Europa steht sich in der Digitalisierung selbst im Weg

Jahrelang hatten Facebook, Twitter und Youtube dem mächtigsten Mann der Welt brav das Megafon hingehalten und seine gewalt­verherrlichenden Sprüche toleriert. Doch nach dem Sturm aufs Kapitol war das Mass voll: Die amerikanischen Techkonzerne verbannten Donald Trump von Social Media.

Statt zu applaudieren, übten Spitzenpolitikerinnen in Europa aber Kritik. Ausgerechnet Angela Merkel, die deutsche Kanzlerin, deren Grosse Koalition vor Jahren eines der restriktivsten Gesetze gegen Hassrede und Fake News verabschiedet hat, liess ausrichten, die Sperrung sei problematisch.

Verkehrte Welt also. Doch dieses paradoxe Verhalten ist bezeichnend dafür, wie man in Europa mit den grossen Techunternehmen umgeht.

Auf der einen Seite setzt die Europäische Union starke Akzente für eine ethisch abgestützte Digitalisierung: Sie führt aufsehen­erregende Prozesse gegen Amazon oder Google und plant umfassende Plattform­gesetze, die Transparenz von Algorithmen und Wettbewerb versprechen (und das Potenzial haben, nach der europäischen Datenschutz­grundverordnung, der DSGVO, der nächste Export­schlager zu werden). Die EU ist die Treiberin bei der bürgerrechts­freundlichen Ausgestaltung des globalen Internets.

Auf der anderen Seite zögert und zaudert Europa – und ignoriert seine eigenen Prinzipien. Da ist etwa die irische Datenschutz­behörde, die Big-Tech-Konzerne mit Samt­handschuhen anfasst. Oder der EU-Ministerrat, der bei der Strafverfolgung die eigene prestige­trächtige DSGVO vergisst. Und die Kommission, die milde Regeln für den Export von Überwachungs­software erlässt und Konzerne wie Google oder Palantir an Projekten beteiligt, was dem erklärten Ziel einer eigenen Daten­industrie diametral zuwiderläuft.

Mit diesen Widersprüchen steht sich Europa selbst im Weg. Und sein proklamierter «dritter Weg» der Digitalisierung – einer zwischen dem amerikanischen kommerziellen Daten­kapitalismus und der chinesischen Hightech-Überwachungs­diktatur – droht, zum Rohrkrepierer zu werden.

DSA – Hassrede und Datenschutz im Fokus

Am 15. Dezember 2020 stellte EU-Kommissions­präsidentin Ursula von der Leyen ein neues Gesetz vor: den Digital Services Act, kurz DSA. Er soll eine veraltete E-Commerce-Richtlinie aus dem Jahr 2000 ablösen und die regulatorischen Alleingänge einzelner EU-Mitglieds­länder stoppen.

Deutschland war nämlich 2017 mit seinem Netzwerk­durchsetzungs­gesetz vorgeprescht, dem NetzDG. Es verlangt, dass Hassrede und Fake News innerhalb 24 Stunden nach ihrer Meldung gelöscht werden. Ansonsten drohen hohe Bussen. Kritikerinnen befürchteten, dass Facebook und Co. in der Folge zu viele Inhalte löschen würden. Das bewahrheitete sich zwar nicht, dennoch führte das deutsche Gesetz zu undurchsichtigen Entscheiden. So wies Facebook etwa nicht klar aus, ob es Inhalte auf der Basis der eigenen Community-Richtlinien gelöscht hatte oder wegen des NetzDG.

Die EU hatte Deutschlands Experiment beobachtet und Lehren daraus gezogen. Ergebnis: der DSA, mit dem Brüssel einen umfassenden Entwurf vorlegt, der den Umgang mit Hassrede, illegalen Inhalten, Desinformation und Algorithmen im Netz einheitlich regeln will. Herzstück der Vorlage ist eine «Notice and Takedown»-Datenbank, auf der Plattformen ihre Lösch-Entscheide dokumentieren und Beschwerde­wege definieren sollen.

Auch sollen alle Big-Tech-Konzerne mit mehr als 45 Millionen Userinnen eine öffentliche Datenbank aller geschalteten Werbung inklusive Reichweite und Zielgruppen publizieren – etwas, was Facebook mit seinem Werbearchiv zu gewissen Teilen bereits vorgelegt hat und wo Plattformen wie Youtube und Tiktok sicherlich nachziehen müssen. Ausserdem soll eine langjährige Forderung der akademischen Community erfüllt werden: Die Techfirmen sollen Schnitt­stellen zu ihren riesigen Daten­schätzen herstellen, so dass unabhängige Wissenschaftler Mechanismen und Wirkung von Netzwerken erforschen können. Und nicht zuletzt sollen Nutzerinnen die Empfehlungs­algorithmen, die oft toxische Filter­blasen befördern, abschalten können.

