Ein gutes Radar für netzpolitische Themen reicht über Deutschland hinaus, denn viele einflussreiche Gesetzesvorhaben entstehen in der Europäischen Union. Einerseits muss die derzeitige Ampel-Regierung darauf reagieren. Andererseits kann Deutschland als mächtiger Mitgliedsstaat bei EU-Verhandlungen den Ton mitbestimmen.
Gleich drei netzpolitische Vorhaben auf EU-Ebene sind dieses Jahr brisant, weil sie Grundrechte infrage stellen können: die Chatkontrolle, der AI Act und die eIDAS-Verordnung. Auch rund um die Zwillingsgesetze Digital Markets Act und Digital Services Act wird es spannend: die grundlegenden Regulierungen für Online-Anbieter kommen nämlich jetzt zur Umsetzung.
Oft sind EU- und Bundesebene miteinander verwoben, für den optimalen Überblick empfehlen wir deshalb auch unseren Artikel über die Netzpolitik in Deutschland 2023.
Chatkontrolle: Überwachung privater Chat-Nachrichten
An erster Stelle steht das Vorhaben der EU-Kommission, das als Chatkontrolle bekannt ist: die Verordnung zur „Bekämpfung des sexuellen Missbrauchs von Kindern“. Das Gesetz soll also sexualisierte Gewalt gegen Kinder eindämmen. Hierfür sollen Online-Anbieter auf Anordnung sogar private Chat-Nachrichten durchleuchten, um entsprechende Hinweise zu sammeln. Im Fokus stehen dabei Aufnahmen, die Nacktheit und Minderjährige zeigen. Die Kritik an dem Vorhaben ist teils vernichtend und kommt unter anderem von Kinderschutzverbänden, Bürgerrechtsorganisationen und der EU-eigenen Datenschutz-Aufsicht. Grundproblem: Statt einem tatsächlichen Schutz für Kinder droht vor allem Massenüberwachung – und die massenhafte Erfassung von intimen Aufnahmen, die keine Gewalt zeigen.
Politisch ist das Vorhaben allerdings längst nicht vom Tisch: Es geht gerade erst los. Die beiden Kammern der EU, das Parlament und der Ministerrat, verhandeln dieses Jahr über den Vorschlag der Kommission. Bislang hat sich allein Österreich mit Blick auf die Verhandlungen im Ministerrat für ein klares Nein entschieden. Die kritische Debatte nimmt außerhalb des deutschsprachigen Raums kaum Fahrt auf. Die Bundesregierung hat bis Ende 2022 um eine einheitliche Linie gerungen, obwohl der Koalitionsvertrag der Ampel eine deutliche Absage an die Chatkontrolle nahelegt.
Auf der Bremse stand vor allem das für die Verhandlungen zuständige Innenministerium von Nancy Faeser (SPD). Wann und in welcher Form das Vorhaben Realität werden kann, bleibt offen. Zumindest die EU-Kommission dürfte Druck machen, eine neue Regelung zu finden, denn eine ältere Verordnung zur Bekämpfung von Missbrauch gilt nur bis August 2024.
AI Act: Biometrische Massenüberwachung droht
In den vergangenen Monaten schlugen neuartige Text-zu-Bild-Generatoren wie DALL-E-2 und Stable Diffusion hohe Wellen. Und aktuell diskutieren Nutzer*innen in sozialen Medien intensiv die Fähigkeiten der Chat-Anwendung ChatGPT. Das sind zunächst unterhaltsame Beispiele von Anwendungen, die als „Künstlichen Intelligenz“ bekannt sind. KI birgt jedoch auch erhebliche Risiken, etwa indem sie vulnerable Personen diskriminiert oder beispielsweise durch Gesichtserkennung die Anonymität im öffentlichen Raum gefährdet. Solchen Problemen will sich der sogenannte AI Act der Europäischen Union annehmen. Der AI Act soll das erste Gesetz weltweit werden, das KI in sämtlichen Lebensbereichen reguliert. Zu Jahresbeginn soll in Brüssel der Startschuss zu den finalen Verhandlungen fallen.
