Wie die Pandemie die EU-Digitalpolitik entzaubert

Der grosse Wurf kam, wie so oft in Brüssel, begleitet von grossen Worten. «Ich will, dass das digitale Europa das Beste von Europa zeigt», sagte EU-Kommissions­präsidentin Ursula von der Leyen im Februar. Gemeinsam mit Vize­präsidentin Margrethe Vestager präsentierte sie die neue europäische Digitalstrategie – nach nur 100 Tagen im Amt. Es ist das Prestige­projekt der beiden Spitzen­politikerinnen. Ein mögliches Lebenswerk.

Der «Digital Services Act» soll Europa eine bedeutende Stellung im globalen Rennen um die Vorherrschaft über das Internet sichern – und dieses Internet gleichzeitig «offen, fair, vielfältig, demokratisch und selbstbewusst» regulieren, wie von der Leyen ankündigte. Was das konkret heisst, haben von der Leyen und Vestager schon mehrfach skizziert: Macht­kontrolle gegenüber grossen Platt­formen, Selbst­bestimmung der Bürgerinnen beim Umgang mit ihren Daten, Schranken für den Einsatz von künstlicher Intelligenz. Kurz: Die EU soll eine Pionier­rolle für ethische Internet­wirtschaft einnehmen. In den Monaten nach Februar hätte eine Art Vernehmlassung zu den neuen Gesetzes­paketen laufen sollen.

Doch dann kam Corona. Und statt des «Besten von Europa» überrollte schonungslose Real­politik den Kontinent.

Die Krise legte offen, welch riesige Bau­stellen von der Leyen und Vestager vor sich haben – und dass gerade in mächtigen EU-Staaten wie Frankreich oder Deutschland vieles anders läuft, als es auf dem Papier aussieht. Von einer gemeinsamen, einheitlichen und gar ethischen Digital­politik ist Europa noch weit entfernt.

1. Maskenkontrolle an der Metrostation

Die europäischen Staaten handeln in der digitalen Sphäre weitgehend eigen­mächtig, unkoordiniert, widersprüchlich und teilweise entgegen der Daten­schutz-Grundverordnung (DSGVO), dem international gefeierten europäischen Datenschutz-Meilenstein.

Bereits wenige Wochen nach Ausbruch der Pandemie nutzten verschiedene EU-Staaten Machine-Learning-Algorithmen, um den Ansturm auf das Gesundheits­wesen zu bewältigen. Mehrere Länder liessen von einer Software berechnen, welche Covid-19-Patienten intensiv­medizinisch versorgt werden sollten und welche nicht. Frankreich und Grossbritannien verwendeten dabei einen frailty score – ein Verfahren, um die Gebrechlichkeit von Patientinnen zu berechnen. Ein nachvollziehbarer medizinischer Nutzen, der allenfalls damit verbundene Risiken rechtfertigen kann – wenn denn der Einsatz sorgfältig überprüft würde.

Intelligente Algorithmen kamen aber auch anders zum Einsatz: bei der Über­wachung von Bürgern im öffentlichen Raum. Ausgerechnet einer der gewichtigsten EU-Mitglieds­staaten entwickelt sich dabei zum Turbo und vielleicht auch langfristig zum Sorgen­kind: Frankreich.

Wohl kaum ein anderes europäisches Land hat in der Krise seine technologische Über­wachung so stark ausgebaut. Im März 2020 gab es rund 1,8 Millionen coronabezogene Polizeikontrollen, mitgeteilt wurden dabei gut 90’000 überwiegend geringfügige Verstösse. Die Behörden nutzten dazu die mittlerweile im ganzen Land fast omni­präsente Video­überwachung: Frankreich ist bei der biometrischen Identifizierung, also der Gesichts­erkennung im öffentlichen Raum, deutlich weiter als andere europäische Staaten. Ein Grund dafür war die massive Ausweitung der staatlichen Kompetenzen nach dem Terror­anschlag von 2015 auf das Satire­magazin «Charlie Hebdo».

Manche Städte sind längst flächen­deckend mit entsprechender Technologie ausgerüstet. Nizza arbeitet seit dem Terror­anschlag von 2016 mit der israelischen Firma Anyvision zusammen, die Stadt Toulouse mit IBM, andere französische Regionen mit Huawei. Entsprechend reagierte man nun auch in der Pandemie.

