Lesezeit ca. 9 Min.

EU will strenge Regeln für Internetkonzerne und einen Datenpakt mit den USA


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 18/2022 vom 06.05.2022
Artikelbild für den Artikel "EU will strenge Regeln für Internetkonzerne und einen Datenpakt mit den USA" aus der Ausgabe 18/2022 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Computerwoche, Ausgabe 18/2022

Von Martin Bayer, Deputy Editorial Director

Es sei der Goldstandard für die Internetregulierung, gar ein neues digitales Grundgesetz: Die Macher des Digital Services Act (DSA) überschlagen sich regelrecht darin, die Bedeutung des europäischen Regelwerks für das Internet hervorzuheben.

Monatelang rangen das EU-Parlament, der Ministerrat und die EU-Kommission darum, wie die großen Diensteanbieter im World Wide Web in die Schranken gewiesen werden können.

Mitte Dezember 2020 hatte die EU-Kommission einen ersten Entwurf für den DSA vorgelegt.

14 Monate später sagt Kommissions-Präsidentin Ursula von der Leyen: „Die Einigung über den Rechtsakt für digitale Dienste ist historisch, sowohl in Bezug auf die Geschwindigkeit als auch auf den Inhalt.“ Die Grundregeln für alle Onlinedienste in der EU würden verbessert. Außerdem werde dafür gesorgt, dass das Onlineumfeld ein sicherer Raum werde, der die Meinungsfreiheit und die Möglichkeiten für digitale ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 18/2022 von Folgt auf Gaia-X schon bald Tellus-Y?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Folgt auf Gaia-X schon bald Tellus-Y?
Titelbild der Ausgabe 18/2022 von Deutschland digital – der Frust in der Bevölkerung nimmt zu. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Deutschland digital – der Frust in der Bevölkerung nimmt zu
Titelbild der Ausgabe 18/2022 von IBM-Chef Arvind Krishna: KI braucht noch zehn Jahre. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IBM-Chef Arvind Krishna: KI braucht noch zehn Jahre
Titelbild der Ausgabe 18/2022 von Ransomware -Attacken: Erpresser zu bezahlen ist keine Lösung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Ransomware -Attacken: Erpresser zu bezahlen ist keine Lösung
Mehr Lesetipps
Blättern im Magazin
Gaia-X – die digitale Souveränität bleibt im Konzeptstadium stecken
Vorheriger Artikel
Gaia-X – die digitale Souveränität bleibt im Konzeptstadium stecken
Business Continuity – so planen Sie für den Worst Case
Nächster Artikel
Business Continuity – so planen Sie für den Worst Case
Mehr Lesetipps

... Unternehmen schütze. Das Regelwerk setze den Grundsatz in die Praxis um, dass das, was offline illegal ist, auch online illegal ist.

Der DSA soll die großen Onlinekonzerne stärker in die Verantwortung nehmen. Margrethe Vestager, Digitalkommissarin der EU, forderte: „Plattformen sollten ihre Entscheidungen zur Inhaltsmoderation transparent machen, verhindern, dass sich gefährliche Desinformationen verbreiten, und vermeiden, dass unsichere Produkte auf Marktplätzen angeboten werden.“

Mit der Vereinbarung stelle man sicher, dass die Internetgiganten für die Risiken, die ihre Dienste für die Gesellschaft bedeuteten, zur Verantwortung gezogen würden.

Wildwest-Zeiten sind vorbei

„Das Regelwerk überträgt der Kommission die Aufsicht über sehr große Plattformen“, ergänzte Wettbewerbskommissar Thierry Breton, „einschließlich der Möglichkeit, bei wiederholten schweren Verstößen wirksame und abschreckende Sanktionen von bis zu sechs Prozent des weltweiten Umsatzes oder sogar ein Verbot der Tätigkeit im EU-Binnenmarkt zu verhängen.“ Die „Wildwest-Zeiten“ seien endgültig vorbei, in denen die großen Onlineplattformen sich so verhalten hätten, als seien sie „zu groß, um sich zu kümmern“.