Der vorliegende Entwurf sieht Maßnahmen vor, die einen sicheren, ethischen und grundrechtskonformen Einsatz von KI sicherstellen sollen. Konkret soll das Gesetz einen Rechtsrahmen für vertrauenswürdige KI-Systeme sowie einheitliche Regeln für deren Entwicklung, Vermarktung und Verwendung innerhalb der EU schaffen. Dafür sollen vier verschiedene Risikolevels festgelegt werden: minimal, begrenzt, hoch – und unannehmbar.
Wie umstritten das Vorhaben ist, zeigen die zurückliegenden Aushandlungen zum AI Act. Einen ersten Gesetzesvorschlag hat die EU-Kommission im April 2021 vorgelegt. Ein halbes Jahr später, im Oktober 2021, sprach sich das EU-Parlament in einer nicht bindenden Resolution mit deutlicher Mehrheit gegen biometrische Massenüberwachung in der EU aus. Und im April 2022 legten zwei Berichterstatter des Parlaments einen Entwurfsbericht zum AI Act vor. Die Europa-Abgeordneten haben daraufhin mehr als 3.000 Änderungen zu diesem Bericht zusammengetragen.
Anfang Dezember hat der Rat der Europäischen Union, der Ministerrat aller 27 Mitgliedsländer, seine Position zum Regulierungsvorhaben abgegeben, die viel Widerspruch erntete. Bürgerrechtsorganisationen kritisieren vor allem die geplanten Regulierungen von KI in öffentlich zugänglichen Räumen als unzureichend – allen voran die biometrische Videoüberwachung. Zudem erlaube die Position des Ministerrates große Spielräume für staatliche Überwachung und stünde somit im Widerspruch zum Koalitionsvertrag der Ampel-Regierung. Dort heißt es, dass biometrische Erkennung im öffentlichen Raum europarechtlich auszuschließen sei.
In den kommenden Wochen ist es nun an dem EU-Parlament, eine eigene Position zum AI Act zu entwickeln. Im darauffolgenden Trilog stimmen dann EU-Kommission, Parlament und Ministerrat das Gesetzeswerk ab. Der Verhandlungsprozess soll laut Zeitplan bis März abgeschlossen sein, was durchaus ehrgeizig ist. Voraussichtlich bis zum Jahr 2025 muss die Verordnung dann umgesetzt werden.
eIDAS: Lebenslange Kennziffer für alle EU-Bürger:innen
Der EU-Ministerrat hat ebenfalls Anfang Dezember eine zustimmende Position zur Reform der eIDAS-Verordnung formuliert. Der neue Rechtsakt soll alle EU-Mitgliedstaaten dazu verpflichten, eine Software namens „European Digital Identity Wallet“ (ID-Wallet) anzubieten, eine Art digitale Brieftasche. Sie soll eine einheitliche Online- und Offline-Identifizierung von Bürger:innen und Einwohner:innen innerhalb der Union ermöglichen – ungeachtet anhaltender Sicherheitsbedenken aus der Zivilgesellschaft.
Der Entscheidung des Rats liegt ein Entwurf zu eIDAS 2.0 zugrunde, den die EU-Kommission im Juni 2021 vorgelegt hatte. Er soll eine Regulierung aus dem Jahr 2014 reformieren: die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“.
Für das Vorhaben macht sich nicht zuletzt die Präsidentin der EU-Kommission, Ursula von der Leyen (CDU), stark. Sie hatte bereits im Jahr 2020 in ihrer Rede zur Lage der Union für die einheitliche ID-Wallet geworben. Bei Bürgerrechtsorganisationen, Datenschützer:innen und IT-Expert:innen trifft das Vorhaben auf massive Bedenken. Aus ihrer Sicht sieht die neue Verordnung keine Schutzmaßnahmen „gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“ vor. Auch sei unklar, über welchen Zeitraum die in der Wallet gesammelten Daten gespeichert werden dürfen.
