31.01.2022Digitalisierung

Gut gemeint ist nicht gut gemacht – sicherheits- und innovationspolitische Risiken der EU Digitalgesetzgebung (DSA / DMA)

©
iStock bluejayphoto

In Brüssel werden in diesen Tagen neue Grundlagen für die Gestaltung des europäischen Binnenmarktes gelegt, die vor allem mit einem Gesetzesvorhaben, dem sogenannten Digital Markets Act (DMA), gelingen soll. Letzte Woche hat nun auch das Europäische Parlament dem Vorschlag des federführenden IMCO-Ausschusses zur Einführung neuer Marktregulierungsinstrumente für einige wenige große Digitalunternehmen zugestimmt. Damit ist der Weg frei hin zum letzten Schritt in diesem erstaunlich schnellen, an manchen Stellen aber wohl nicht ganz zu Ende gedachten Gesetzgebungsverfahren. Ab Januar sollen sich auch die EU Kommission, der Rat und das Europäische Parlament in einem Trilogverfahren auf einen Kompromiss einigen.

Der DMA soll durch die Einführung strenger Befolgungspflichten für eine Handvoll sogenannter Gatekeeper, harmonisierte Vorgaben für wettbewerbsfähigere und fairere Märkte im digitalen Sektor gewährleisten. Das Parlament legt aber – neben dem Ziel, EU-weit einheitliche Regeln zu schaffen – einen neuen Fokus auf die Förderung europäischer Innovation. Damit soll auch die Verbraucherwohlfahrt gestärkt werden.

Diese Ziele lesen sich auf den ersten Blick durchaus überzeugend. Wo das herkömmliche Wettbewerbsrecht ineffektiv erscheint, unfaire oder verbraucherschädliche Verhaltensweisen zu bekämpfen, sollen solche harmonisierten Binnenmarktregeln marktmächtigen Unternehmen klare Grenzen setzen. Gerade die Stärkung der Verbraucherwohlfahrt ist im Wettbewerbsrecht typischerweise ein vorrangig zu berücksichtigendes Ziel. Angesichts der teilweise weitreichenden Eingriffe und Vorgaben für die adressierten Digitalunternehmen lässt sich allerdings fragen, ob Brüssel sich auch tatsächlich die nötige Mühe gemacht hat, mögliche unbeabsichtigte Folgen dieses Ansatzes gründlich und kritisch zu hinterfragen. Manchmal gilt: gut gemeint ist am Ende nicht gut gemacht. Mit dem DMA drohen weitreichende nicht-intendierte sicherheits- und innovationspolitische Konsequenzen. Das kann nicht im Interesse der EU, seiner Mitgliedsländer, der Unternehmen oder der Verbraucher sein.

Das 21. Jahrhundert wird geprägt durch geopolitische Auseinandersetzungen, die zunehmend auch die Auseinandersetzung um Führungsrollen in zentralen Technologiefeldern sein wird. Denn wer technologisch tonangebend ist, kann Standards setzen. Solche Standards haben sowohl ökonomische als auch sicherheitstechnische und -politische Implikationen. Der US-amerikanische Präsident Joe Biden hat dieses Problem erkannt und daher eine Initiative gestartet, im Rahmen der G7-Staaten Standards für die digitale Ökonomie, die digitale Sicherheit, die digitale Innovationsfähigkeit und die Chancen und Grenzen digitaler Geschäftsmodelle zu setzen. Diese Initiative kommt zum richtigen Zeitpunkt.

Sie ist der Versuch liberale Werte, faire Wettbewerbsbedingungen, Innovationsfähigkeit und Sicherheit miteinander zu verbinden, um damit in der Systemauseinandersetzung eine wertebasierte demokratische Antwort zu geben. Technologie-Regulierung muss diese Ziele ausgewogen berücksichtigen und muss unerwünschte Nebenwirkungen, z.B. den missbräuchlichen Zugang für Dritte zum technologischen Kern von Unternehmen, ihren Geschäftsmodellen, antizipieren und verhindern.

Genauso wichtig ist ein verstärkter und intensivierter Dialog zwischen der europäischen Kommission und der amerikanischen Regierung. Er bietet die Chance, zu einem gemeinsamen Ansatz im transatlantischen Verhältnis zu kommen. Das ist vor allem Teil der Arbeit und der Ziele des Trade and Technology Council, dem neuen Gremium der Europäischen Kommission und der amerikanischen Regierung.

