Artikel 17Upload-Filter auf Kollisionskurs mit EU-Datenschutzregeln

Es gab viel Streit um die EU-Urheberrechtsreform. Besonders Uploadfilter haben für viel Aufruhr gesorgt. Christoph Schmon von der Electronic Frontier Foundation hat die Reform darauf hin untersucht, ob sie mit dem Datenschutzrecht vereinbar ist. Seine Antwort ist eindeutig.

Das Bild zeigt einen Comic eines Roboters, der andere Roboter, die genau aussehen wie er, an den Händen hält. Auf seiner Burst steht "Ban content", also zu Deutsch "Lösche Inhalte", seine Augen sind C-Symbole.
Ob Roboter sich wohl für Datenschutz interessieren? (Symbolbild) CC-BY 2.0 www.eff.org

Christoph Schmon ist International Policy Director der Electronic Frontier Foundation (EFF). Bevor er für die EFF arbeitete, leitete er das Team für Verbraucherrechte bei der EU-Verbraucherorganisation BEUC und wurde zum Mitglied mehrerer Expert:innengruppen der EU-Kommission in Brüssel ernannt. Dr. Schmon war als Forscher an mehreren Universitäten tätig und lehrt und schreibt über Verbraucherrecht, digitale Rechte und internationales Privatrecht. Dieser Artikel erschien zuerst auf dem Blog der EFF unter der Lizenz CC BY 3.0. Wir haben ihn aus dem Englischen übersetzt.

Die umstrittenen neuen Urheberrechtsregeln der Europäischen Union kollidieren
mit ihren Datenschutzvorschriften. Die EU-Datenschutzgrundverordnung (DSGVO) sichert beim Umgang mit persönlichen Daten den Datenschutz, die Privatsphäre und andere Grundrechte ab. Diese Rechte werden wahrscheinlich durch den Einsatz automatisierter Entscheidungssysteme beeinträchtigt, die garantiert zum Finden und Herausfiltern von urheberrechtlich geschütztem Material nach Artikel 17 genutzt und missbraucht werden.

Dieser Beitrag untersucht, wie es in der EU dazu kommen konnte, und warum Mitgliedstaaten jetzt handeln sollten, um sich bei der Umsetzung der Urheberrechtslinie von automatisierten Filtern fernzuhalten, die gegen die DSGVO verstoßen, indem sie Nutzer:innen zensieren und diskrimineren.

Plattformen werden zur neuen Copyright-Polizei

Artikel 17 der EU-Urheberrechtsrichtlinie (ehemals Artikel 13) macht Online-Dienste für von Nutzer:innen hochgeladene Inhalte haftbar, die das Urheberrecht einer anderen Person verletzen.

Um der Haftung zu entgehen, müssen die Betreiber:innen von Online-Plattformen nachweisen, dass sie sich nach besten Kräften bemüht haben, die Genehmigung der Rechteinhaber:innen einzuholen und sicherzustellen, dass unzulässige Inhalte nicht auf ihren Plattformen verfügbar sind. Außerdem müssen sie nachweisen, dass sie zügig gehandelt, Inhalte entfernt und ihr erneutes Hochladen verhindert haben, nachdem sie Nachricht von Rechteinhaber:innen bekommen haben.

Vor der Verabschiedung der Urheberrechtsrichtlinie wiesen Nutzerrechtsverfechter:innen den Gesetzgeber darauf hin, dass Plattformbetreiber:innen voraussichtlich Upload-Filter einsetzen müssen, um Inhalte von ihren Plattformen fernzuhalten, die gegen Urheberrechte verstoßen. Sie warnten, dass Artikel 13 die Online-Dienste auf diese Art zu einer Urheberrechtspolizei mit spezieller Filter-Lizenz machen würde: Online-Dienste müssen nämlich die Milliarden von Social-Media-Beiträgen und Videos, Audioclips und Fotos der Nutzer:innen auf mögliche Rechtsverletzungen hin durchsuchen und filtern.

Es gab kaum Zweifel daran, dass sich jedes automatisierte System zum Abfangen und Blockieren von Urheberrechtsverletzungen negativ auf die Nutzer:innen auswirken würde, wenn deren legitime Beiträge manchmal fälschlicherweise gelöscht oder blockiert würden.

