EU-Regulierungen zum Digitalmarkt vor dem Abschluss
Von Erich Moechel
Die Verordnungen „Digitale Dienste“ (DSA) und „Digitale Märkte“ (DMA) stehen vor ihrem Abschluss. Das Trilogverfahren zur Marktregulierung wurde bereits vergangene Woche abgeschlossen, die finalen Abstimmungen in Rat und Parlament sollten noch vor der Sommerpause erfolgen.
Die Verordnung für digitale Dienste, das mithin wichtigste Konsumentenschutzgesetz für das Internet, soll bis Ende April stehen. Wie schon bei DMA versucht die französische Ratspräsidentschaft in letzter Minute, bereits ausgehandelte Texte mit industriefreundlichen Spins zu unterminieren.
IAAP
Die „International Association of Privacy Professionals“ (IAPP) hat einen Überblick über alle laufenden EU-Regulierungsprozesse veröffentlicht, die Verarbeitungen und Transfers personenbezogener Daten betreffen.
Kontroverse um Kinder-Tracking
Die französische Präsidentschaft war schon beim Amtsantritt durch ihre Homepage mit Tracking-Cookies eines französischen Datenhändlers aufgefallen.
Für ein generelles Verbot der Verfolgung der Benutzer:innen quer durchs Netz durch sogenannte „Tracking Cookies“ hatte sich keine Mehrheit im Trilog für den „Digital Services Act“ gefunden. Dadurch wären nämlich nicht nur die derzeitigen Geschäftsmodelle der großen Internetkonzerne aus den USA ins Wanken geraten, auch die gesamte europäische Medienlandschaft und die Werbebranche hätten Teile ihrer Umsätze verloren. Als Kompromiss wurde das Tracking und die damit verbundene Erstellung persönlicher Profile von Kindern untersagt.
Zudem verboten wurde die Nutzung sogenannter „sensitiver Daten“ für Werbezwecke, das heißt, Daten über Gesundheit, sexuelle Orientierung und Vorlieben, politische Einstellungen usw. dürfen nicht zu Werbezwecken herangezogen werden. Das war der Stand der Dinge nach der letzten Verhandlungsrunde im Trilog, die im Anschluss von der französischen Ratspräsidentschaft als großer Erfolg und Beweis für den Konsenswillen der Verhandler gefeiert wurde. Diese Jubelstimmung hielt allerdings nur so lang, biѕ der neue Text der französischen Ratspräsidentschaft bekannt wurde.
People vs Big Tech
Die Konsumentenschutzallianz People vs BigTech hatte am Donnerstag in einem offenen Brief an die französische Ratspräsidentschaft und mehrere EU-Kommissare unter anderem gefordert, Kinder generell vom Tracking auszunehmen.
Die Tricks der Ratspräsidentschaft
Die Trilog-Verhandlungen zur DSA-Regulierung starteten Ende Jänner, davor hatte sich das EU-Parlament mehrheitlich dafür ausgesprochen, das Tracking von Kindern zu verbieten.
Die Ratspräsidentschaft hatte den ausgehandelten Kompromiss aus dem betreffenden Artikel der Verordnung zu digitalen Diensten in einen der einleitenden Erwägungsgründe verschoben und obendrein so stark verwässert, dass aus einem Verbot ein Art von Hinweis oder eine Empfehlung wurde. Die Koalition „People vs BigTech“, in der 35 Konsumenten- und Datenschutzorganisationen versammelt sind, warf dem französischen Verhandlungsführer daraufhin offenen Wortbruch vor. Die Ratspräsidentschaft breche damit ihr gerade erst abgegebenes Versprechen, Bürger:innen der Europäischen Union wenigstens vor den invasivsten Praktiken der Online-Werbewirtschaft zu schützen.