Das Mammutgesetz könnte ein viel diskutiertes Problem mit den Platt­formen lösen: dass Facebook und Co. je nach politischer Grosswetter­lage von Fall zu Fall ihre Regeln ändern. Es ist nämlich kein Zufall, dass das «Deplatforming» von Trump erst kurz vor dem Ende seiner Amtszeit erfolgte, also dann, als die Plattformen keine Retourkutsche von seiner Seite zu befürchten hatten.

Die EU will solche Willkür vermeiden und saubere rechts­staatliche Wege vorschreiben. Egal, ob es sich nun um den autoritär regierenden ungarischen Premier­minister Viktor Orbán oder die junge Abtreibungs­aktivistin aus Polen handelt: Beide haben Anspruch auf Erklärung, Begründung und ein Verfahren von Facebook, wenn ihre Benutzer­konten gelöscht werden. Damit würden bisherige amerikanische Regelwerke wie der Digital Millennium Copyright Act und der Communications Decency Act, Section 230, obsolet, die ziemlich alle Social-Media-Nutzer ausserhalb der USA juristisch benachteiligen.

Das Timing könnte nicht besser sein. Denn die USA, die alle relevanten Big-Tech-Konzerne beheimatet, könnten sich nach Jahren der Trump’schen Obstruktion nun als verlässlicher Partner für die von der EU angestrebte «transatlantische Tech-Allianz» erweisen.

Das ist neu: Als die heutige EU-Kommissarin für Digitale Wirtschaft Margrethe Vestager 2015 untersuchte, ob Google mit seinem Angebot «Google Shopping» in seiner Suchmaschine gewisse Anbieter diskriminierte, hatte sie in Washington kaum Ansprech­partner. So sagte sie in einem Interview: «Vor sechs Jahren bin ich den Capitol Hill rauf- und runter­gelaufen mit dem Fall Google. Und keiner wusste, was er mit mir anfangen sollte. Das ist jetzt anders. Europa und die USA sprechen bei Big Tech inzwischen eine gemeinsame Sprache, und das macht uns stärker.»

Ob zum Datenschutz oder zur Hassrede: Amerika führt gerade die Debatten, die in Europa vor zehn Jahren stattgefunden haben, sagt der Jurist Matthias Kettemann. Mit Joe Biden hat die EU möglicher­weise einen regulierungs­freundlicheren Verbündeten erhalten. Rückenwind erhält die EU ausserdem auch aus Australien. Dort lenkten die Techkonzerne ein, als der Staat von ihnen forderte, sie müssten die australischen Medien­verlage – besonders das Murdoch-Imperium – finanziell entschädigen, wenn sie auf deren Inhalte zugreifen. Damit wittert die EU bessere Chancen für die Durchsetzung ihrer Urheberrecht­linie und des Leistungsschutzrechts.

Doch die EU hat ihrerseits allmählich ein Glaubwürdigkeits­problem. Und zwar beim Thema Daten­schutz: Sie agiert stets dann inkonsistent, wenn es um ihre wirtschaftlichen Interessen oder um Strafverfolgung geht.

Da wären zum einen die im Winter durchgesickerten Pläne der Kommission, einen «General­schlüssel» für Messengerdienste wie Whatsapp oder Signal einzufordern. «Vertrauensvolle» Sicherheits­behörden der EU sollten damit direkten Zugriff auf Chats erhalten – zur Prävention künftiger Verbrechen. Hintergrund für den Vorschlag war der Terror­anschlag in der Wiener Innen­stadt vom 2. November. Rund vier Tage später überreichte die deutsche Rats­präsidentschaft eine entsprechende Resolution an die EU-Ministerinnen.

Nachdem der ORF die Pläne publik gemacht hatte, wurden die Minister der EU-Staaten nicht müde zu betonen, man wollte Terror­prävention und sichere Verschlüsselung unter einen Hut bringen. Doch Zugriffe auf Messenger­konversationen und Ende-zu-Ende-Verschlüsselung bedeuten die Quadratur des Kreises: Sie sind nicht gemeinsam zu haben. Im Januar erteilte die EU-Kommission den Plänen des Ministerrats eine vorläufige Absage.