Anstatt die Freiheiten der Nutzer:innen vorbehaltlos zu schützen, konzentriert sich der ausgearbeitete Kompromiss für die Upload-Filter auf verfahrenstechnische Schutzvorkehrungen, um zu verhindern, dass übermäßig blockiert wird. Beschwerde- und Rechtsbehelfsmechanismen sollen eine schnelle Lösung bieten – dennoch sieht es danach aus, dass sich zensierte Europäer:innen in eine lange Warteschlange anderer Betroffener einreihen werden müssen.

Sieht den Wald vor lauter Bäumen nicht: die DSGVO

Ein automatisiertes Urteilsystem, das nutzergenerierte Inhalte beurteilt, einen erheblichen Einfluss auf Einzelpersonen hat und in einer undurchsichtigen Black Box steckt – irgendwas an dieser Idee klingt unheimlich vertraut.

Bei den jüngsten Debatten im Rahmen des EU-Urheberrechtsdialogs über technische und rechtliche Grenzen von Upload-Filtern wurden europäische Datenschutzvorschriften – die die Nutzung automatisierter Entscheidungsprozesse für personenbezogene Daten regeln – von den EU-Beamten nicht auf die Tagesordnung gesetzt. Auch DSGVO-Expert:innen aus der Forschung wurden nicht eingeladen (lest diese Analyse von Sophie Stalla-Bourdillon oder schaut das diesjährige CPDP-Panel zu Copyright-Filtern).

Laut Artikel 22 der DSGVO haben Nutzer:innen das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.

Diese Bestimmung soll Benutzer:innen vor Nachteilen schützen, die durch Algorithmen für sie entstehen würden. Das wäre beispielsweise die Ablehnung eines Online-Kredits durch einen Dienst, bei der eine Software, keine Menschen, über Annahme oder Ablehnung von Anträgen entscheidet. In der Sprache der DSGVO meint das Wort „ausschließlich“ einen Entscheidungsprozess, der vollständig automatisiert ist und jeglichen echten menschlichen Einfluss auf das Ergebnis ausschließt.

Der Copyright-Filter-Test

Persönliche Daten

Die DSGVO gilt allgemein immer, wenn eine Anbieterin personenbezogene Daten verarbeitet. Personenbezogene Daten sind definiert als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen („betroffene Person“, Artikel 4 Absatz 1 DSGVO).

Praktisch jeder Beitrag, den die Upload-Filter analysieren, stammt von einer Benutzerin, die ein Konto bei einem Online-Dienst einrichten musste, um überhaupt Beiträge erstellen zu können. Die erforderlichen Daten für die Kontoregistrierung machen es unvermeidlich, dass die DSGVO für Filter nach der Urheberrechtsrichtlinie gilt.

Selbst anonymen Beiträge lassen sich Metadaten wie IP-Adressen zuordnen, die zur Re-Identifizierung einer Person verwendet werden können. Anonymisierung ist technisch sehr aufwendig, aber selbst gezielte Anonymisierung genügt der DSGVO nicht, wenn der Inhalt mit einem Nutzerprofil wie einem Social-Media-Profil auf Facebook oder YouTube verknüpft ist.

Verteidiger:innen von Urheberrechtsfiltern könnten entgegnen, dass diese Filter keine Metadaten auswerten. Sie würden stattdessen sagen, dass die Filter lediglich hochgeladene Inhalte mit den von den Rechteinhabern bereitgestellten Informationen vergleichen. Bei der algorithmischen Entscheidungsfindung der Urheberrechtsrichtlinie geht es jedoch um viel mehr als den Abgleich von Inhalten.

Es geht um die Entscheidung, ob eine bestimmte Benutzerin ein bestimmtes Werk veröffentlichen darf. Dabei ist die Frage, ob der Upload der Nutzerin mit von Rechteinhaber:innen bereit gestellten Infos übereinstimmt oder nicht, nur ein Schritt von vielen auf dem Weg zur Entscheidung. Filter mögen nicht notwendigerweise persönliche Daten nutzen, um zu entscheiden, ob Inhalte entfernt werden sollen – aber bei der Entscheidung geht es letztlich immer darum, was eine bestimmte Person tun kann.