Die davon entkoppelten Vorschläge der Kommission stehen mit diesem Ansatz leider nicht im Einklang. Inmitten der internationalen Auseinandersetzungen um die Technologieführerschaft im Internet könnten die neuen Regeln nicht nur Europa letztlich mehr schaden als nutzen. Denn in seiner aktuellen Form birgt der DMA eher das Risiko, Know-How Transfer politisch und ökonomisch zu ermöglichen und so unbeabsichtigt zum kostenlosen Inkubator für außereuropäische Technologieanbieter jeglicher Couleur zu avancieren.

Falsch gesetzte Regeln beispielsweise zu Fragen der Interoperabilität oder mit Blick auf extensive Datenteilungspflichten können dazu führen, dass auch die europäische Politik und damit europäische Verbraucher zum Spielball fremder Einflüsse werden, die der DMA erst möglich machen wird. Die Büchse der Pandora könnte geöffnet werden.

Ein Beispiel: Im DMA soll sichergestellt werden, dass Drittanbieter von Online-Suchmaschinen Zugang zu Ranking-, Anfrage-, Klick- und Ansichtsdaten von Online-Suchmaschinen eines sogenannten Gatekeepers erhalten können.

So könnten z.B. staatlich gesteuerte Tech-Unternehmen die durch den DMA erzwungene Offenlegung von Daten dazu nutzen, Produkte nachzubauen, Qualitätsstandards zu reduzieren und Inhalte zu manipulieren. Die Anforderungen an die Weitergabe von Suchdaten könnten nicht nur die Privatsphäre und die Sicherheit von Verbrauchern beeinträchtigen, wenn Unternehmen künftig gezwungen sind, detaillierte Abfrage-, Klick- und Ansichtsdaten weiterzugeben.

Darauf basierende Dienste können so zu mächtigen, zum Teil auch staatlich eingesetzten  Desinformationswerkzeugen werden. Jeder, der behauptet eine Suchmaschine zu betreiben, kann eine unbestimmte Menge an Daten herausverlangen. Das Risiko, dass Nutzerdaten in die Hände unbekannter Dritter gelangen, verschärft die Risiken nicht nur für den Datenschutz und die Sicherheit im Internet. Ein zu hohes Maß an Granularität beim Zugang zu Suchdaten könnte unter bestimmten Umständen – gerade im Zeitalter von Machine Learning besteht das reale Risiko – das Risiko eines von Reverse Engineering mit sich bringen, dass im einfachsten Falle nicht nur die Qualität der angezeigten Suchergebnisse beeinträchtigt, sondern vor allem die Bereitstellung manipulierter Suchergebnisse ermöglicht.

Ein chinesischer Suchanbieter könnte sich beispielsweise auf den DMA berufen, um sensible Nutzer- und Geschäftsdaten anzufordern und funktionsidentische Klone bekannter Suchmaschinen wie der von Google oder Microsoft erschaffen, die diese imitieren. Ihren Weg können solche Angebote durch geschickte Vermarktung über neue Browsersidebars, PlugIns oder anderweitig untergeschobenen Installationsaufforderungenan den Endverbraucher finden. Europäische Nutzer würden mit solchen Angeboten überflutet. Einmal installiert können staatlich gelenkte Desinformationskampagnen so in einfachster Art und Weise “unters Volk” gebracht werden. Verbraucher werden nicht mehr erkennen können, welchen Informationen sie da eigentlich gegenüberstehen und woher sie kommen.

Diese “Nebenwirkungen” sind alles andere als harmlos. Sie können demokratiegefährdend sein, weil sie wirksam die öffentliche Meinung beeinflussen können. Wie sich in diesen Tagen eindrücklich zeigt, reicht es, Desinformation und Zweifel auch nur bei einem kleinen Teil der Bevölkerung zu verbreiten. Im digitalen Raum werden diese Gruppen schnell zu vermeintlichen Meinungsführern wachsen. Wenn das passiert, hat das Konsequenzen auf die liberale, demokratische Öffentlichkeit und den demokratischen Diskurs.

Ganz nebenbei werden solche Fake-Angebote nicht nur gekaufte oder gelenkte Informationen verbreiten.  Außerdem werden solche Angebote zum Gateway für Manipulationen auf technologischer Ebene, die Tür und Tor für erhebliche Cybersicherheitsrisiken eröffnet. Unbedacht installierte Browsererweiterungen oder Plugins leiten nicht nur auf betrügerische oder anderweitig problematische Inhalte. Die Installation selbst kann dazu genutzt werden, Schadsoftware einzuschleusen oder anderweitige technische Manipulation zu ermöglichen.

