© alphaspirit / 123RF.com

Erstaunlich schnell hat sich die EU auf ein Gesetz für digitale Dienste geeinigt. Doch wichtige Aspekte im Internet-Recht bleiben weiter ungeklärt.

Die Geschwindigkeiten könnten kaum unterschiedlicher sein: Während für die 2017 vorgestellte E-Privacy-Verordnung noch immer kein Verhandlungsende in Sicht ist, hat sich die EU innerhalb von rund anderthalb Jahren auf zwei wichtige Internet-Verordnungen geeinigt. Zwar wird den US-amerikanischen IT-Konzernen stets eine große Lobbymacht attestiert, doch wenn es wirklich darum geht, bestimmte Regulierungen zu verhindern oder durchzusetzen, sitzen europäische Konzerne immer noch am längeren Hebel, wie die Urheberrechtsreform gezeigt hat.

Warum hat die Einigung im Fall des Digitale-Dienste-Gesetzes (Digital Services Act, DSA) sowie des Digitale-Märkte-Gesetzes (Digital Markets Act, DMA) so schnell geklappt? Zum einen störte sich die EU-Kommission stark an den verschiedenen nationalen Alleingängen im Kampf gegen illegale Online-Inhalte. Eine “unkontrollierte Regulierungswut”, wie es ein Kommissionsbeamter formulierte, soll damit möglichst der Vergangenheit angehören.

Weniger Auflagen für kleine Firmen

Es war von Anfang an offensichtlich, dass das deutsche Netzwerkdurchsetzungsgesetz (NetzDG) gegen das sogenannte Herkunftslandprinzip der EU verstößt. Das wurde zuletzt vor Gericht in erster Instanz bestätigt. Die großen sozialen Medien wie Facebook, Youtube oder Twitter haben die Vorgaben des NetzDG durchaus akzeptiert – in weiten Teilen entsprachen sie ohnehin den freiwilligen Selbstverpflichtungen, die vorab auf EU-Ebene vereinbart worden waren. Die im vergangenen Jahr beschlossene Verschärfung ging ihnen dann jedoch zu weit.

Zum anderen richten sich die Regelungen der beiden Verordnungen vor allem gegen die dominanten IT-Konzerne aus den USA wie Google, Meta, Apple, Amazon oder Microsoft. Die Geschäftsmodelle europäischer Firmen dürften weniger beeinträchtigt werden. So verweist der Europäische Rat, der die Mitgliedstaaten repräsentiert, in seiner Stellungnahme [1] auf die Ausnahmen für kleine und mittlere Unternehmen.

DSA frühestens 2024 in Kraft

Zudem sollen diese mehr Zeit haben, sich auf die neuen Regelungen umzustellen. Nach Angaben der EU-Kommission treten diese frühestens zum 1. Januar 2024 in Kraft, für große IT-Konzerne allerdings wohl schon früher. Die Regelungen gelten demnach vier Monate nach dem Zeitpunkt, an dem die Firmen von der Kommission entsprechend eingestuft wurden.

Der EU-Kommission war es ebenfalls ein wichtiges Anliegen, die nationalen Vorgaben an Internet-Anbieter zu harmonisieren. Mit vielen unterschiedlichen nationalen Regeln könnten zwar die großen Konzerne umgehen, aber nicht kleine Startups. Bei der Bekämpfung illegaler Inhalte im Netz müsse es daher “bindende Regeln geben, die einheitlich in ganz Europa funktionieren”. Die wirklich harten Auflagen im Digitale-Dienste-Gesetz betreffen daher nur wenige Anbieter.

Kommission soll kontrollieren

Das betrifft “sehr große” Online-Plattformen und Suchmaschinen mit “mehr als 10 Prozent der 450 Millionen Verbraucher in der EU”. Sie müssen einmal jährlich eine Risikoabschätzung erarbeiten, die darlegen soll, welche Gefahren für die Verbreitung illegaler Inhalte sowie die Missachtung von Grundrechten wie Meinungsfreiheit und deren Manipulation durch den Dienst drohen. Dazu sollen die Dienste auch die Auswirkungen ihrer Systeme für die Moderation und die Empfehlung von Inhalten sowie die Auswahl und Darstellung von Anzeigen berücksichtigen.

Die großen Plattformen müssen zudem “vernünftige, angemessene und wirksame” Maßnahmen ergreifen, um die erkannten Risiken zu minimieren. Das betrifft beispielsweise die Moderation der Inhalte oder die Empfehlungssysteme. Die EU-Kommission soll demnach in Zusammenarbeit mit dem Koordinator allgemeine Richtlinien erlassen, um die Risiken zu minimieren.

Firmen müssen für ihre Kontrollen bezahlen

Ebenfalls wichtig: Künftig obliegt es der EU-Kommission, sehr große Online-Plattformen und Suchmaschinen direkt zu kontrollieren. Damit will man den Fehler der EU-Datenschutzgrundverordnung vermeiden, die kleinen Datenschutzbehörden wie in Irland oder Luxemburg aufgrund des Firmensitzes die Kontrolle der großen Konzerne überlässt (Abbildung 1).