Mit anderen Worten: Wie kann das Überwachen und Entfernen von Uploads von Personen, die Meinungen ausdrücken, die sie zu teilen versuchen, nicht eine personenbezogene Entscheidung beinhalten?

Dazu kommt, dass der Begriff der „persönlichen Daten“ sehr weit gefasst ist.

Der EU-Gerichtshof (Rechtssache C-434/16 Nowak gegen den Datenschutzkommissar) entschied, dass der Begriff „persönliche Daten“ alle Informationen umfasst, „sofern sie sich auf die betroffene Person beziehen“ – sei es durch den Inhalt (ein auf Facebook hochgeladenes Selfie), den Zweck (ein Video wird verarbeitet, um die Vorlieben einer Person zu auszuwerten) oder die Wirkung (eine Person wird aufgrund der Beobachtung ihrer Uploads anders behandelt).

Ein Urheberrechtsfilter entfernt alle Inhalte, die mit Materialien von Personen übereinstimmen, die behaupten, Rechteinhaber:innen zu sein. Der Zweck des Filters besteht darin, zu entscheiden, ob ein Werk veröffentlicht wird oder nicht. Der Einsatz präventiver Filtermaßnahmen führt dazu, dass die Werke mancher Benutzer:innen irrtümlich blockiert werden, während die Werke anderer Benutzer:innen, die mehr Glück haben, nicht blockiert werden. Das bedeutet, dass der Filter eine erhebliche Wirkung hat und sogar einige Benutzer:innen diskriminiert.

Die WP29, ein offizielles europäisches Beratungsgremium für den Datenschutz (jetzt European Data Protection Board (EDPB)), hat Richtlinien zur automatisierten Entscheidungsfindung entwickelt. Sie bieten eine Benutzer:innen-freundliche Interpretation der Anforderungen an die automatisierte individuelle Entscheidungsfindung. Danach gilt Artikel 22 für Entscheidungen, die sich auf jegliche Art von Daten stützen. Das bedeutet, dass Artikel 22 der DSGVO für Algorithmen gilt, die nutzergenerierte Inhalte auf Plattformen bewerten.

Nachteilige Auswirkungen

Haben Urheberrechtsfilter „rechtliche“ oder „signifikante“ Auswirkungen im Sinne der DSGVO? Die Verordnung definiert diese Begriffe nicht, aber die vom Europäischen Datenschutzrat gebilligten Richtlinien zählen einige „rechtliche Auswirkungen“ auf, einschließlich der Verweigerung von Leistungen und der Kündigung eines Vertrages.

Die Richtlinien erläutern, dass eine automatisierte Entscheidung selbst dann in den Anwendungsbereich von Artikel 22 der DSGVO fallen kann, wenn sie keine rechtlichen Auswirkungen hat. Dies ist beispielsweise der Fall, wenn der Entscheidungsprozess das Verhalten der betroffenen Person erheblich beeinflusst, eine längere Auswirkung auf diese Person hat oder der Prozess zu einer Diskriminierung von Benutzer:innen führt. Beispielsweise könnte eine irrtümliche Sperrung von Werken zu finanziellen oder wirtschaftlichen Nachteilen führen. Je einschneidender eine Entscheidung ist und je mehr Erwartungen enttäuscht werden, desto größer ist die Wahrscheinlichkeit nachteiliger Auswirkungen.

Man denke hier nur an eine Künstlerin, deren Publikum darauf wartet, ein Video von ihr zu sehen (zum Beispiel, wenn sie eine Crowdfunding-Kampagne der Künstlerin unterstützt haben). Eine irrtümliche Sperrung könnte dazu führen, dass die wirtschaftliche Freiheit der Künstlerin beeinträchtigt wird und das wiederum könnte zu finanziellen Verlusten führen.

Genauso wäre auch das Blockieren eines kritischen Essays zu politischen Geschehnissen schlicht Zensur, die das Recht der Autorin auf freie Meinungsäußerung beeinträchtigt. Es gibt noch viele weitere Beispiele, die zeigen, dass negative Auswirkungen durch automatisierte Filtersysteme oft unvermeidbar sein werden.