Die Kommission strebt an, dass bis zum Jahr 2030 rund 80 Prozent der Bürger:innen das System nutzen. Die Entscheidung des EU-Parlaments über seine Position in den anstehenden Trilog-Verhandlungen wird in den kommenden Wochen erwartet.
Unklar ist bei alldem auch, welche Auswirkungen die Entwicklung von eIDAs auf bestehende Systeme der Nationalstaaten hat. Hierzulande arbeitet das Innenministerium an einer eigenen Smart eID, ebenfalls eine ID fürs Smartphone. Deren Fertigstellung ist laut einer Sprecherin des Ministeriums für das „zweite Quartal 2023 geplant“. Daneben gibt es die Ausweis App 2 sowie die App BundesIdent.
Pega-Ausschuss: Mit Spionage-Software gegen eigene Bürger:innen
Seit April untersucht ein Ausschuss im EU-Parlament die Skandale beim Handel und Einsatz des Staatstrojaners Pegasus sowie ähnlicher Überwachungs- und Spähsoftware. Der Ausschuss will den Missbrauch des staatlichen Hackens aufklären und Konsequenzen erarbeiten.
Die bisherigen Erkenntnisse rund um Pegasus sind schlichtweg skandalös. Insgesamt unterhält oder unterhielt die israelische NSO Group, die Pegasus vertreibt, Geschäftsbeziehungen zu 14 EU-Staaten – mehr als die Hälfte der Mitgliedsländer. Weltweit setzen insgesamt rund 50 Länder den Staatstrojaner ein. Ins Visier geraten auch in Europa Oppositionelle, Journalist:innen und Menschenrechtsaktivist:innen. Wer sich ein genaues Bild von der bisherigen Ausschussarbeit machen möchte: Wir haben sämtliche Anhörungen des Pegasus-Ausschusses verschriftlicht und die Wortprotokolle auf netzpolitik.org veröffentlicht.
Der offizielle Abschlussbericht des PEGA-Untersuchungsausschusses soll in den kommenden Monaten veröffentlicht werden. Die Berichterstatterin des Ausschusses, Sophie in ´t Veld, hat bereits im vergangenen November einen eigenen vorläufigen Abschlussbericht veröffentlicht. Darin prangert sie an, wie Europa durch Spionage-Software die Demokratie untergrabe. Entscheidend wird auch sein, an welchen Punkten der offizielle Ausschussbericht von dem vorläufigen abweicht – und welche Konsequenzen die Politik aus den gewonnenen Erkenntnissen ziehen wird.
Privacy Shield 2.0: Neuer Anlauf für Datenschutz-Abkommen mit USA
Auf welcher Grundlage dürfen Daten von EU-Bürger:innen in den USA verarbeitet und wie müssen sie geschützt werden? Um diese Frage ringen die USA, die EU und Datenschützer:innen seit Jahren. Und noch immer steht eine Antwort aus. Bereits zwei Mal hat der Europäische Gerichtshof (EuGH) entsprechende Entscheidungen der EU gekippt: Die Vorgängerregelung „Safe Harbor“ im Jahr 2015; die bislang letzte Regelung „Privacy Shield“ dann im Juli 2020. Die Richter:innen monierten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten.
US-Präsident Joe Biden hat im Oktober per Dekret nun einen dritten Anlauf für ein transatlantisches Datenschutzabkommen unternommen. Die Verwaltungsverordnung sieht unter anderem vor, den Datenzugriff der US-Geheimdienste auf ein Maß zu beschränken, das zum Schutz der nationalen Sicherheit „erforderlich“ und „verhältnismäßig“ ist. Der Text übernimmt damit Begriffe des europäischen Rechts, genauer aus Artikel 52 der Grundrechte-Charta. Darüber hinaus führt das Dekret einen zweistufigen Rechtshilfe-Mechanismus ein, der es EU-Bürgerinnen erlauben soll, sich über einen widerrechtlichen Zugriff auf ihre Daten zu beschweren.