Nach der Notstands­verkündung am 16. März liessen Polizistinnen in Cannes beispiels­weise ungerührt Drohnen fliegen, welche die Bürger an die staatlichen Massnahmen erinnerten – und im Zweifel auch die Einhaltung derselben beobachteten. Bei der Pariser Metrostation Châtelet – Les Halles ermittelt eine Kamera mitsamt Video­überwachungs­software der Firma Datakalab, ob alle Personen Masken tragen. Und das französische Innen­ministerium nutzte die Pandemie gleich noch, um eine digitale Identitäts­karte zur Pflicht zu erklären – mitsamt der Möglichkeit zur Gesichtserkennung.

Auch andere EU-Staaten haben das Zeit­fenster der eingeschränkten Grund­rechte genutzt, um ihre digitalen Überwachungs­befugnisse auszuweiten. Sogar teils mit legislativer Mitwirkung. So hat das neue Parlament der Slowakei im Eilverfahren ein neues Gesetz verabschiedet, das als «Lex Korona» bezeichnet wird. Es ermöglicht den Gesundheits­behörden Zugang zu Mobil­telefon­daten, mit denen sie infektions­gefährdete Personen verfolgen können. Anfang März verschickte die slowakische Regierung automatisch SMS an alle slowakischen Smartphone-Nutzerinnen, die sich in Italien, Frankreich und anderen Ländern aufhielten.

Einige Privatunternehmen haben den Ausnahme­zustand ausgenutzt, um gewisse heikle Pilot­projekte in den Normal­betrieb zu überführen – im Namen der Pandemie­bekämpfung. Die Privacy-Expertin Frederike Kaltheuner von der Mozilla Foundation spricht von «einer Welle sogenannter Arbeits­platz­überwachung». Unter­nehmen forderten die Installation von Spyware-Software zur Überwachung von Arbeit­nehmern im Homeoffice, in Fabriken wurden Geräte zur Temperatur­kontrolle eingeführt.

In Spanien entwickelte etwa das Rüstungs- und Technologie­unternehmen Indra eine App, die misst, in welchem Masse Arbeitnehmerinnen Covid-19 ausgesetzt waren. Die Risiko­berechnung basiert auf der Über­wachung des Aufenthalts­orts und der Körper­temperatur eines Mitarbeitenden. Die Risiko­werte, also sehr heikle persönliche Daten, werden dabei auch in Personal­verwaltungs­systeme integriert. Die App war frei verfügbar.

Fazit: Für angebliche europäische Tugenden wie Daten­transparenz, Selbst­bestimmung via «Opt-in» oder Diskriminierungs­schutz blieb während der Corona-Krise keine Zeit – die Pandemie verlangte nach schnellen technologischen Antworten.

Dabei hatte sich insbesondere Vize­kommissions­präsidentin Vestager zur biometrischen Gesichts­erkennung im öffentlichen Raum im Februar unmissverständlich geäussert: Es brauche in der EU eine Debatte darüber, in welchen Situationen – «falls überhaupt je» – diese gerecht­fertigt sei, sagte sie damals. Die Realität ist längst weiter.

2. App-Entwickler mit Datenhunger

Dass die Gesetz­gebung der Realität meist hinterher­hinkt, gehört zum stets langwierigen politischen Prozess dazu. Tatsächlich meldete sich Vestager kürzlich bereits mit deutlichen Worten zurück: «Gewisse Formen von künstlicher Intelligenz wie Predictive Policing [vorhersagende Polizei­arbeit, basierend auf Algorithmen und Daten] sind wegen ihres grossen Diskriminierungs­potenzials nicht akzeptabel.»

Schwerwiegender für die Glaub­würdigkeit der EU war, dass die Corona-Krise eine ihrer mächtigsten Inszenierungen grundsätzlich infrage stellte: jene der moralischen Instanz, die als Wächterin der Privat­sphäre gegen die daten­hungrigen Tech-Konzerne im Silicon Valley antritt.

Denn beim digitalen Contact-Tracing, dem Nachverfolgen von Kontakten über Smart­phones und Apps, lief es für einmal genau umgekehrt.