Dass diese Szenarien realistisch sind, zeigt nicht erst die Entdeckung des russischen Glupteba-Botnetzwerkes vor einigen Wochen. Globale Auseinandersetzungen finden heute mehr und mehr auch im Netz statt, um Länder und Regierungen zu destabilisieren, öffentliche Meinung zu beeinflussen und technische Systeme  und kritische Infrastrukturen zu kompromittieren.

Diese Beispiele zeigen, dass der DMA mehr und neue Probleme schaffen kann, als er vorgibt zu lösen. Die Erwartung, dass die Plattformen für ihre Nutzer sicher und vertrauenswürdig arbeiten, Schadsoftware von einem App-Store fernhalten, den Online-Verkauf gefälschter und gefährlicher Waren verhindern, die Verbreitung von Fehlinformationen unterbinden oder die Verbreitung von Kindesmissbrauch oder Geldwäsche verhindern und das umsetzen, was Kunden und politische Entscheidungsträger von ihnen erwarten, wird mit diesen Regelungen, zum Schaden der europäischen Demokratien und deren Bürgern nicht nur unterlaufen, sondern in Frage gestellt.

Gut gedacht ist also nicht gut gemacht, entscheidend ist, was hinten rauskommt. Es bedarf dringend einer weiteren, umfassenderen Gesetzesfolgenabschätzung, die in dieser Form bislang fehlt.

In Anbetracht der Risiken ist es von entscheidender Bedeutung, dem Rat von Botschafter Wolfgang Ischinger, dem Vorsitzenden der Münchner Sicherheitskonferenz, Gehör zu schenken, und zuzustimmen, wenn er feststellt, dass der DMA und DSA „aus jedem Blickwinkel untersucht werden sollten, um sicherzustellen, dass sie keine unbeabsichtigten Schlupflöcher und problematischen Mitnahmeeffekte schaffen oder sogar die Angriffsfläche für diejenigen vergrößern, die versuchen, die Integrität und die Wertebasis liberaler Gesellschaften zu untergraben“. In ähnlicher Weise bemerkte die ehemalige stellvertretende US-Verteidigungsministerin Evelyn Farkas kürzlich, dass DMA und andere neue Verordnungen „koordiniert sein und unser gemeinsames nationales Sicherheitsziel unterstützen sollten: Chinesische und russische Akteure davon abzuhalten, Daten zu erwerben, die sie gegen amerikanische, europäische und sogar ihre eigenen Bürger verwenden könnten“.

Der DMA darf in der Konsequenz nicht dazu führen, dass politische Wettbewerber westlicher Demokratien eine kostenfreie Bauanleitung über Offenlegungs- und Zugriffsverpflichtungen im Rahmen des DMA erhalten und diese gegen die Erfinder dieser Regelungen einsetzen und instrumentalisieren. Das wäre ziemlich genau das Gegenteil dessen, was man eigentlich erreichen wollte.

Hinzu kommt, dass die angestrebten Regelungen digitale Innovationen so nicht nur nicht befördern, sondern sogar blockieren können. Es existieren bereits Unmengen an Suchmaschinenangeboten (Bing, DuckDuckGo), aber auch spezielle Produktsuchen (Amazon, Spotify), die selbst große Marktanteile haben. Daten werden längst dort geteilt, wo spezifische Bedürfnisse bestehen und die Datensicherheit sowohl für die Unternehmen wie auch die Verbraucher gewährleistet werden kann. Daraus haben sich längst neue Geschäftsideen und Plattformen entwickelt.

Die EU täte gut daran, nicht nur die Gestaltungsmöglichkeiten, die sich aus den derzeit auf internationaler Ebene eröffnen, aktiv und bewusst zu nutzen. Sie sollte diese Möglichkeiten durch einseitige Gesetzgebung in dieser Form nicht konterkarieren oder gar verhindern. Die jetzigen Vorschriften sind nicht hinreichend konkret formuliert und damit ohne weitere Auslegung nicht anwendbar. Das Mindeste, was der europäische Gesetzgeber leisten muss, sind klare Anwendungsleitlinien, die die aufgezeigten Problemfelder berücksichtigen und angemessene, ausgewogene Umsetzungsschritte für die adressierten Unternehmen beschreibt. Dazu sollte das Know-how der Unternehmen eingebunden und genutzt werden.

Gut gemachte europäische Gesetze, die die aufgeführten Aspekte berücksichtigen, stärken nicht nur den europäischen digitalen Binnenmarkt. Sie sind auch eine notwendige Voraussetzung für starke transatlantische Wertepartnerschaften, die der gemeinsamen Sicherheit und dem Vertrauen dienen, statt sie zu gefährden.