Das ist eine klare Ansage an Amazon, Meta Platforms (Facebook), Google und Co. Erstmals gibt es mit dem DSA ein Regelwerk zu den Pflichten und Verantwortlichkeiten von Onlineangeboten, so die Botschaft aus Brüssel. Je größer die Plattform sei, desto mehr Verantwortung habe sie und desto mehr Pflichten müsse sie erfüllen.

Konkret geht es um folgende Punkte:

Bekämpfung illegaler Inhalte durch ein verpflichtendes Meldesystem: Nutzerinnen und Nutzer können entsprechende Inhalte kennzeichnen und melden. Plattformen müssen die Zusammenarbeit mit „vertrauenswürdigen Hinweisgebern“ ermöglichen.

Neue Vorschriften für die Rückverfolgbarkeit gewerblicher Nutzer auf Onlinemarktplätzen, um Verkäufer illegaler Waren leichter aufspüren zu können.

Wirksame Beschwerdemechanismen ermöglichen es Nutzerinnen und Nutzern, Entscheidungen von Plattformbetreibern überprüfen zu lassen, beispielsweise warum ein Inhalt entfernt oder nicht entfernt wurde.

Mehr Transparenz von Onlineangeboten, insbesondere bezüglich der Algorithmen, die zum Beispiel den Empfehlungssystemen mancher Plattformen zugrundeliegen.

Verpflichtungen für sehr große Webseiten, Risiken für den Missbrauch ihrer Systeme zu analysieren und Maßnahmen zu ergreifen. Das Risikomanagement der Plattformen wird von unabhängiger Seite überprüft.

Zugriff unabhängiger Forscher auf die Kerndaten größerer Plattformen, um unabhängig die Wirkweise der Algorithmen sowie Risiken für Gesellschaft und Demokratie zu untersuchen.

Regeln zur Durchsetzung, die der Komplexität des Onlineraums gerecht werden: Die Mitgliedstaaten werden dabei von einem neuen europäischen Gremium für digitale Dienste unterstützt. Bei sehr großen Plattformen übernimmt die EU-Kommission die Überwachung und Durchsetzung.

Betroffen von dem neuen Regelwerk sind im Grunde alle Unternehmen, die irgendeine Art Onlinedienst anbieten. Dazu zählen Social-Media-Anbieter wie TikTok, Twitter und Meta mit Facebook und Instagram, aber auch Messenger wie WhatsApp und Telegram, Suchmaschinen wie Google, Anbieter von App-Stores wie Apple und Onlinemarktplätze wie Amazon und Ebay. Außerdem müssen sich auch Web-Hoster, Internet-Zugangsdienste und Cloud-Anbieter an die neuen Regeln halten.

Große Plattform werden schärfer überwacht

Wie konsequent am Ende reguliert wird, hängt von der Größe der Plattformen ab. Dienste, die mit ihren Angeboten mehr als zehn Prozent der rund 450 Millionen Konsumenten in der EU erreichen, sollen strengeren Auflagen unterworfen sein als kleinere Anbieter mit weniger als 45 Millionen monatlich aktiven Nutzerinnen und Nutzern. Alle Anbieter, die Onlinedienste in der EU offerieren, müssen einen Kontakt beziehungsweise einen Rechtsvertreter benennen.

Damit sollen Provider wie Telegram eingebremst werden können. Gerade deutsche Behörden hatten im Zuge der Verfolgung von Desinformation seitens Corona-Leugnern und Verschwörungstheoretikern immer wieder Schwierigkeiten, Telegram-Verantwortliche zu kontaktieren.

Die Regeln des DSA dürften noch für viel Gesprächsstoff sorgen. Gerade die Frage, wie tief die Einblicke von Behörden in Code und Algorithmen sein sollen, wird wohl kontrovers diskutiert werden. Die Onlinekonzerne argumentieren an dieser Stelle gern mit Betriebsgeheimnissen, die ihr Geschäft schützten.

