ist, wird er nach einer Übergangsfrist von 15 Monaten, also wohl noch im Jahr 2023, voll wirksam.

c't Ausgabe 12/2022

(Bild: 

c't 12/22

)

Ist Apples M1 tatsächlicher schneller als aktuelle AMD- und Intel-Chips? Wir haben nachgemessen! In c’t 12/2022 zeigen wir zudem, wie Sie sich aus der Abhängigkeit von fremdem Code befreien können. Wir haben smarte Türschlösser, kompakte Notebooks und USB-Docks für SATA-Platten getestet und Pixelgrafik auf Retro-Konsolen bestaunt. Außerdem erklären wir, wie sich schlecht erstellte RSA-Schlüssel mit einem 380 Jahre alten Verfahren knacken lassen.

(hob)