Berechtigte Gründe für automatisierte individuelle Entscheidungsfindung

Es gibt drei Gründe, nach denen eine automatisierte Entscheidungsfindung gemäß Artikel 22 Absatz 2 der DSGVO erlaubt ist. Benutzer:innen können einer automatisierten Entscheidungsfindung unterworfen werden, wenn eine von diesen drei Ausnahmen zutrifft:

Erstens, sie ist für den Abschluss oder die Erfüllung eines Vertrages erforderlich; zweitens, sie ist durch das Recht der EU oder das eines Mitgliedsstaates zugelassen; oder drittens, sie findet auf Grundlage der ausdrücklichen Einwilligung der Benutzerin statt.

Grund eins: Erforderlichkeit

Urheberrechtsfilter können nach dieser Regel nicht mit Recht als „erforderlich“ angesehen werden. „Erforderlichkeit“ wird im Datenschutzrahmen eng ausgelegt und kann nicht nur etwas sein, das in Nutzungsbedingungen festgelegt wird.

Vielmehr muss eine Notwendigkeitsbegründung für die automatisierte Entscheidungsfindung mit den Zielen des Datenschutzrechts in Einklang stehen. ieser Rechtfertigungsgrund kann nicht verwendet werden, wenn andere, gerechtere oder weniger stark eingreifende Maßnahmen möglich sind. Die bloße Teilnahme an einem Online-Dienst begründet keine „Notwendigkeit“ und kann daher eine automatisierte Entscheidungsfindung nicht ernstzunehmend rechtfertigen.

Grund zwei: Zulässigkeit

Befürworter:innen von Upload-Filtern würden wohl argumentieren, dass Filter durch die Gesetze der EU-Mitgliedsstaaten, die die Urheberrechtsrichtlinie umsetzen, zulässig sind. Ob dies die Anforderungen der Richtlinie sind, war von Anfang an unklar.

Ein Screenshot von einem Tweet von Axel Voss vom 31. August 2018.
Der neue Vorschlag für die Urheberrechtsrichtlinie enthalte keine Uploadfilter, deshalb erwarte er breite Zustimmung zu dem neuen Vorschlag. Das schrieb Axel Voss 2018 bei Twitter - Screenshot | Twitter @AxelVossMdEP

Der Berichterstatter für die Urheberrechtsrichtlinie, Axel Voss, bestand darauf, dass die Urheberrechtsrichtlinie keine Upload-Filter vorschreibt. Voss wies gegenteilige Behauptungen als reine Panikmache von Digital-Rights-Gruppen zurück. Tatsächlich fällt auf, dass in der endgültigen Sprachfassung der Richtlinie nach monatelangen Verhandlungen zwischen den EU-Institutionen jeder ausdrückliche Hinweis auf Filtertechnologien vermieden wurde.

Stattdessen verlangt Artikel 17 Präventivmaßnahmen, um zu garantieren, dass urheberrechtlich geschützte Inhalte nicht verfügbar sind. Er stellt außerdem klar, dass seine Anwendung weder zur Identifizierung einzelner Nutzer:innen noch zur Verarbeitung personenbezogener Daten führen darf, es sei denn, dies ist nach der DSGVO vorgesehen.

Selbst wenn die Urheberrechtsrichtlinie die Verwendung von Filtern zulässig wäre, sagt Artikel 22(2)(b) der DSGVO, dass eine Genehmigung durch Gesetz allein nicht ausreicht, um eine automatisierte Entscheidungsfindung zu rechtfertigen. Das umsetzende Recht – das jeweilige nationale Gesetz zur Umsetzung der Urheberrechtsrichtlinie – muss geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen enthalten. Es ist unklar, ob Artikel 17 den Mitgliedsstaaten genügend Spielraum bietet, um diese Standards zu erfüllen.

Grund drei: Einwilligung

Ohne „Erforderlichkeit“ oder „Zulässigkeit“ bleibt also als einziger Weg zur Rechtfertigung von Urheberrechtsfiltern nach der DSGVO die ausdrückliche Einwilligung der Nutzer:innen übrig.