Dann wäre da noch ein anderes Handicap im Datenschutz­vollzug: Irland. Die dortige Datenschutz­behörde gilt als konzern­freundlich und verschleppt seit Jahren viele Klagen auf Basis der DSGVO. Das hat zu absurden juristischen Spielen zwischen dem österreichischen Datenschutz­aktivisten Max Schrems und Irland bei der Klärung der «Snowden-Frage» geführt: Theoretisch können alle Daten von US-Tech­unternehmen vom US-Geheim­dienst abgezapft werden – und damit wird dauernd gegen die europäischen Datenschutz­gesetze verstossen.

Der jahrelange Rechtsstreit mündete im Sommer 2020 darin, dass der Europäische Gerichts­hof das Datenschutz­transfer­abkommen EU-US Privacy Shield aufkündete. Das Thema ist seither ein elephant in the room: Die EU-Kommission nimmt es nicht in den Mund, und auch die USA äussern sich nicht dazu. Seit Juni 2020 leben also alle Europäerinnen – inklusive der Schweizer, denen mit dem Aufkünden des ebenbürtigen Swiss-US Privacy Shield das Gleiche passierte – in einem rechtlichen Vakuum. Eigentlich haben Daten­unternehmen wie Google und Microsoft trotz der firmeneigenen Standard­klauseln keine rechtliche Grundlage mehr, um in Europa zu operieren. Dennoch wird täglich gepostet, getwittert – und ignoriert.

Die europäischen Datenschutz­beauftragten versuchen das Problem seither fieberhaft zu lösen, Wirtschafts­verbände drängen auf eine neue Vereinbarung mit den USA. Doch das macht ein Manko nur umso offensichtlicher: In Europa haben Unternehmen und Bürgerinnen kaum valable eigene Alternativen, was soziale Netzwerke und Cloud-Produkte betrifft.

Das sieht auch Kommissions­präsidentin Ursula von der Leyen ein. «Uns fehlt Daten­souveränität und uns fehlt Infrastruktur», sagt sie. «Und das alles muss so einfach zu verwenden sein, wie wenn wir heute eine E-Mail schicken oder einen Telefon­anruf machen.»

DMA – die Marktmacht regulieren

Genau hier setzt das zweite Regelwerk an, das in Planung ist: der Digital Market Act (DMA). Dabei handelt es sich quasi um ein Gesetz gegen die Gesetz­mässigkeiten des Internets. Oder anders: gegen die Netzwerk­effekte von Plattformen. Je mehr Nutzer sich dort ansammeln, desto besser werden diese für die einzelne Nutzerin, weil Freunde und Verwandten alle an einem Ort versammelt sind und das Angebot dieser Plattform immer besser wird.

Was gut für die Nutzerinnen ist, ist jedoch langfristig ungesund für den freien Markt. Denn Monopole zerstören den Wettbewerb: Ein Konzern, der eine gewisse Grösse erreicht hat, kann Ideen von Konkurrenten beliebig kopieren oder potenzielle Rivalen einfach aufkaufen. Besonders die Big-Tech-Konzerne möchten stets in neue Bereiche expandieren, wie die Beispiele von Apple und Google im Gesundheits­markt zeigen.

Die bisherigen Wettbewerbs­regeln konnten diesem Phänomen kaum effektiv beikommen. Die EU-Wettbewerbs­behörde schafft es nicht, in Echtzeit die Praktiken der Big-Tech-Konzerne zu untersuchen. Missbräuchlicher Wettbewerb muss jeweils im Nachhinein zusammen­recherchiert werden. Ein gutes Beispiel dafür ist Facebook, das Instagram und Whatsapp aufgekauft hat: Die Wettbewerbs­behörde der EU hat den Deal 2014 zwar an Auflagen geknüpft, aber letzten Endes doch durchgewinkt. Und Facebook hat gegen genau diese Auflagen verstossen, was die EU gemäss ihren Regeln nur minimal bestrafen konnte.

Mit dem DMA wird ein Paradigmen­wechsel vollzogen: Neu soll ex ante – also im Voraus – entschieden werden. Auf Basis heutiger Analyse sollen künftige Entwicklungen vorweg­genommen und vorab reguliert werden, wodurch auch die Monopol- und Markt­macht von Big Tech eingeschränkt wird. Ein Beispiel ist das Währungs­projekt Libra (heute Diem genannt) von Facebook. Der Konzern von Mark Zuckerberg hätte mit über 2 Milliarden Nutzerinnen einen uneinholbaren Start­vorteil gegenüber der Konkurrenz.