Als Reaktion auf Bidens Verordnung fasste die EU-Kommission Mitte Dezember einen Angemessenheitsbeschluss, der dem Datenschutz in den USA „ein angemessenes Schutzniveau“ bescheinigt. Der Beschluss soll die Bedenken ausräumen, den der EuGH im sogenannten Schrems-II-Urteil hinsichtlich der Sicherheit transatlantischer Datenströme äußerte.
Als Nächstes durchläuft der Entwurf das Annahmeverfahren, bei dem Stellungnahmen eingeholt werden, sie kommen vom Europäischen Datenschutzausschuss (EDSA) und von Vertreter:innen der Mitgliedstaaten. Auch das EU-Parlament hat ein Mitspracherecht. Frühestens im Sommer dieses Jahres könnte der Beschluss in trockenen Tüchern sein.
Doch selbst dann würde keine Rechtssicherheit herrschen. Denn der österreichische Jurist Max Schrems, der die beiden Vorgänger-Regelungen zu Fall gebracht hatte, kritisierte die Einschätzung der Kommission bereits scharf und kündigte an, „zu 95 Prozent“ erneut vor dem EuGH gegen den Rechtsrahmen für den transatlantischen Datenverkehr zu klagen. Schrems bemängelt, dass das Dekret keine wesentliche Verbesserung bringe und dessen Einhaltung für EU-Bürger:innen nicht einklagbar sei.
DSA und DMA: Zwei Leuchtturm-Projekte werden Realität
In die Umsetzung gehen die beiden im vergangenen Jahr verabschiedeten Leuchtturmprojekte der EU: das Gesetz über digitale Dienste (Digital Services Act, DSA) und das Gesetz über digitale Märkte (Digital Markets Act, DMA). Anwendbar werden sie aber erst schrittweise.
Beim DSA müssen Online-Anbieter zunächst bis zum 17. Februar 2023 öffentlich bekanntgeben, wie viele aktive Nutzer:innen sie in der EU haben. Darauf aufbauend wird die EU-Kommission entscheiden, ob ein Anbieter als sehr große Online-Plattform oder Suchmaschine gilt; der Fachbegriff dafür ist VLOP (Very Large Online Platform). Solche Dienste mit mehr als 45 Millionen Nutzer:innen müssen sich künftig an besondere Auflagen halten und neue Sorgfaltspflichten erfüllen. So müssen sie sich bereits vier Monate nach der Einstufung durch die Kommission an die neuen DSA-Vorschriften halten. Dazu zählt auch eine jährliche Risikobewertung ihrer Dienste.
Bis aber wirklich alle Regeln greifen, muss jedes EU-Land die Aufsichtsfrage klären und jeweils einen Koordinator für digitale Dienste benennen. Dazu bleibt bis zum 17. Februar 2024 Zeit. Gemeinsam mit einem neu einzurichtenden „European Digital Services Board“ unter Federführung der EU-Kommission sollen die Koordinatoren über die Einhaltung der DSA-Regeln wachen – und sich dabei tunlichst nicht im Weg stehen, wie es sich bei der zersplitterten Aufsicht der Datenschutz-Grundverordnung gezeigt hat.
Die besten Karten dürfte hierzulande die Bundesnetzagentur haben, mitreden wollen aber auch die Landesmedienanstalten. Ebenfalls neu entstehen muss im Laufe des Jahres ein Europäisches Zentrum für Algorithmische Transparenz (ECAT). Es soll unter anderem den Risikobewertungen der Online-Dienste auf den Zahn fühlen.
