Ordnungsrahmen für digitale Plattformen: BMWi-Weißbuch kommentiert

Das Bundesministerium für Wirtschaft und Energie (BMWi) hat am 20. März 2017 zur Eröffnung der Cebit das Weißbuch Digitale Plattformen veröffentlicht. Es baut auf dem Grünbuch vom Mai 2016 auf, enthält konkretere Regelungsvorschläge und ist Teil der „Digitalen Strategie 2025″ des BMWi.

BMWi beschreibt die Entwicklung vom Grünbuch zum Weißbuch:

„Mit dem ‚Grünbuch Digitale Plattformen‘ haben wir einen breiten und intensiven Diskussionsprozess über Möglichkeiten und Wege für eine kluge, kompetente und langfristig orientierte Gestaltung unserer digitalen Zukunft angestoßen. Im Kern ging es um die Frage: Welchen Ordnungsrahmen setzen wir für digitale Plattformen? Wie schaffen wir faire Wettbewerbsbedingungen und Rechtssicherheit für alle Unternehmen? Wie können wir die wirtschaftlichen Potenziale von Big Data ausschöpfen, ohne die digitale Privatautonomie von Verbraucherinnen und Verbrauchern zu untergraben?

Anhand von zwölf Thesen und 52 Leitfragen haben wir vier Monate lang mit Unternehmen, Verbänden und Interessierten aus allen Bereichen der Gesellschaft über die künftige Ausgestaltung eines Ordnungsrahmens für digitale Plattformen diskutiert.

Über 260 wertvolle Hinweise, Anregungen und Vorschläge sind in den Konsultationsprozess eingeflossen.“

Hannover IT e.V. beabsichtigt eine Stellungnahme zum Weißbuch abzugeben und hat Partner:innen dieses B2B-Netzwerkes eingeladen, ihre Anmerkungen beizutragen.

praemandatum hat sich aktuell aus datenschutzrechtlicher Sicht zu den Punkten „3.2 Eine moderne Datenökonomie schaffen“ und „3.4 Eine demokratische Digitalkultur sichern“ geäußert:

Generell fällt auf, dass das Wort „Netzneutralität“ nur an einer Stelle in einem Nebensatz des vorliegenden Weißbuches genannt wird (Seite 99). In diesem Nebensatz wird zudem der Eindruck erweckt, als wäre das Thema eher ein Innovationshemmnis. Eine diskriminierungsfreie Datenpolitik sollte jedoch eines der Primärziele des politischen Handelns im digitalen Bereich sein – insbesondere, wenn im Rahmen aller anderen Kapitel stark für eine Chancengleichheit im Wettbewerb plädiert wird.

3.2.1 Freier Datenfluss und Nutzungsrechte an Daten

„Mit Blick auf die wachsende Bedeutung von vernetzten, ‚smarten‘ Maschinen werden aber auch Daten ohne Personenbezug immer wichtiger.“ (Seite 68)

Die Praxis zeigt, dass kaum Daten ohne jeglichen Personenbezug entstehen werden. Sowohl im Industrie-4.0- als auch und insbesondere im IoT-Bereich werden praktisch alle entstehenden Daten entweder einen direkten Personenbezug haben oder durch ihre Auswertung im Kontext eine Deanonymisierung der beteiligten Mitarbeiter oder Privatpersonen erlauben. Insbesondere diese „indirekten Daten“ sollten der ebenfalls im Dokument proklamierten Datensouveränität der natürlichen Personen in all ihren Facetten unterliegen.

„Wir werden unsere Positionen in den gestarteten Konsultationsprozess einbringen und dafür werben, dass es einerseits Rechtssicherheit bei Verträgen gibt, die das Nutzungsrecht an Daten zwischen beteiligten Parteien klären, und dass gleichzeitig keine wettbewerbshemmenden Beschränkungen beim Zugang zu Daten entstehen.“ (Seite 68)

Das hört sich gut an, ist aber aufgrund der schwammigen Formulierung ein unmögliches Ziel.

„Im Rahmen der Konsultationen zum Grünbuch ist der Wunsch deutlich geworden, Rechtsunsicherheiten, insbesondere beim Schutz besonders sensibler Daten, zu beseitigen und vor allem den Zugang zu Daten zu stärken.“ (Seite 68)

Diese Formulierung klingt nach dem Willen, den Schutz sensibler Daten abzuschaffen und möglichst jedem Unternehmen die Verwendung dieser Daten zu erlauben.