Und eine weitere rechtliche Bestimmung soll die Ära der Oligopole beenden: die Interoperabilität. Damit ist ein Standard gemeint, der etwa Whatsapp-Nutzerinnen ermöglichen würde, direkt mit Threema-Nutzern zu chatten. Das Vorbild dafür ist die gute alte E-Mail, wie die Republik aufgezeigt hat. Diese Interoperabilität könnte ein Gamechanger werden (auch wenn diese natürlich Risiken birgt bezüglich technischer Standards). Die geschlossenen Gärten der Grossen würden damit geöffnet – und Start-ups hätten eine reelle Chance auf Wachstum.

Diese beiden grossen Regelwerke – DSA und DMA – sind nun in Konsultation. Weil noch viele heikle Fragen offen sind, etwa zur Sperrung von Benutzer­konten, dürften sie kaum vor 2022 verabschiedet werden.

In der Zwischenzeit will die EU an einem anderen Defizit arbeiten: dem Fehlen einer europäischen Tech­industrie. Womöglich schiesst sie sich mit ihren Bemühungen aber selber ins Knie.

Gaia X – der Flop mit den Cloud-Diensten

Die Rede ist vom Projekt Gaia X. Dieses war ursprünglich als Antwort auf die technologische Übermacht aus Übersee gedacht. Initiiert von Deutschland und Frankreich soll damit eine vernetzte Cloud-Infrastruktur gebaut werden, die auf europäischen Werten und Gesetzen wie der DSGVO beruht.

Den Initianten schwebt ein Online-Katalog von zertifizierten Cloud-Diensten vor. Eine Stiftung koordiniert die Teilnehmenden, bereits stehen 160 Firmen auf der Gründer­liste. Jedes Unternehmen kann Teil von Gaia X und des Katalogs werden, vorausgesetzt, es verpflichtet sich den definierten Prinzipien. Und darin liegt auch das Problem: Auch Google, Microsoft, Amazon, sowie das Big-Data-Unternehmen Palantir und der chinesische E-Commerce-Riese Alibaba wollen bei Gaia X am Start sein – also ausgerechnet jene Techgiganten, von denen sich Europa abgrenzen will.

Gaia X droht damit zum europäischen Datenschutz-Feigenblatt der grossen Tech­konzerne zu werden. Oder sogar zu einem «trojanischen Pferd», wie die französischen Open-Source-Unternehmer Stefane Fermigier und Sven Franck sagen. Denn auch wenn sich Microsoft oder Alibaba um die Einhaltung der DSGVO bemühen: An den Gesetzen ihrer Heimat­länder und dem langen Arm der Geheim­dienste kommen sie nicht vorbei. Sowohl der amerikanische Cloud Act als auch das chinesische Cybersecurity-Gesetz ermächtigen die Regierungen der beiden Länder dazu, über ihre jeweiligen Tech­konzerne nach Belieben auf Daten von Europäerinnen zuzugreifen.

Digital Compass 2030 – das Chip-Debakel

Andere Problem­felder sind der Halbleiter­markt und die Chip­produktion. Hier will sich die EU emanzipieren und ihre Abhängigkeiten von den Zulieferern aus den USA und China verringern. Zwar kann Europa in gewissen Bereichen durchaus mithalten: So zählen Unternehmen wie die niederländische NXP und die französische ST Micro­electronics oder die deutsche Infineon und Bosch zu den Marktführern bei der Herstellung von Halbleitern für Kraftfahrzeuge.

Doch bei den Konsum­technologien ist Europa nicht vertreten. Was fehlt, ist die «Entwicklung und Herstellung leistungs­fähiger Mikro­prozessoren und Rechen­beschleuniger», bilanziert das Computer­fachmagazin «c’t». Führend bei der Massen­produktion solcher Chiparten sind Südkorea (Samsung) und Taiwan (TSMC), und die Vereinigten Staaten rüsten nun ebenfalls auf.

Die EU will das mit ihrem Digital Compass 2030 ändern. Gemäss dieser Roadmap strebt sie nach eigenen Fertigungs­anlagen, welche Prozessoren mit Struktur­breiten von weniger als sieben Nanometern herstellen können. Doch dieses Vorhaben wird gemäss der Stiftung Neue Verantwortung, einem Berliner Thinktank für netzpolitische Themen, nie zum Fliegen kommen. Wer das dazugehörige Policy-Briefing-Paper der Stiftung liest, kommt zum Schluss, dass das Vorhaben komplett illusionär ist.

Erstens kosten solche Chip-Fertigungs­anlagen, sogenannte «Fabs», Dutzende Milliarden Euro. Zweitens werde die EU niemals mit Asien und den USA mithalten können. Die Europäische Union solle sich lieber auf andere zentrale Produktions­schritte wie Chip-Designing konzentrieren, schreibt Jan-Peter Kleinhans im Briefing. Gegenüber der Republik ergänzt er: «Chip-Design ist der Produktions­schritt mit dem höchsten Wertschöpfungsanteil.»