Obwohl der DSA als Verordnung unmittelbar EU-weit gilt, müssen die Mitgliedsstaaten gegebenenfalls nationale Gesetze anpassen. In Deutschland betrifft das mindestens das Telemediengesetz, das Netzwerkdurchsetzungsgesetz und voraussichtlich auch das Jugendschutzgesetz. Zudem müssen auch die Länder rechtzeitig prüfen, ob Anpassungen im Medienstaatsvertrag und im Jugendmedienschutz-Staatsvertrag nötig sind.
Der auf sogenannte Gatekeeper abzielende DMA wird grundsätzlich bereits ab dem 2. Mai 2023 anwendbar. Ein etablierter Online-Dienst muss dazu eine binnenmarktrelevante Größe aufweisen und ferner einen „zentralen Plattformdienst“ in mindestens drei EU-Ländern anbieten. Dazu zählt etwa die Kontrolle über die Zugangsschnittstelle zwischen gewerblichen und Endnutzern – beispielsweise dürfte wohl Amazon mit seinem Online-Marktplatz von den Regeln erfasst werden. Unlautere Marktpraktiken wie die Bevorzugung eigener Angebote sollen dann nicht mehr möglich sein, andernfalls drohen hohe Geldstrafen.
Spätestens bis zum 3. Juli 2023 müssen potenzielle Gatekeeper der EU-Kommission mitteilen, ob sie die Kriterien erfüllen. Brüssel hat bis spätestens 6. September 2023 Zeit, die Einstufung vorzunehmen. Anschließend müssen Gatekeeper binnen eines halben Jahres die DMA-Vorgaben umsetzen, als letzte Frist gilt der 6. März 2024. Unterdessen arbeitet die EU-Kommission an einer Durchführungsverordnung, um mehr Klarheit für betroffene Unternehmen zu schaffen.
Die Aufsicht beim DMA liegt im Unterschied zum DSA allein bei der EU-Kommission, wobei sie eng mit nationalen Behörden wie dem Bundeskartellamt zusammenarbeiten will. Die Strukturen muss die Kommission allerdings erst aufbauen. Künftig soll diese neue Stelle unter anderem Marktuntersuchungen durchführen oder bei systematischen Verstößen strukturelle Maßnahmen anordnen können.
Data Act: Neuregelung der europäischen Datenökonomie
Mit dem Data Act legte die Kommission im Februar 2022 einen Verordnungsentwurf vor, der die europäische Datenökonomie neu regeln soll. Zu den erklärten Zielen zählt unter anderem, mehr Daten für das Gemeinwohl nutzbar zu machen. Hinter dem Vorhang sieht es jedoch eher wie ein Wirtschaftsprojekt aus. Entsprechend zäh verlaufen seitdem die Verhandlungen der jeweiligen EU-Institutionen.
So konnte sich der Ministerrat bislang nicht auf eine gemeinsame Linie der EU-Länder einigen. Das vorerst letzte Lebenszeichen ist ein Fortschrittsbericht der tschechischen Ratspräsidentschaft aus dem November 2022. Demnach ist etwa unklar, wie weitreichend geplante Auflagen für die Interoperabilität zwischen Cloud-Diensten reichen sollen, um nur einen Streitpunkt von vielen zu nennen.
Im EU-Parlament ist wiederum die konservative Pilar Del Castillo Vera Verhandlungsführerin – manche dürften sich an sie noch als wirtschaftsfreundliche Berichterstatterin des Parlaments rund um die Regeln für Netzneutralität erinnern. Zwar hat sie bereits im September ihren ersten Berichtsentwurf vorgelegt, zu dem sind allerdings mehr als 1.000 Änderungsanträge eingegangen. Alleine das zeigt schon, wie hart umkämpft dieses Vorhaben noch sein wird. Zu den aktuellen Bruchlinien im Parlament zählt etwa der Streit darüber, was eigentlich Rohdaten sind und ob man nicht granulare Unterscheidungen zwischen bestimmten Datenformen einführen sollte. Bislang lässt sich noch nicht absehen, wann die Verhandlungen zwischen Kommission, EU-Ländern und Parlament beginnen werden.