Auch die Begehrlichkeiten, Daten einzusehen, um zu verstehen, wie Onlinedienste ihre Services adressieren, dürfte bei den Konzernen auf wenig Gegenliebe stoßen. Man darf gespannt sein, wie Amazon, Facebook, Google und Co. auf den Vorstoß der Europäer reagieren werden.

Ende Mai wollen EU-Vertreter in die USA reisen und den Onlinekonzernen das Regelwerk im Detail präsentieren. Unklar ist, ob die Europäer verhandlungsbereit sind.

Datenschützer warnen vor zu hohen Erwartungen

„Die Datenschutzbeauftragten in Deutschland begrüßen, dass die EU und die USA eine grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt haben“, sagte Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. „Die Ankündigung ist zunächst sicherlich ein Hoffnungsschimmer für unzählige Datenschutzbeauftragte, die sich in ihrer Beratung mit zunehmender Rechtsunsicherheit konfrontiert sehen, wenn es darum geht, Daten in die USA zu übermitteln.“

In der bisherigen Rechtsprechung des Europäischen Gerichtshofs zu früheren transatlantischen Abkommen sieht Spaeing eine Bestätigung des sehr hohen Schutzniveaus für personenbezogene Daten und die Rechte sowie Freiheiten betroffener Personen in Europa. Beamte auf beiden Seiten des Atlantiks hätten darum gekämpft, den Europäern einen wirksamen Rechtsbehelf gegen die Überwachung durch US-Behörden zu geben. Von der Leyens Kommentare würden darauf hindeuten, dass technische Lösungen in Reichweite sind. Aber der Datenschützer mahnt: „Es bleibt abzuwarten, inwiefern dieses neue Abkommen vor Gericht Bestand haben wird. Ich denke, man sollte hier keine allzu hohen Erwartungen hegen, bis Details zu dem Abkommen bekannt sind.“

Privacy Shield reloaded – Datenschutzaktivisten lauern schon

Datenschützer wollen das neue Abkommen zwischen der EU und den USA im Detail prüfen und schon bei den geringsten Zweifeln wieder die Gerichte anrufen. Das hat der österreichische Datenschutz-Aktivist Max Schrems bereits angekündigt.

Mit seinen Klagen hatte Schrems schon die Vorgängerabkommen Safe Harbour und Privacy Shield erfolgreich vor dem EuGH zu Fall gebracht. Er verwies darauf, dass derzeit nur eine politische Ankündigung vorliege, kein konkreter Text. „Wir hatten bereits 2015 ein rein politisches Abkommen, das keinerlei Rechtsgrundlage hatte.

Wie es derzeit aussieht, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen“, sagte der Datenschützer.

Sobald der endgültige Text vorliege, werde man ihn genau analysieren. „Wenn er nicht im Einklang mit dem EU-Recht ist, werden wir ihn wahrscheinlich anfechten“, so Schrems. „Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden müssen. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird.“

Schrems glaubt nicht, dass die USA ihre Überwachungsgesetze ändern werden.

Zusicherungen der Behörden mittels Executive Orders seien wirkungslos und könnten nicht eingeklagt werden. „Der Deal war offenbar ein Symbol, das von von der Leyen gewollt war, aber keinen Rückhalt der Experten in Brüssel hat, da sich die USA nicht bewegt haben“, kritisiert der Datenschützer. „Besonders empörend ist, dass die USA angeblich den Krieg gegen die Ukraine genutzt haben, um die EU in dieser Wirtschaftsfrage unter Druck zu setzen.“ Es sei bedauerlich, dass die EU und die USA diese Situation nicht genutzt hätten, um zu einem ,No-Spy‘-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu kommen. „Kunden und Unternehmen drohen weitere Jahre der Rechtsunsicherheit“, prognostiziert Schrems.