Was da hinter dem Rücken der Benutzer:innen an intimen, personenbezogenen Daten zu Gesundheit, Sexualität und politischer Orientierung erhoben und zu einem Personenprofil verarbeitet werde, gebe kaum jemand bewusst und freiwillig preis, so die Konsumentenschützer. Online-Werbung basiert bekanntlich auf einem personalisierten Nutzerprofil, das durch die permanente Überwachung von Verhaltensweisen, Interessensgebieten, Online-Einkäufen und einem Wust weiterer Daten erstellt wird. Das Gros der User ist sich dessen überhaupt nicht bewusst, denn die Industrie hatte jahrelang alles dafür getan, diese totale Überwachung als nützliches Feature für die Nutzer ihrer Services darzustellen.
EU Ministerrat
Die Verpflichtung zur Interoperabilität hat kontroversielle Diskussionen unter den Experten ausgelöst. Der britische IT-Sicherheitsexperte Alec Muffet, der für Facebook Ende-zu-Ende Verschlüsselung in dessen Messenger-Dienst implementiert hatte, warnte vor Sicherheitslücken, die damit aufgerissen würden. Muffett befürchtet eine allgemeine Nivellierung der Sicherheit nach unten durch diese Auflage. Mehr dazu ist in diesem Twitter-Thread nachzulesen, in dem bekannte und renommierte IT-Sicherheits- und Datenschutzexperten über Sinnhaftigkeit und Gefahren dieser Auflage diskutieren. Das oberste Posting stammt von Ian Brown, Professor für Informationssicherheit an der Uni Oxford, der nicht der Ansicht Muffetts ist. Mehr als diese Passage ist über die letzten Änderungen noch nicht bekannt, da eine konsolidierte Textfassung noch nicht vorliegt.
Die Interoperabilität und ihre Tücken
Längst sind Wildwest-Methoden in die personalisierte Online-Werbung eingezogen. Das Tracking der Benutzer beginnt bereits, bevor das erste Dialogfenster dazu aufpoppt.
Dieselbe Masche hatte die französische Ratspräsidentschaft bereits bei der DMA-Verordnung versucht. Als die letzten kontroversiellen Punkte im Trilog ausgeräumt waren, arbeitete die Präsidentschaft diese Kompromisse ein. Die Beteiligten staunten dann nicht schlecht, als im finalen Text plötzlich Passagen zu lesen waren, über die gar nicht verhandelt worden war. Die Ratspräsidentschaft hatte auf Verlangen der Medienindustrie ein Leistungsschutzrecht für die Verleger gegenüber den großen Plattformen in den Text geschmuggelt, was für entsprechenden Ärger unter den Verhandlern sorgte.
Genützt hatte das nichts, denn in Folge wurden diese Änderungen großteils wieder rückgängig gemacht. Zuletzt war noch eine Verpflichtung für Plattformen dazugekommen, dass ihre Chat-Services interoperabel gemacht werden müssten. Dass Benutzer von Whatsapp künftig mit iMessage-Usern chatten können wirkt zwar wie eine grundvernünftige und konsumentenfreundliche Idee. Die hermetisch abgeschlossenen Plattformen für deren Nutzer durchlässig zu machen klingt ebenfalls ansprechend, hat aber einen Haken, denn beide Plattformen setzen intern Ende-zu-Ende Verschlüsselung ein. Für plattformübergreifende Chats müssten also auch plattformübergreifende Verschlüsselungsprotokolle entwickelt werden, die sowohl mit dem technischen Ansatz von WhatsApp wie dem von Apples iMessage kompatibel sind.
Bilanz vor den Abstimmungen in Rat und Parlament
Beide Verordnungen waren im Dezember 2020 gestartet und haben in Folge alle Instanzen des EU-Gesetzesgebungsverfahrens in schnellem Tempo passiert. Die begleitenden Abstimmungen in den Ausschüssen fanden jeweils große Mehrheiten. Das ist umso bemerkenswerter, zumal es um nichts weniger als um eine Neuordnung des gesamten Internetgeschäftsumfelds in Europa geht.
Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 03.04.2022