Das letzte digitalpolitische Minen­feld, auf dem sich die EU bewegt, ist das Thema Gesichts­erkennung und Überwachungs­software. Zum einen hat die EU höchste Ansprüche an die digitale Ethik: So möchte sie zum Beispiel automatisierte Gesichtserkennungs­systeme regulieren. Der Einsatz solcher Technologien etwa für Social Scoring und Live-Überwachung soll verboten sein (dennoch dürfen die Gesichter im Nachhinein identifiziert werden, was die grosse NGO-Initiative Reclaim Your Face kritisiert). EU-Kommissarin Vestager geht davon aus, dass sich künftig auch die USA und sogar China an diesem fortschrittlichen Modell orientierten werden. Sie präsentiert die entsprechenden Richtlinien stolz mit den Worten: «The E.U. is spearheading the development of new global norms to make sure A.I. can be trusted.»

Diese Normen gelten aber offenbar nur innerhalb der Unions­grenzen. Gesichts­erkennungs­systeme «made in EU» dürfen weiterhin in andere Länder verkauft werden, egal ob es sich um eine Kriegs­region handelt oder um einen Überwachungs­staat. Drei Unternehmen mit Sitz in Frankreich, Schweden und den Niederlanden exportieren etwa Gesichts- und Emotions­erkennungs­technologie nach China – ohne Auflagen, wie ein Bericht von Amnesty International im vergangenen Jahr aufgezeigt hat – teilweise auch nach Xinjiang, wo Uiguren in Zwangsarbeits­lagern festgehalten werden.

Zwar soll dieser Handel nun durch eine neue Verordnung reguliert werden. Sämtliche Überwachungs­güter müssen genehmigungs­pflichtig und als solche transparent deklariert werden (bisher konnten die Technologie­bezeichnungen verschleiert werden). Doch die Regelung ist kaum verbindlich, die EU-Staaten konnten sich nach jahrelanger Debatte nur auf den kleinsten gemeinsamen Nenner einigen. Länder wie Schweden, Italien, Irland und Tschechien haben Verschärfungen wegen wirtschaftlicher Interessen jahrelang blockiert.

Kein Wunder: Der Markt für Gesichts­erkennungs­technologie ist attraktiv, er soll aktuell gemäss dem Markt­forschungs­unternehmen Markets and Markets 3,8 Milliarden Euro gross sein.

Fazit

Die EU gilt seit Jahren als regulatorische Supermacht. Sollten die beiden Mammut­regelwerke DSA und DMA 2022 verabschiedet werden, so gäbe dies – wie bereits bei der DSGVO – weltweite netzpolitische Impulse.

Man könnte die Regulierungen als gross angelegte digitale Bildungs­initiative verstehen: Zum ersten Mal würden die algorithmischen Blackboxes der Big-Tech-Konzerne aufgebrochen, Userinnen können nachvollziehen, wie ihre Filterblase zusammen­gesetzt wird.

Die Gesetzespakete der EU setzen auf Transparenz und rechts­staatliche Prozeduren: Insgesamt sind es taugliche Rezepte im Kampf gegen drängende Probleme der Digitalisierung wie Desinformation, Manipulation oder Monopol­bildung. Es ist ein «grundrechts­freundlicher Ansatz», wie die ehemalige EU-Abgeordnete und Piratin Julia Reda schreibt.

Doch all die Vorhaben täuschen nicht darüber hinweg, dass die EU und ihre Mitglieds­staaten in einigen Bereichen ihre Haus­aufgaben nicht gemacht haben. Und dass sie bei vielen wichtigen Themen nicht mit einer Stimme sprechen: etwa wenn es um die Durchsetzung ihrer eigenen Regeln geht wie in Irland oder um die transatlantischen Beziehungen mit den USA und den damit verbundenen Eiertanz um ein neues Datentransferabkommen.

Versuche, eine heimische Industrie aufzubauen, münden in digitale Verzweiflungs­akte und schlimmsten­falls sogar in Selbst­sabotage, wie das Beispiel des Clouddienst-Projekts Gaia X zeigt. Ausserdem erheben europäische Sicherheits­behörden immer wieder Forderungen, die man sonst nur von amerikanischen Geheim­diensten kennt. Dies schadet nicht nur der Glaubwürdigkeit der EU. Sondern es führt dazu, dass Europa als souveräner Tech-Wirtschafts­raum von den aufrüstenden Supermächten kaum ernst genommen wird.