Die zwei EU-Staaten mit den strengsten Daten­schutz­gesetzen – Deutschland und Frankreich – wollten zentralisierte Contact-Tracing-Apps einsetzen und damit grosse Daten­banken mit beträchtlichem Missbrauchs­potenzial aufbauen. Sie folgten damit dem Drängen von Epidemiologinnen, die die Bewegungen von Infizierten und Kontakt­personen möglichst weitgehend einsehen wollten, um die Ausbreitung des Virus zu beobachten. Das mag aus epidemiologischer Sicht sinnvoll sein – aus Datenschutz­sicht jedoch ist es ohne Beschränkungen eine Katastrophe, wie Beispiele in Asien zeigen. Denn: Wenn die Gesundheits­behörden nur wollen, können sie damit jeden Einwohner identifizieren.

Doch diesmal waren es bekannte Daten­kraken wie Google und Apple – sekundiert von weiten Teilen der akademischen IT-Welt –, die plötzlich auf Daten­sparsamkeit und Privat­sphäre als unverzichtbaren Standard pochten. Sie waren dabei so konsequent, dass EU-Staaten mit zentralisierten Contact-Tracing-Apps diese teilweise nicht einmal in den entsprechenden Stores freischalten konnten. Sie funktionieren nicht mit den Schnitt­stellen von Apple und Google und haben es bis heute schwer. So können französische Nutzerinnen beispiels­weise ihre Begegnungen mit potenziell Infizierten nicht einfach im Hinter­grund aufzeichnen lassen, wie dies mit der Schweizer Covid-App möglich ist. Stattdessen muss die App dauernd im aktiven Modus laufen, damit sie funktioniert. Eine Push-Benachrichtigung von Facebook auf dem Smartphone reicht bereits für einen Unterbruch.

Die Politiker tobten – und verwiesen auf ihre staatliche Souveränität. Cédric O, Frankreichs stellvertretender Minister für digitale Angelegenheiten, sagte: «Ein grosser Konzern, wie effizient er auch sein mag, sollte einem souveränen Staat nicht seine Entscheidungen im Bereich öffentliche Gesundheit diktieren.» Der Digital­minister liess keinen Zweifel: Wenn es dem nationalen Interesse dient, gehört Daten­sparsamkeit plötzlich nicht mehr zwingend zur digitalen DNA Europas. Sein Protest ist nachvollziehbar: Denn ja, ein Suchmaschinen­riese und ein Hardware-Gigant aus dem Silicon Valley diktieren europäischen Ländern, wie sie epidemiologische Kontakt­nachverfolgung zu bewerk­stelligen haben – aus demokratie- und staats­politischer Sicht ein massiver Souveränitätsverlust.

Genau hier aber liegt die grosse Schwach­stelle der europäischen Digital­politik: Wer als glaub­würdiger Akteur gegen die Tech-Giganten antreten will, muss – bei allen guten Absichten – früh und klug handeln. Stattdessen arbeitet beim Thema Tracing-App auf EU-Ebene seit Monaten eine Arbeitsgruppe an Vorgaben für ein technisches Protokoll. Auf allzu einheitliche Richt­linien wurde bereits verzichtet, um einzelne Mitglieds­staaten nicht zu verärgern. Jetzt steht man vor zwei Dutzend verschiedenen europäischen Apps – und bis vor kurzem war unklar, wie diese überhaupt zusammen­arbeiten können. Zwar warnte Vestager bereits am 9. Mai im EU-Parlament: «Ohne Inter­operabilität werden wir nicht reisen können.» Doch erst am 12. Juni verabschiedete das E-Health-Network der EU Richtlinien für den Daten­austausch zwischen allen europäischen App-Lösungen. Ergebnis: Die EU unterstützt endlich nur noch den dezentralen Ansatz. Frankreich muss den Souveränitäts­verlust schlucken.

Der Reputationsschaden ist allerdings schon angerichtet. Es waren die US-amerikanischen Tech-Riesen, gemeinsam mit einigen Fach­leuten, die den bürger­freundlicheren Vorschlag vorantrieben – nicht die angeblich so datenschutz-affine EU. «Offen, fair, vielfältig, demokratisch und selbst­bewusst», wie von der Leyen es nannte, sieht anders aus.

Das gilt auch für die wohl grösste Baustelle, mit der die europäischen Vorkämpferinnen für «digitale Souveränität» zu kämpfen haben: Irland.

3. Der Kuschelkurs gegenüber Big Tech

Irland ist Standort vieler grosser Unter­nehmen und bringt andere Mitglieds­staaten mit seiner zuvorkommenden Politik gegenüber den Tech-Konzernen gegen sich auf. Dieser Konflikt zeichnete sich schon lange vor der Pandemie ab – und wird Europa auch weiter beschäftigen. Im Zentrum steht dabei der eigentliche Export­schlager der EU: das Datenschutz-Paket DSGVO.

