Die EU-Regulierung der digitalen Sphäre im Überblick
Der Digital Service Act, Digital Markets Act, Artificial Intelligence Act, die Datenstrategie der EU, der Data Act und die Datenschutz-Grundverordnung.
Der Digital Service Act (DSA) soll vor Hass und Desinformation im Netz schützen und zielt in erster Linie auf große Kommunikationsplattformen wie Facebook, Instagram, Youtube, Twitter und Tiktok. Die wichtigsten Bestimmungen:
Illegale Inhalte:
- Die Plattformen werden nicht verpflichtet, Inhalte vor dem Upload auf mögliche Rechtsverletzungen zu prüfen. Sie müssen aber auf Anweisung eines EU-Mitgliedstaates illegale Inhalte unverzüglich sperren; auch für Nutzerinnen und Nutzer soll es einfach sein, solche Inhalte zu melden – dann sind die Plattformen zur Prüfung angehalten. Außerdem sollen sie bei der Ermittlung illegaler Inhalte mit spezialisierten vertrauenswürdigen Hinweisgebern aus der Zivilgesellschaft zusammenarbeiten.
- Nutzerinnen und Nutzer sollen sich besser gegen die unrechtmäßige Löschung von Inhalten und die Sperrung ihres Accounts wehren können. Dafür soll es normierte Beschwerdeverfahren und außergerichtliche Streitbelegungen geben.
Systemische Risiken:
- Fördert Instagram Ess-Störungen bei Jugendlichen? Kann Facebook eine Wahl beeinflussen? Hilft Twitter bei der Verbreitung von Hass? Hat Youtube Schuld daran, dass Menschen sich in Verschwörungsideologien verlieren? Plattformen müssen künftig mindestens einmal im Jahr analysieren, ob sie sich negativ auf die Gesellschaft auswirken – die Risikoanalysen werden dann von externen Experten überprüft.
- Die großen Plattformen müssen das Design und die Funktionsweise der eingesetzten algorithmischen Systeme transparenter machen.
- Zudem müssen sie einen NotfallKrisenmechanismus einführen, der in Krisenfällen (Pandemie, Krieg) der EU-Kommission erlaubt, auf Daten der Plattform zuzugreifen.
Personalisierte Werbung:
- In Bezug auf Minderjährige ist sie künftig verboten. Bei Erwachsenen wird sie insofern eingeschränkt, als Werbung nicht auf der Grundlage sensibler Daten (Gesundheitszustand, sexuelle Orientierung, religiöse und politische Überzeugung) ausgespielt werden darf.
- Viel diskutiert, aber letztlich nicht vorgesehen ist, dass Nutzerinnen und Nutzer durch eine Do-not-Track-Einstellung im Browser die Überwachung ihrer Internet-Aktivitäten, auf denen personalisierte Werbung basiert, generell ablehnen können.
Durchsetzung:
- Jedes EU-Mitgliedsland wird einen Koordinator für digitale Dienste ernennen, der für die Durchsetzung des Gesetzes verantwortlich sein soll. Zudem wird es ein neues Gremium auf EU-Ebene geben, das mit
den nationalen Koordinatoren zusammenarbeiten soll. Die Aufsicht über die großen Plattformen mit Torwächter-Rolle wird die Europäische Kommission direkt übernehmen. - Bei Verstößen gegen das DSA drohen den großen Plattformen Geldbußen von bis zu sechs Prozent ihres weltweiten Jahresumsatzes. Im Wiederholungsfall können Plattformen auch für die EU gesperrt werden.
Der Digital Markets Act (DMA) will für faire Wettbewerbsbedingungen sorgen, indem er die Marktmacht der Unternehmen beschneidet, die auf ihren eigenen Plattformen als Torwächter fungieren. Das Gesetz zielt vor allem auf Google, Apple, Amazon, Microsoft und Meta. Die wichtigsten Bestimmungen:
- Die Torwächter dürfen eigene Produkte und Dienste auf der Plattform, etwa in Empfehlungslisten oder Suchergebnissen, nicht bevorzugt darstellen.
- Gewerblichen Nutzern muss es ermöglicht werden, Zugang zu den Daten zu bekommen, die durch ihr Geschäftstreiben auf der Plattform erzeugt werden.
- Die Plattformen dürfen gewerblichen Nutzern nicht mehr verbieten, ihre Produkte und Leistungen (etwa Hotelzimmer) auf anderen Plattformen zu anderen Preisen und Bedingungen anzubieten.
- Die Torwächter müssen ihre Techniksysteme für die Konkurrenz öffnen. Ein Smartphone mit Googles Betriebssystem Android etwa soll nicht mehr automatisch Googles Browser Chrome als Standardanwendung eingestellt haben. Ebenso soll zum Beispiel Apple auf iPhones und iPads nicht mehr nur den eigenen Appstore zulassen, sondern den Nutzerinnen und Nutzern der Geräte die Wahl eines anderen ermöglichen.
- Messenger-Dienste wie Whatsapp (von Meta) und iMessage (von Apple) müssen ihren Nutzerinnen und Nutzern ermöglichen, auch Nachrichten mit Menschen auszutauschen, die andere Dienste (wie Threema oder Signal) verwenden.
- Bei Verstößen gegen den DMA drohen den Torwächtern Bußgelder von bis zu zehn Prozent ihres weltweiten Jahresumsatzes. Bei wiederholten Verstößen kann die Strafe sogar 20 Prozent des Umsatzes betragen.
Der Artificial Intelligence Act will Vertrauen in die Systeme künstlicher Intelligenz schaffen, indem er deren Risiken eindämmt. Gleichzeitig sollen Innovationen nicht durch zu viel Regulierung ausgebremst werden. Im April 2021 hat die EU-Kommission einen Entwurf vorgelegt, der das Gesetzgebungsverfahren der EU erst noch durchlaufen muss.