„Statt stärkerer Ausschließlichkeit bei der Nutzung von Daten muss der Zugang zu Daten stärker im Fokus stehen. So können etwa Big-Data-Anwendungen, die potenziell hohen Nutzen hätten, durch individuelle Rechte an Daten blockiert sein. Hier kann es notwendig werden, die Blockade aufzuheben. Daher sollten die Schranken gegenüber Rechten an Daten und damit der Zugang zu Daten gestärkt werden, ohne dabei den Schutz personenbezogener Daten zu verwässern.“ (Seite 69)

Hier sollte zwingend zwischen explizit und implizit durch den Nutzer abgegebene Daten unterschieden werden. Explizite Datenabgaben sind zum Beispiel Postings in sozialen Netzwerken. Implizite Datenabgaben sind Daten, die aufgrund des Nutzerverhaltens entstehen wie beispielsweise durch Big-Data-Verfahren ermittelbare Gesundheitsdaten.

Implizit abgegebene Daten zeichnen sich zumeist dadurch aus, dass deren Existenz dem Nutzer nicht bewusst ist. An dieser sollten die Schranken zur weiteren Nutzung Dritter keinesfalls aufgehoben werden. Idealerweise sollte ganz im Gegenteil die Nutzung respektive Generierung solcher Daten im Sinne der Datensouveränität sehr viel transparenter und aus Nutzersicht steuerbarer gemacht werden.

Bei explizit abgegebenen Daten erscheint hingegen eine Datenmonopolvermeidung im beschriebenen Sinne sinnvoll.

„Kreative müssen von ihren Leistungen auch in einer zunehmend digitalisierten Welt leben können; gleichzeitig muss die Rechtsdurchsetzung für Kultur- und Kreativschaffende gestärkt werden.“ (Seite 69)

Nach allen Erfahrungen der letzten Jahre erscheint es zur Entstehung von Innovation und Kreativität vielmehr notwendig, dass sinnvolle Fair-Use-Regelungen gefunden werden, die auch nichtkommerzielle Nutzungen entkriminalisieren.

Eine harte Abgrenzung zwischen „Kreativschaffenden“ und reinen „Konsumenten“ ist nicht mehr zeitgemäß und somit obsolet. Spätestens das fatale Leistungsschutzrecht hat gezeigt, dass eine weitere Stärkung von Durchsetzungsrechten in konventioneller Weise nicht der richtige Weg sein kann.

3.2.3 Siegel und Zertifizierungen

„Gerade im Big-Data-Bereich sind zudem die bereits genannten Verfahren der Pseudonymisierung und Anonymisierung geeignet, die Interessen der Wirtschaft an der Datennutzung mit dem Recht auf Privatheit der Nutzer in Einklang zu bringen. Dies erkennt auch die Datenschutz-Grundverordnung an: So können etwa kommerzielle Weiterverarbeitungen von Daten insbesondere dann zulässig sein, wenn die Daten anonymisiert oder pseudonymisiert werden.“ (Seite 71)

Die Erfahrung zeigt, dass Pseudonymisierungen und insbesondere Anonymisierungen in der Praxis in fast allen Fällen derart schlecht umgesetzt werden, dass sie in keiner Weise dem Datenschutz dienlich sind. Ganz im Gegenteil werden unter diesen Feigenblättern geradezu haarsträubende Handel getrieben.

Somit muss auf die Güte und die unabhängige Beurteilung durch Dritte bei der Nutzung solcher Verfahren geachtet werden.

3.2.4 Vertrauensdienstegesetz

„Wir wollen nutzerfreundliche und gleichzeitig sichere Methoden zur Online-Identifizierung. Wir wollen daher die Erarbeitung sicherer und vertrauenswürdiger „Digitaler Identitäten“ fördern.“ (Seite 73)

In diesem Abschnitt wird viel über Authentifizierung gesagt, nichts jedoch über Verschlüsselung. Ein System zur Kommunikation mit Behörden muss neben der Authentizität auch zwingend Ende-zu-Ende-verschlüsselt garantieren.

Weiterhin muss dafür Sorge getragen werden, dass eine eindeutige Identifikationsmöglichkeit (wie beispielsweise mit der eID) nicht zum Standard für eine pauschale Deanonymisierung aller Internetnutzer werden kann.

Eine großflächige Nutzung solcher Systeme wird ohne Zweifel auch von Serviceanbietern gefordert werden, um die Datenqualität bzgl. ihrer Nutzer zu erhöhen. Das mag bei Bezahldiensten sinnvoll sein, bei sozialen Netzwerken jedoch das Gegenteil.

Eine anonyme Nutzung des Internets muss gewährleistet bleiben.

3.2.8 AGB-Recht

Der Autor verschweigt, dass im B2B-Bereich die gesetzlichen Kontrollmöglichkeiten bereits beschränkt sind, da hier §§ 308, 309 BGB ausgeschlossen sind.