Das nun zweijährige europäische Regel­werk droht trotz seiner globalen Signal­wirkung zur Makulatur zu verkommen. Einerseits, weil die E-Privacy-Verordnung seit Jahren verschleppt wird. Die Richt­linie soll etwa die abstrakten DSGVO-Regeln konkretisieren und den Daten­handel bei Websites klar regulieren. Doch aufgrund massiven Drucks der Werbe­industrie haben sich EU-Kommission und EU-Rats­präsidentschaft bis heute nicht zu einem Entschluss durchringen können.

Zwar haben die nationalen Behörden manchen Unter­nehmen durchaus saftige Bussen wegen Verstössen gegen die Daten­schutz­regeln aufgebrummt, wie man dem Monitoring-Tool Enforcementtracker.com entnehmen kann (man beachte das Urteil in Italien gegen den Telecom­konzern TIM – 27 Millionen Euro Busse). Doch vor allem an den wirklich grossen Unter­nehmen sind die Behörden bislang gescheitert. Ende 2019 hingen ganze 23 Fälle gegen Big-Tech in der Luft.

Das Hauptproblem liegt also bei der Rechts­durchsetzung. Anders gesagt: Das Problem heisst Irland.

Der Kleinstaat ist der europäische Haupt­sitz vieler Konzerne wie Apple und Facebook und daher Anlauf­stelle für viele entsprechende Beschwerden. Die Organisation noyb – ein Akronym für «None of Your Business» – reichte gemeinsam mit dem feder­führenden Juristen Max Schrems noch am Tag des Inkrafttretens der DSGVO gleich drei Beschwerden in Dublin ein. Sie betreffen Facebook-Tochter­unternehmen (Whatsapp, Instagram, Facebook). Der Vorwurf: Die Tech-Konzerne hätten sich mit pauschalen Updates der Daten­schutz­erklärungen rund um den DSGVO-Stichtag vom 25. Mai 2018 einen Blanko­check ausgestellt.

Die eigentlich notwendige persönliche Einwilligung für Tracking, Daten­verknüpfung und Personalisierung sei mit den Rundum-Updates gewisser­massen erzwungen worden. Hätte etwa ein Whatsapp-Benutzer Klauseln abgelehnt, so hätte der Mutter­konzern als zweite Option nur die Löschung des ganzen Benutzer­kontos angeboten. «Das ist keine wirkliche Wahl», argumentiert Schrems. Es steht dem Geist der europäischen Daten­schutz­verordnung entgegen, die Freiwilligkeit und Koppelungs­verbote auf ganzer Linie vorsieht.

Die irische Datenschutz­behörde liess sich lange Zeit mit der Entwicklung der Klagen gegen die Facebook-Subunternehmen. Sie wollte ihre Bussen gemäss Recherchen des Magazins «Politico» eigentlich Ende 2019 verhängen. Statt­dessen verkündete sie schliesslich im Mai 2020, dass sie gerade mal die ersten beiden von sechs Schritten im Bussenprozess erfolgreich abgeschlossen hat. Die Organisation noyb schrieb daraufhin einen offenen Brief an die EU, der den Eindruck vieler Beobachterinnen zusammen­fasste: Wenn Klagen gegen Big Tech so lange liegen blieben – in diesem Tempo könne das gut zehn Jahre dauern –, blieben dem durchschnittlichen Bürger seine «grund­legenden Rechte» verwehrt.

Kurz: Ohne tatsächliches Handeln bleibt die hoch­gelobte DSGVO ein zahnloser Papiertiger.

Tech-Giganten wie Google pochen darauf, rechtliche Konflikte im konzern­freundlichen Irland auszufechten. In Frankreich etwa haben sie schlechtere Chancen: Hier musste Google nach einer Beschwerde von noyb und der französischen Daten­schutz­behörde CNIL bereits 50 Millionen Euro Strafe wegen Verstosses gegen die DSGVO bezahlen. Frankreich fährt also zwar einen problematischen Kurs, wenn es um die staatliche Über­wachung geht – privat­wirtschaftliche Firmen hingegen packt es bei Daten­schutz­verstössen deutlich entschiedener an als Irland.

