Bevorzugt Instagram Fotos mit viel nackter Haut? Serviert Facebook bestimmte Stellenanzeigen nur an Männer? Und unterdrückt TikTok politische Inhalte in seinem Feed? Für all diese Annahmen gibt es Gründe, Journalist:innen und NGOs hatten dazu recherchiert. Doch wirklich beweisen lassen sie sich fast nie.
Dazu müssten Wissenschaft, Medien und Aufpasser aus der Zivilgesellschaft Zugang zu den Daten der Konzerne bekommen, die de facto weite Teile des Informationsflusses im Internet diktieren – und diese lassen sich bislang nur äußerst widerwillig in die Karten schauen. Während Facebook, YouTube oder TikTok ihre Nutzer:innen also bis ins Detail kennen und vermessen, wissen diese so gut wie nichts über die Funktionsweisen der Algorithmen, die ihren Nachrichtenkonsum lenken oder die Regeln, die ihre eigenen Inhalte sinken oder fliegen lassen. Sie sind die „Secret Sauce“ zum Erfolg, die kein Unternehmen offenlegen will.
Einen Teil der Macht den Nutzer:innen
Das könnte sich bald ändern. Mit dem Digital Services Act, der heute vorgestellt wird, tritt die EU-Kommission an, einen Teil dieses Asymmetrie auszugleichen. Das seit Jahren vorbereitete Gesetzespaket, das manche aufgrund seiner ehrgeizigen Ziele schon als neuen Grundgesetz für Facebook und andere Online-Dienste bezeichnen, gilt als Leuchtturmprojekt von Kommissionschefin Ursula von der Leyen. Es soll nicht nur die Haftungsregeln für illegale Inhalte neu regeln oder den Wettbewerb fördern. Es nimmt auch die Entscheidungsalgorithmen der großen Konzerne ins Visier.
Zum einen geht es dabei um mehr Rechte für Nutzer:innen. Sie sollen in Zukunft besser kontrollieren können, was sie zu sehen bekommen. Plattformen, die Empfehlungsalgorithmen einsetzen, so steht es im Gesetz, sollen in ihren Nutzungsbedingungen auf „zugängliche und leicht verständliche Art“ erklären, welche Faktoren die Empfehlung leiten – und so zumindest einen Teil des Rezepts zu ihrer Geheimsoße offenlegen. Außerdem müssen sie dafür sorgen, dass Nutzer:innen diese Parameter anpassen können – inklusive der Option, individuell auf sie zugeschnittene Feeds komplett abzuschalten. Auf Twitter wäre das etwa die Option, eine ausschließlich chronologische Timeline präsentiert zu bekommen statt eine, in der von Algorithmen kuratierten Inhalte untergemischt sind.
Das hatten zivilgesellschaftliche Organisationen wie epicenter.works in Österreich bereits im Vorfeld vorgeschlagen. „Nutzer:innen müssen eine leicht zugängliche Option bekommen, um die Inhalte zu sortieren, die ihnen gezeigt werden“, hieß es in den Empfehlungen, die epicenter.works gemeinsam mit der Arbeiterkammer vorgestellt hat.
Zugang für die Wissenschaft, aber nicht für Medien
Mit noch mehr Spannung wurde allerdings erwartet, wie viel Transparenz der Digital Services Act den Plattformen in seinen neuen Spielregeln aufzwingen würde. Organisationen wie die NGO Algorithmwatch hatten schon während der Konsultation im Herbst weitreichende Vorschläge dazu gemacht. Ihre zentrale Forderung: Die EU muss klare Regeln dafür schaffen, wie die Plattformen unabhängigen Expert:innen Zugang zu ihren Datenbanken gewähren. Nur wenn Wissenschaft, Medien und Zivilgesellschaft unabhängig überprüfen können, was Plattformen behaupten und wie Algorithmen Inhalte sortieren, könne die Verantwortung der Plattformen auch tatsächlich durchgesetzt werden.
Zwar gewähren Konzerne wie Facebook Wissenschaftler:innen inzwischen Zugang. Doch die Selbstverpflichtungen der Branche zur Offenheit, das habe die Erfahrung gezeigt, reichen nicht aus. Forscher:innen beschweren sich seit langem über Gängelung und absurde Hürden beim Versuch Zugang zu den entsprechenden Schnittstellen zu bekommen.
Die EU-Kommission ist dieses Problem nun etwas halbherzig angegangen. Im entscheidenden Paragraph 31, der den „Datenzugang“ regeln soll, steht nun, die Plattformen müssten bestimmte zugelassenen Wissenschaftler:innen innerhalb einer zumutbaren Frist Zugang zu ihren Datenbanken und Schnittstellen gewähren, damit diese „systemische Risiken“ untersuchen können, etwa die Verbreitung von Desinformationen oder diskriminierende Praktiken. Die genauen technischen Bedingungen dafür will die Kommission noch ausarbeiten.