Das Argument, das AGB-Recht müsse sich an europäischen Standards orientieren, kann ebenfalls nicht gelten, da Harmonisierung nicht um jeden Preis erfolgen darf. Denn die richterliche Überprüfbarkeit von AGB soll den Adressaten von AGB schützen, so etwa vor unlauteren Praktiken.

Gerade im Zuge der erwähnten neuen digitalen Geschäftsfelder und damit einhergehenden neuen Geschäftspraktiken sollte eine Überprüfbarkeit nach bewährten Standards möglich sein. So bietet die Inhaltskontrolle nach § 307 BGB im Rahmen einer Güterabwägung genug Spielraum, auch neue Medien und digitale Technologien zu berücksichtigen und gerade dem im Text befürchteten erwähnten Missbrauch von Machtgefällen zu begegnen.

3.4 Eine demokratische Digitalkultur sichern

„Trusted Flagger, Faktenchecks, aktive Gegenrede und seriöser Journalismus sind stärker als Lügen.“ (Seite 92)

Das sind sie aktuell nicht. Generell erscheinen die Ausführungen im Weißbuch größtenteils ausgewogen.

Hinzuzufügen wäre allerdings noch der Aspekt der Filterblase: Fake-News breiten sich aktuell zu einem nicht unwesentlichen Teil deswegen aus, weil die großen Plattformbetreiber Filterblasen für ihre Nutzer ausbilden. Dabei werden Postings bevorzugt angezeigt, die dem bereits vorhandenen Weltbild des Nutzer am meisten entsprechen. Die Konfrontation mit anderen Meinungen unterbleibt in vielen Fällen.

Insofern wäre ein regulatorischer Eingriff überlegenswert, die eine harte Abkapselung in die eigene Filterblase zumindest erschwert.

praemandatums Justiziar kommentierte eine Regulierung von Digitalkultur aus anderer Sicht: Eine Kontrolle junger Medien wie den sozialen Netzwerken, die sich selbst noch entwickeln bzw. definieren müssen und somit einer eigenen Dynamik unterliegen, erscheint, – wenn überhaupt notwendig – verfrüht. Vielmehr könnte sie die Entwicklung der Medien selbst behindern. Es ist anzunehmen, dass sich das Bewusstsein dafür, dass Beiträge nicht nur einem begrenzten Adressatenkreis, sondern einer Vielzahl von potenziellen Lesern zugänglich und dieser Umstand mit Konsequenzen verbunden sein kann, erst noch etablieren muss. Darüber hinaus wird die Hemmschwelle, Meinungen und somit auch „hate speech“ über soziale Medien zu äußern, regelmäßig niedriger sein. Daher sollte eher Aufklärungsarbeit durch den Staat getätigt werden anstatt eine Kriminalisierung der Nutzerschaft voranzutreiben.

Der Autor des Weißbuches unterstreicht zurecht die Meinungsfreiheit als hohes Gut in einem demokratischen Staat. Ein demokratischer Staat sollte jedoch idealerweise durch seine Bürger definiert werden und nicht durch staatliche Instanzen, die diesen durchzusetzen versuchen. Auch die in 3.4.1 formulierte Einführung von Compliance-Vorschriften für private Anbieter sozialer Medien käme zur Unzeit, da im Ergebnis eine Massenzensur zu befürchten ist. Eine Atmosphäre der Zensur im Kontext aktueller Tendenzen einiger Staaten, die Meinungsfreiheit zu beschränken, wäre als äußerst problematisch zu bewerten.

3.4.1 Den Grundrechtsschutz im Internet stärken

„Wir wollen außerdem prüfen, ob durch ein eindeutiges Identifizierungsverfahren die Betreiber öffentlicher Meinungsforen verpflichtet werden können, ihre Nutzer vorab zu registrieren.“ (Seite 95)

Dieser Satz führt alle Ausgewogenheiten, die im Vorfeld genannt wurden, vollständig ad absurdum und steht in klarem Widerspruch zur Überschrift. Ein Rechtsstaat muss auch unliebsame, anonyme Äußerungen aushalten können. Eine Pseudonomysierung durch den Plattformbetreiber ist weder zuverlässig im Hinblick auf Datenunfälle oder Hackerangriffen, noch bei international agierenden Unternehmen sinnvoll, wenn man die Aktivitäten und die Datenaffinität anderer Regierungen bedenkt.

Bei eindeutigen Rechtsverstößen ist es mittels Polizeiarbeit in der Regel möglich, den Absender auch mit den beim Anbieter und ISP entstehenden Metadaten zu identifizieren. Der Anbieter sollte und darf die Namen nicht zwingend selbst kennen und vorhalten müssen.

Weiterhin würde eine solche Regelung die Datenqualität der großen Monopolisten enorm verbessern und somit die durchaus sinnvollen Regelungen der DSGVO unterlaufen.

pl/mk/dh