Auch andere bekannte Watchdogs wie der Hamburger Daten­schützer Johannes Caspar bescheinigen Irland «schlechte Arbeit». Oft würden an Dublin überwiesene Beschwerden versanden. Das räumt auch Daten­schutz­chefin Helen Dixon selber ein: Sie klagt über zu wenig Personal und fehlendes Know-how, um gegen Gross­konzerne wie Apple und Google wasser­dichte Verfahren zu führen.

4. Und jetzt?

Im Zusammenhang mit den 5G-Handy­frequenzen zogen zwei Autorinnen der Bertelsmann-Stiftung Bilanz über die so gern zitierte «digitale Souveränität». Die EU schaffte es nicht, sich bei diesem so wichtigen Infrastruktur­projekt zu koordinieren. Stattdessen führten 28 Mitglieds­staaten ihre jeweils eigenen Verfahren durch, 28-mal verabschiedet man unterschiedliche Vorgaben für Netzwerk­ausrüster. Zur Freude des umstrittenen chinesischen Konzerns Huawei. Er profitiert von diesem «europäischen Vakuum» bei wichtigen Technologie­fragen wie 5G und verhandelt mit allen EU-Staaten bilateral.

Das Fazit der Autorinnen könnte man genauso für die gesamte europäische Digital­politik ziehen: Die Mitglieds­staaten seien «in entscheidenden Fragen uneins» und suchten nationale Lösungen, «die einer effektiven europäischen Digital­politik im Weg stehen».

Und jetzt? Es gibt zwei Entwicklungen, die trotz allem hoffnungsvoll stimmen:

1. Insbesondere Vize­präsidentin Vestager, langjährige Wettbewerbs­kommissarin, hat schon mehrfach bewiesen, dass sie ihren politischen Auftrag ernst nimmt. Mitte Juni kündigte sie denn auch an, gegen Apple wegen möglicher Wettbewerbs­verstösse mit seinen Vorgaben für das Betriebs­system iOS vorzugehen. Kurz darauf folgte die klare öffentliche Kritik am Einsatz von Algorithmen in der Polizei­arbeit. Vestagers harte Wettbewerbs­linie inspirierte sogar den amerikanischen Kongress: Letzte Woche mussten sich die CEOs von Google, Facebook, Apple und Amazon in einem Hearing wegen ihrer Monopol­stellung verantworten. Vestager und von der Leyen möchten das ambitionierte Regulierungs­paket – den Digital Services Act – bis Ende Jahr verabschieden.

2. Der Europäische Gerichtshof (EuGH) zeigt deutlich mehr Zähne als die Entscheidungs­trägerinnen der einzelnen EU-Länder. Der EuGH schafft dort Fakten, wo sich die EU-Kommission aus Rücksicht auf die National­staaten oder die Grossmacht USA gerne ziert. Vor knapp zwei Wochen etwa kippte er das Daten­abkommen «Privacy Shield». Der Gerichts­hof hielt mit seinem Urteil fest, dass Daten nur dann standard­mässig mit dem Ausland getauscht werden dürfen, wenn diese nicht an Geheim­dienste wie etwa die US-amerikanische NSA weiter­gegeben werden – die von der EU-Kommission ausgehandelten Schutz­garantien und Formulierungen waren dem EuGH offensichtlich zu schwammig.

Es war auch der Europäische Gerichts­hof, der Ende 2019 das «Cookie-Urteil» sprach: Cookie-Banner auf Websites, bei denen Voreinstellungen mit eingefügtem Häkchen gesetzt und nur als Ganzes anklickbar sind, sind seither unzulässig. Die nationalen Behörden und Gerichte folgen den EuGH-Leit­urteilen – das deutsche Bundesgericht etwa bestätigte das Urteil im Mai 2020. Seither findet man auf sämtlichen Websites eine nutzer­freundliche Auswahl.

Es wird auch der Europäische Gerichts­hof sein, welcher in letzter Instanz über die Nachzahlungen von rund 13 Milliarden Euro von Apple an Irland entscheiden wird, auf die Irland seinerseits verzichtet.

Und das ist die gute Nachricht: Es ist gut möglich, dass europäische Institutionen und Gerichte die EU auf einem einheitlichen Kurs in der Digital­politik vorantreiben – allen heterogenen national­staatlichen Interessen und einem überwachungs­freundlichen Kurs einzelner EU-Länder zum Trotz.