Netzneutralität: Extra-Einnahmen für Telekommunikations-Unternehmen
Auf dem Wunschzettel großer Telekommunikations-Unternehmen wie Telekom Deutschland und Telefónica steht schon lange eine zusätzliche Einnahmequelle durch Extra-Gebühren. Zahlen sollen sie Online-Dienste, deren Angebote viel Bandbreite benötigen – während Nutzer:innen natürlich weiterhin die Kosten für ihren Internetanschluss zahlen. Bislang sind die Telekommunikations-Unternehmen mit dieser Forderung nach doppeltem Abkassieren stets abgeblitzt. Nicht so bei der aktuellen EU-Kommission: Anfang 2023 soll eine Konsultation zu dem geplanten Gesetz starten, das unter dem Namen Connectivity Infrastructure Act läuft.
Die Kommission versucht hier einen Drahtseilakt: Auf der einen Seite will sie ihre ambitionierten Ausbauziele bis 2030 erreichen und braucht dafür die Industrie, die über die hohen Investitionskosten klagt. Auf der anderen Seite betonen die zuständigen Kommissar:innen Thierry Breton und Margrethe Vestager bei jeder Gelegenheit, nicht an den EU-Regeln zur Netzneutralität rütteln zu wollen. Zusatzgebühren für ausgewählte Online-Dienste würden dieses Prinzip jedoch ernsthaft in Gefahr bringen.
Inzwischen zeigen EU-Papiere, wie sich das lobbynahe Framing der Debatte auch in der Politik festsetzt. Konkret geht es um ein Verständnis der Zusatzgebühren als „Fair Share“. So vertritt es etwa die Lobbyorganisation ETNO. Entsprechend findet sich etwa in der jüngsten EU-Erklärung für Digitale Grundrechte ein potenziell brisanter Abschnitt: Er fordert von allen Marktteilnehmern, die vom digitalen Wandel profitieren, eine faire und verhältnismäßige Kostenbeteiligung. Auch der Ministerrat hat so eine Passage in seine Position zu den EU-Digitalzielen für 2030 eingefügt.
In einer optimistischen Deutung könnte dahinter auch ein erneuter Anlauf für eine Digitalsteuer stecken. Vorsicht ist aber angebracht. Schließlich kommt Thierry Breton als ehemaliger Chef des Ex-Monopolisten France Télécom – heute Orange – aus der Branche und versteht sich in erster Linie als Industriepolitiker. Es ist wohl auch kein Zufall, dass ausgerechnet Frankreich, Italien und Spanien sich frühzeitig hinter den Vorstoß der Kommission stellten. Sie sorgen sich um ihre ehemaligen und teils strauchelnden Staatskonzerne und wollen, dass sie weiter mitmischen: an der Börse und internationalen Telekommunikations-Märkten.
Etwas aus der Reihe tanzt Deutschland, wo mit der Telekom ebenfalls ein mächtiger Industrie-Riese sitzt. Noch will sich die Bundesregierung nicht klar positionieren, schon allein, weil kein konkreter Vorschlag der Kommission vorliegt. Der könnte aber früher kommen, als ihr lieb ist.
Eigentlich eine apokalyptische Zusammenstellung, wenn man sich wahlweise die eingeschlagene Richtung oder die Versäumnisse (u.a. auch in der Diskussion) anschaut.
AI Act … nicht nur Biometrie, auch Trainingsdaten und die volle Exploitation chain, Feedbacktesting jeglicher Manipulationstechnologie etc. Nun die Begrifflichkeiten: „Zugänglichkeit“, „Ökonomie“ wo bräuchten „Brandmauern“ oder „Vollbremsung“.
Könnte ein verlorenes Jahrzehnt bzw. Jahrhundert werden.