Der Entwurf sieht einen risikobasierten Ansatz vor und unterscheidet zwischen:
- besonders schädlichen und mit den Grundwerten unvereinbaren Anwendungen, die verboten werden müssen. Dazu zählen zum Beispiel solche, die es Behörden (wie in China) ermöglichen, die Vertrauenswürdigkeit von Menschen aufgrund ihres Sozialverhaltens zu bewerten. Auch die sogenannte Gesichtserkennung, die Menschen im öffentlichen Raum zum Zweck der Strafverfolgung aus der Ferne biometrisch identifizieren kann, gehört in diese Kategorie.
- Hochrisiko-Systemen, die umfangreich reguliert werden sollen. Dazu gehören alle Praktiken, die die Gesundheit und Sicherheit von Menschen potenziell gefährden und in Konflikt mit den Grundrechten geraten könnten. Hierzu zählen zum Beispiel Systeme für autonom fahrende Autos und für Auswahlprozesse im beruflichen Kontext (Neueinstellungen, Beförderungen etc.). In diesen Fällen müssen die Anwender der KI-Systeme eigene Risikoanalysen durchführen, technische Abläufe dokumentieren und Transparenz herstellen. Vor allem müssen sie dafür sorgen, dass die Daten, mit denen sie ihre KI-Systeme trainieren, repräsentativ und fehlerfrei sind – und damit Diskriminierungen ausschließen. Man denke nur an den viel zitierten Seifenspender, der nur bei Menschen mit weißer Haut funktioniert, weil er nicht „gelernt“ hat, auf schwarze Haut zu reagieren.
- Praktiken, die wegen ihres minimalen Risikos weitestgehend unreguliert bleiben sollen. Dazu zählt der Großteil der KI-Anwendungen, unter anderem Videospiele, Suchalgorithmen oder Spamfilter.
Die Datenstrategie der EU zielt darauf ab, den Austausch und die Nutzung von Daten zu fördern und gleichzeitig hohe Sicherheitsstandards zu wahren.
Als erste Säule dieser Strategie soll der Data Governance Act die Voraussetzungen für einen vertrauensvollen Datenaustausch zwischen öffentlichen Stellen, Unternehmen und Privatpersonen schaffen. Das Gesetz gilt ab September 2023 und sieht vor, dass
- öffentliche Stellen technisch so ausgestattet sind, dass sie beispielsweise Gesundheits- oder Mobilitätsdaten etwa zum Zweck der Forschung weitergeben können und dabei personenbezogene Daten oder Rechte geistigen Eigentums geschützt bleiben.
- die Datenvermittlung zwischen Unternehmen als ein neuer, geregelter Geschäftszweig entsteht. Die Betreiber von Marktplätzen, auf denen Daten gekauft und verkauft werden, sollen in einem Register eingetragen sein, sie dürfen die Daten nicht weiterverkaufen oder für eigene gewerbliche Zwecke nutzen.
- es einzelnen Personen und Unternehmen erleichtert wird, ihre Daten zum Wohl der Allgemeinheit, etwa für medizinische Forschungsprojekte, bereitzustellen. Organisationen, die solche Datenspenden sammeln, können beantragen, in einem nationalen Register geführt und EU-weit anerkannt zu werden.
Der Data Act soll regeln, wer Zugang zu nicht personenbezogenen Daten bekommt und sie wirtschaftlich verwerten darf. Es geht vor allem um Daten, die durch die Nutzung vernetzter Maschinen, Fahrzeuge, Haushaltsgeräte erzeugt werden. Bislang besitzen allein die Hersteller der Geräte die Hoheit über diese Daten. Der Gesetzentwurf, den die EU-Kommission im Februar 2022 vorgelegt hat, will dies ändern:
- Private wie gewerbliche Nutzer vernetzter Geräte oder digitaler Services erhalten das Recht, auf die bei der Nutzung erzeugten Daten zuzugreifen und sie mit Dritten ihrer Wahl zu teilen.
- Unternehmen, die Cloud-Dienste in Anspruch nehmen, sollen zudem leichter mit ihren Daten zu anderen Anbietern wechseln können – was die Vormachtstellung von Amazon, Microsoft und Google schwächen könnte.
Die Datenschutz-Grundverordnung (DSGVO) regelt, wie Unternehmen mit personenbezogenen Daten, also mit Informationen, die zur Identifizierung lebender Personen verwendet werden können, umgehen dürfen. Die Telefonnummer, die Mail-Adresse, die Anschrift, Bildaufnahmen, das Kfz-Kennzeichen, die IP-Adresse – all das sind personenbezogene Daten. Das Gesetz gilt seit Mai 2018 und betrifft nicht nur Unternehmen, die in Europa ihren Sitz haben, sondern alle, die dort ihre Dienste anbieten. Es sieht unter anderem vor, dass
- Menschen mehr Kontrolle und Transparenz darüber erhalten sollen, welche ihrer Daten gespeichert und zu welchem Zweck sie genutzt werden.
- Unternehmen für die Verarbeitung der Daten (etwa zu Werbezwecken) sich die Zustimmung der betroffenen Personen einholen müssen.
- Unternehmen personenbezogene Daten löschen müssen, wenn die betroffenen Menschen dies verlangen (Recht auf Vergessenwerden).
- Unternehmen personenbezogene Daten nur dann in Länder außerhalb der EU exportieren dürfen, wenn dort ein der DSGVO entsprechender Datenschutz herrscht.
- Anbieter elektronischer Geräte und digitaler Anwendungen diese so voreinstellen müssen, dass möglichst wenige Daten gesammelt und nicht alle öffentlich gemacht werden.