Noch steht der endgültige Gesetzestext jedenfalls nicht fest. Aktuell umfasst der Entwurf, auf den sich die EU-Gremien geeinigt haben, 113 Seiten. Er muss noch vom EU-Ministerrat und dem EU-Parlament verabschiedet werden. Das soll im Spätsommer 2022 geschehen. Inkrafttreten soll der DSA dann am 1. Januar 2024.

Restriktionen schaden der digitalen Wirtschaft

Angesicht der Unschärfen halten sich Branchenverbände mit einer Einschätzung noch zurück.

Da sich die ersten Pressemitteilungen der drei beteiligten EU-Institutionen aus Kommission, Rat und Parlament in ihren jeweiligen inhaltlichen Schwerpunkten unterschieden hätten, sei eine abschließende Bewertung erst bei Vorliegen des finalen Gesetzestextes möglich, heißt es vonseiten des Bundesverbands Digitale Wirtschaft (BVDW). Aus Sicht der Branchenvertreter sind eine Neufassung der Digitalgesetzgebung und die Anpassung der europäischen Rahmenbedingungen an die Anforderungen des 21. Jahrhunderts aber mehr als überfällig. Jedoch bestehe die Gefahr, dass der DSA zu einer Einschränkung für Unternehmen der digitalen Wirtschaft führen und Rechtsunsicherheit schaffen könne. „Sollte der endgültige Kompromiss viele der sehr restriktiven Bestimmungen des Parlaments enthalten, würde das der digitalen Wirtschaft massiv schaden“, kommentiert Thomas Duhr, Vizepräsident des BVDW, den vorliegenden Entwurf. „Das hätte eine rechtsunsichere Verquickung des DSA mit der DSGVO und der noch zu finalisierenden ePrivacy-Verordnung zur Konsequenz.“

Die strengen europäischen Datenschutzregeln spielen auch an anderer Stelle eine Rolle. Es geht um einen rechtssicheren Datenverkehr über den Atlantik. Ende März hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen überraschend erklärt, man habe eine „grundsätzliche Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr erzielt“. Ein neues Regelwerk wäre tatsächlich überfällig: Im Juli 2020 hatte der Europäische Gerichtshof mit dem Schrems-II-Urteil das bis dahin gültige Privacy-Shield-Abkommen außer Kraft gesetzt.

In vielen europäischen und amerikanischen Unternehmen und Behörden herrscht seitdem Unsicherheit darüber, wie mit der Übertragung und dem Speichern personenbezogener Daten umzugehen ist. Der Druck auf die Politik wuchs, eine Lösung zu finden. Doch die Verantwortlichen machten zunächst wenig Hoffnung auf ein schnelles Verhandlungsergebnis. Zu komplex sei das Thema, gerade auch wegen der strengen Datenschutzregeln in Europa. Außerdem solle ein neuer Vertrag den zu erwartenden rechtlichen Prüfungen diesmal standhalten können. Bereits 2016 hatte der EuGH Safe Harbour, das Vorläuferabkommen von Privacy Shield, gekippt.

Dass wieder Bewegung in die Verhandlungen kommt, ist auch der aktuellen politischen Ge-samtsituation geschuldet. Angesichts des russischen Angriffs auf die Ukraine verschieben sich die internationalen Handelsströme. Mit den Sanktionen gegen den russischen Machthaber Wladimir Putin, etliche Staatskonzerne und viele Oligarchen sind die wirtschaftlichen Beziehungen Europas nach Osten weitgehend gekappt. Infolgedessen dürfte sich der transatlantische Handel intensivieren.