Für eine Datenverarbeitung, die auf automatisierten Entscheidungen beruht, ist ein hohes Maß an individueller Kontrolle erforderlich. Die DSGVO verlangt, dass die Einwilligung freiwillig, spezifisch, informiert und eindeutig gegeben werden muss. Da Entweder-Oder-Situationen wahre Einwilligung unmöglich machen, muss geprüft werden, ob eine automatisierte Entscheidungsfindung für die angebotene Dienstleistung notwendig ist.

Und: Die Einwilligung muss ausdrücklich sein. Das bedeutet, dass die Nutzerin eine offensichtliche, ausdrückliche Einwilligungserklärung abgeben muss. Vermutlich haben aber nur wenige Nutzer:innen gesteigertes Interesse daran, in lästige Filterprozesse einzuwilligen.

Selbst wenn die automatisierte Entscheidungsfindung durch die Einwilligung der Nutzerin oder durch eine vertragliche Notwendigkeit gerechtfertigt ist: Artikel 22 besagt, dass die Plattformen die Rechte und Freiheiten ihrer Nutzer:innen schützen müssen.

Nutzer:innen haben ein Recht auf „menschliches Eingreifen“ von Seiten der Plattformen, das Recht, ihre Meinung über die Entfernung von Inhalten zu äußern, und das Recht, die Entscheidung anzufechten. Die DSGVO verlangt daher, dass Plattformen völlige Transparenz darüber bieten müssen, warum und wie das Werk der Nutzer:innen entfernt oder blockiert wurde.

Schlussfolgerung: Copyright-Filter müssen die Persönlichkeitsrechte der Benutzer respektieren

Die erheblichen negativen Auswirkungen automatisierter Entscheidungsfindung auf Nutzer:innen und die Rechtsunsicherheiten über die Situationen, in denen Urheberrechtsfilter zulässig sind, sollten am besten durch eine Politik der gesetzgeberischen Selbstbeschränkung angegangen werden.

Unabhängig davon, welche Entscheidung die nationalen Gesetzgeber treffen: Sie sollten den Schutz der Privatsphäre, der Redefreiheit und anderer Grundrechte der Nutzer sicherstellen, bevor Uploads beurteilt, blockiert oder entfernt werden.

Wenn die Mitgliedstaaten diese Argumentationslinie übernehmen und ihre gesetzlichen Verpflichtungen im Geiste der EU-Datenschutzvorschriften erfüllen, könnte dies jegliche Zukunft für EU-mandatierte, vollautomatische Upload-Filter abwürgen. Dies würde auch eine wichtige Grundlage für Diskussion über allgemeine Überwachungs- und Filterverpflichtungen im bevorstehenden Digital Services Act liefern.

(Vielen Dank an Rossana Ducato für den Austausch rechtlicher Argumente, die diesen Artikel inspiriert haben).

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Eine Ergänzung

  1. Juristisch leider unsauber. Insbesondere die Ausführungen zum Ausnahmetatbestand gemäß Art. 22 Abs. 2 lit. a) DSGVO sind unzureichend. An der Stelle wird zwar definiert (aus meiner Sicht aber eh schon verkürzt), was Erforderlichkeit zur Vertragserfüllung erfordert und auf den Grundsatz der Verhältnismäßigkeit eingegangen. Am Ende fehlt es aber an einer entsprechenden Subsumtion. Es so zwar erkannt, dass mildere (im Übrigen gleich effektive) Mittel eine Rechtfertigung nach dem Ausnahmetatbestand hindern würden, aber es fehlen jedwede Ausführungen dazu, ob das hier der Fall ist. Ich weiß aus dem Stegreif nicht, ob tatsächlich mildere Mittel denkbar wären und dank des Weglassens der Subsumtion erfahre ich es auch nicht vom Autor. Es fehlt ja sogar ein behauptender Ergebnissatz in der Form von: „In diesem Fall sind offensichtlich weniger eingriffsstarke Mittel denkbar, als vollumfängliche Upload-Filter“.

    Die Ausführungen sind daher leider nur interessante Gedanken, die man (immerhin) im Hinterkopf behalten sollte.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.