Allerdings, und hier kommt der Haken, können sich die Konzerne dieser Auflage weiterhin mit dem Verweis auf die Sicherheit ihrer Plattformen oder dem Schutz von Geschäftsgeheimnisse verweigern – ein weit offenes Schlupfloch, das direkt aus den Träumen von Tech-Lobbyist:innen zu stammen scheint. Zugänge für die Presse oder kritische NGOs, um bekannte Gefahren durch algorithmische Verzerrung zu untersuchen, werden gar nicht erst erwähnt.
Konzerne sollen Risiken selbst abschätzen
Ein weiterer Punkt, der für Irritation sorgt angesichts der eher ernüchternden Erfahrungen mit der Selbstaufsicht von Big Tech: „Sehr große Onlineplattform“, wie sie im Gesetz durchweg genannt werden, sollen die Risiken, die ihre Dienste mit sich bringen, selbst einschätzen. Dazu zählen auch Gefahren für die Grundrechte, etwa eine Einschränkung der Rede- und Informationsfreiheit, des Rechts auf Privatsphäre oder das Recht auf Nicht-Diskriminierung. Um diese Risiken zu begrenzen, sollen die Plattformen im Zweifel selbst aktiv werden, etwa ihre Moderationsregeln oder Empfehlungsalgorithmen anpassen.
Immerhin sich selbst stattet die EU-Kommission dagegen mit weitreichenden Rechten aus: Geht sie von Verstößen gegen ihre Regeln aus, kann sie in Zukunft selbst Untersuchungen anstoßen und die Plattformen dazu zwingen, sich in die Karten schauen zu lassen. Dabei müssen diese vor Inspektor:innen auch Daten und Algorithmen offenlegen und deren Funktion erklären. Sollte dabei festgestellt werden, dass Plattformen absichtlich oder durch Nachlässigkeit gegen die Auflagen des Gesetzes verstoßen, können Strafen von bis zu sechs Prozent des Jahresumsatzes verhängt werden.
Der Kampf in Brüssel geht erst los
Kirsten Fiedler, ehemals Leiterin der Digital-NGO Edri, kritisierte auf Twitter die ihrer Ansicht nach zu laschen Auflagen. So dürften Plattformen Inhalte weiterhin rein automatisiert moderieren und werden nicht zu menschlicher Aufsicht über ihre Entscheidungen verpflichtet. Sie müssen lediglich in ihren Nutzungsbedingungen auf diese Praxis hinweisen. Auch dass die Konzerne ihre Risiken selbst einschätzen sollen, bezeichnet sie als enttäuschend.
Lorenz Matzat von Algorithmwatch schreibt hingegen, die neue Regelung zum Einfluss der Nutzer:innen auf Empfehlungsalgorithmen klinge gut. Die Regelungen für den Zugang zu den Schnittstellen lasse hingegen Schlupflöcher offen.
Der heute vorgestellte Entwurf ist noch lange nicht das letzte Wort, eher der Aufschlag für den nächsten Teil einer Lobbyismus-Schlacht in Brüssel, die sich noch über die kommenden Jahre ziehen könnte. Damit der Digital Services Act Gesetz wird, muss er noch durch das Europaparlament und den Rat. Auf dem Weg könnten sich noch einige Stellen im Text ändern, Vorschläge der Parlamentarier:innen und aus den Mitgliedsstaaten könnten ebenso einfließen wie die Wünsche der Tech-Lobby. Google, Facebook und Co. haben sich schon in Stellung gebracht, um schlimmeren Schaden von ihren Konzernen abzuwenden. Sie werden ihre Macht nicht kampflos teilen.
Dit heißt Pfannkuchen, ihr Krapfen!
Aus meiner Sicht macht es Sinn, Digital Services Act und Digital Markets Act als „Gesamtpaket“ zu bearbeiten, da sie von der EU aufgrund sich überschneidender Begrifflichkeiten offensichtlich auch so verstanden werden will und z.B. die Funktion des „Gatekeeper“ für beide Legislativinitiativen von Bedeutung ist. Nicht ganz unerwähnt bleiben sollte auch die EU-Überlegung, dass durch DMA nationale „Alleingänge“ verhindert werden sollen („Even those Member States who have not yet adopted legislation to address unfairness and reduced contestability of core platform services provided or offered by gatekeepers are increasingly considering national measures to that effect. Different national legislation within the EU, besides being insufficiently effective, may lead to increased fragmentation and compliance costs for large market players and the business users that rely on them. „), die sowohl schärfer als auch laxer ausfallen können. Auch wäre der Hintergrund der in der EU Unit F.2 von einigem Interesse. Darüber hinaus sind DSA und DMA auch im Zusammenhang mit Directive on Security of Network and Information Systems (NIS Directive) und dem Vorschlag vom 16.12.2020 zur Aktualisierung (NIS2 Directive), die u.a. feststellt: „The evaluation on the functioning of the NIS Directive, conducted for the purposes of the Impact Assessment, identified the following issues: (1) the low level of cyber resilience of businesses operating in the EU; (2) the inconsistent resilience across Member States and sectors; and (3) the low level of joint situational awareness and lack of joint crisis response.“ Diese Feststellung hat natürlich auch Auswirkungen auf Anforderungen an Unternehmen im Bereich DSA und DMA.