Noch liegt kein Vertrag auf dem Tisch

Doch dafür müssen noch einige Hürden aus dem Weg geräumt werden. Auch wenn auf höchster politischer Ebene prinzipiell Einigkeit erzielt wurde, liegt noch kein verbindliches Abkommen auf dem Tisch. Einen unterschriftsreifen Vertrag gilt es noch im Detail auszuhandeln. Delegationen der US-Regierung und der Europäischen Kommission sollen in den kommenden Monaten die entsprechenden Dokumente ausarbeiten, die dann noch auf beiden Seiten des Atlantiks von den jeweiligen Parlamenten verabschiedet werden müssen, heißt es in einer Mitteilung aus Brüssel.

Die Hoffnungen aller Beteiligten, dass ein neues Abkommen Bestand haben wird, gründet sich in erster Linie auf einer Zusage der USA, die strengeren europäischen Datenschutzregeln zu respektieren. Dieser Punkt war 2020 ausschlaggebend dafür gewesen, dass die Richter am EuGH den Privacy Shield für nicht rechtens erklärt hatten. Personenbezogene Daten europäischer Bürger würden durch das Regelwerk bei einer Übermittlung in die USA nicht ausreichend geschützt, so die Begründung des Gerichts. Tatsächlich würde US-amerikanischen Interessen, was beispielsweise die nationale Sicherheit angeht, Vorrang eingeräumt.

Das ermögliche Eingriffe in die Grundrechte europäischer Nutzer, deren Daten in die USA übertragen werden. Die Richter verwiesen vor allem darauf, dass die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet sei. Die DSGVO schreibt vor, dass eine Nutzung der Daten auf das zwingend erforderliche Maß zu beschränken sei. Das sei in den USA hinsichtlich der Aktivitäten der Nachrichtendienste nicht der Fall. Der EuGH kritisierte ferner, dass für die groß angelegten Überwachungsprogramme der US-Geheimdienste keine Einschränkungen existierten. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Garantien und keine Möglichkeit ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen.

Das soll sich mit dem neuen Abkommen ändern. Die USA wollen sich dazu verpflichten, den Schutz der Privatsphäre im Rahmen der Nutzung von Daten europäischer Bürger einzuhalten. Sie würden neue Sicherheitsvorkehrungen treffen, um zu gewährleisten, dass Überwachungsmaßnahmen und Datenzugriffe durch die US-Geheimdienste gemäß den europäischen Datenschutzregeln erfolgen. Die Rede ist von einem zweistufigen unabhängigen Rechtsbehelfsmechanismus mit verbindlichen Befugnissen. Außerdem soll eine strenge und mehrschichtige Aufsicht über die Aktivitäten der Geheimdienste eingerichtet werden, um die Einhaltung der Beschränkungen für Überwachungsmaßnahmen sicherzustellen.

Während die europäische Position klar ist, bleiben auf US-amerikanischer Seite noch Fragen offen. Um der DSGVO zu genügen, müssten diverse US-Gesetze angepasst werden, wie zum Beispiel der Foreign Intelligence Surveillance Act und der Cloud Act. Diese erlauben US-Geheimdiensten weitgehenden Zugriff auch auf Daten von EU-Bürgern. Diese Gesetze zu ändern, bedarf der Zustimmung des Kongresses und des Senats. Angesichts der tiefen Gräben zwischen den politischen Lagern in den USA erscheint dies jedoch unwahrscheinlich. Offensichtlich plant US-Präsident Biden deshalb, den neuen Datenpakt als Dekret per Executive Order durchzusetzen. Ob sich die EU und deren Gerichte damit zufriedengeben werden, bleibt abzuwarten. Ein Dekret kann schnell wieder gekippt werden, ein Gesetz wäre deutlich stabiler und verlässlicher.

Noch stehen also viele Fragezeichen hinter dem neuen Abkommen. Es geht darum, ob und wie EU-Bürger ihre Ansprüche in Sachen Datenschutz vor US-Gerichten durchsetzen und wie die US-amerikanischen Internetkonzerne dazu verpflichtet werden können, mehr für den Datenschutz zu tun. Das zu klären dürfte noch viele Monate dauern.