Abbildung 1: Kleine Datenschutzbehörden stehen Konzernen gegenüber, hier Apple in Cork, Irland. Quelle: Apple

Ebenfalls neu: Die großen Konzerne müssen künftig eine Aufsichtsgebühr zahlen. Mit diesem Geld soll die Überwachung der neuen Regelungen durch die Behörden finanziert werden. Das dürfte ebenfalls eine Lehre aus der DSGVO-Umsetzung sein, denn die Kontrolle der Datenschutzregeln scheitert häufig an personell und finanziell zu schlecht ausgestatteten Behörden.

Text der Einigung fehlt

Diese Aufsicht sollen im Fall des Digitale-Dienste-Gesetzes künftig nationale Koordinatoren übernehmen. Bei diesen Behörden soll auch das außergerichtliche Schlichtungsverfahren bei strittigen Löschverfahren angesiedelt werden. Zudem soll der Koordinator sogenannte vertrauenswürdige Lotsen (“trusted flagger”) bestimmen können, deren Löschhinweise “ohne Verzögerung” bearbeitet und entschieden werden sollen.

Erschwert wird eine Einschätzung der neuen Verordnung allerdings durch die Tatsache, dass der endgültige Text der Einigung noch nicht vorliegt. Ohnehin zeigen die Trilog-Verhandlungen ein weiteres Mal die problematische Struktur des europäischen Gesetzgebungsverfahrens auf.

Neuer Krisenmechanismus

So ist es üblich, dass Inhalte, die sich weder im Entwurf der EU-Kommission noch in den Verhandlungspositionen von Parlament und Rat finden, noch in letzter Minute verhandelt und beschlossen werden können. Das betrifft in diesem Fall einen sogenannten Krisenmechanismus. “Im Zusammenhang mit der russischen Aggression in der Ukraine und den besonderen Auswirkungen auf die Manipulation von Online-Informationen wurde dem Text ein neuer Artikel hinzugefügt, in dem ein Krisenreaktionsmechanismus eingeführt wird”, erläuterte der Rat.

Dieser Mechanismus werde von der Kommission auf Empfehlung des Rats der nationalen Koordinatoren für digitale Dienste aktiviert. Er soll es ermöglichen, die Auswirkungen der Aktivitäten von sehr großen Online-Plattformen und Suchmaschinen “auf die betreffende Krise zu analysieren und über verhältnismäßige und wirksame Maßnahmen zur Achtung der Grundrechte zu entscheiden”.

Auslistung von Websites verhindert

Solche Maßnahmen wurden zuletzt mit einer speziellen EU-Verordnung umgesetzt, die auch zur Folge hat, dass Suchmaschinenbetreiber wie Google Suchergebnisse mit Inhalten russischer Staatssender auslisten sollen. Im Falle des Krisenreaktionsmechanismus bleibt aber offen, welche Kompetenzen der EU-Kommission künftig zukommen, um über “verhältnismäßige und wirksame Maßnahmen” zu entscheiden. Das dürfte erst klarer werden, wenn der endgültige Verordnungstext vorliegt.

Wie fast schon üblich, versuchten Rechteverwerter auch beim Digitale-Dienste-Gesetz noch besondere Regelungen einzufügen. Das war bereits in den Verhandlungen zum Digitale-Märkte-Gesetz versucht worden und am Ende gescheitert. Beim DMA sollten Suchmaschinen und soziale Netzwerke verpflichtet werden, Verlagen einheitliche Tarife für die Anzeige urheberrechtlich geschützter Inhalte anzubieten.

Beim DSA ging es nun darum, dass “im Falle einer Meldung illegaler Inhalte nicht nur die betreffenden Webseiten, sondern die gesamte Website von der Liste gestrichen, also aus den Suchergebnissen entfernt werden sollte”, berichtete das Magazin Euractiv [3]. Dies konnte jedoch verhindert werden.

Grundgesetz für das Internet?

Verdient der DSA in Verbindung mit dem DMA nun die Bezeichnung “Grundgesetz für das Internet”? Nach Ansicht des Europaabgeordneten Patrick Breyer trifft das nicht zu. “Unsere Privatsphäre im Netz wird weder durch ein Recht auf anonyme Internetnutzung noch durch ein Recht auf Verschlüsselung, ein Verbot von Vorratsdatenspeicherung oder ein Recht zur Ablehnung von Überwachungswerbung im Browser (‘Do not track’) geschützt”, sagte er zur Begründung.

Breyer verweist damit jedoch auf verschiedene Punkte, die eigentlich durch die E-Privacy-Verordnung geregelt werden sollten. Doch in diesem Fall zeigt sich, dass die Widerstände in den EU-Ländern deutlich größer sind. Das gilt nicht nur für Ermittlungsbehörden und viele Politiker, die ein Recht auf Verschlüsselung oder anonyme Internet-Nutzung verhindern wollen, sondern auch für den Tracking-Schutz, den die mächtige Verlegerlobby ablehnt. Das Verbot einer allgemeinen Vorratsdatenspeicherung wird bislang zumindest vom Europäischen Gerichtshof (EuGH) unter Berufung auf die EU-Menschenrechtscharta verteidigt.

Das Digitale-Dienste-Gesetz ist zumindest ein wichtiger Baustein, um die Rechte der Nutzer gegenüber den Internet-Diensten zu definieren und europaweit zu harmonisieren. Entscheidend wird wie beim Datenschutz aber sein, wie die Aufsichtsbehörden die Regelungen überwachen und die Gerichte sie auslegen.