Wie oft löschen Online-Dienste eigentlich Inhalte ihrer Nutzer:innen? Welche Gründe geben sie an, wenn sie eingreifen? Welche Inhalte laufen besonders Gefahr, von den Anbietern wegmoderiert zu werden? Und wie genau verbreiten sich illegale Inhalte im Netz?

Zumindest einen Teil dieser Fragen soll eine eigens eingerichtete, öffentlich zugängliche EU-Datenbank beantworten. Sie ist Teil des Digital Services Act (DSA), mit dem die EU auf die Übermacht von Online-Diensten reagiert hat. Das Digitalgesetz schreibt weltweit erstmals verbindliche Regeln für Anbieter fest, die unter anderem zu mehr Transparenz im digitalen Raum sorgen und zugleich Nutzer:innen mehr Rechte verschaffen sollen.

Nach einem leicht holpernden Start befüllen inzwischen über 200 Anbieter die Datenbank, wie aus ihren Statistiken hervorgeht. Demnach haben sie in den vergangenen sechs Monaten knapp vier Milliarden Moderationsentscheidungen an die Datenbank übermittelt. Fast die Hälfte davon wurden vollständig automatisiert getroffen. Meist sollen die Nutzer:innen gegen die Hausregeln der Anbieter verstoßen haben. Illegale Produkte auf Online-Marktplätzen wie Google Shopping machen demnach den Löwenanteil der Inhalte aus, zu denen sie den Zugang gesperrt haben.

„Datenbank erfüllt ihre Ziele nicht“

Eine aktuelle Studie der Universität Zürich übt nun scharfe Kritik an der Datenbank sowie ihrem zugrundeliegenden Design. Zwar stelle die DSA-Transparenzdatenbank einen Schritt in Richtung Transparenz dar, weise aber weiterhin erhebliche Mängel auf, heißt es in der Studie. So habe sie mit eingeschränkter Benutzerfreundlichkeit und Zugänglichkeit zu kämpfen, zudem würden Schlüsseldaten für die Überprüfung und Überwachung der Verbreitung illegaler Inhalte fehlen. Ferner gebe es Bedenken hinsichtlich der Konsistenz, Zuverlässigkeit und Validität der Berichte, welche die Online-Dienste regelmäßig abliefern müssen.

„Entsprechend erfüllt die Datenbank ihre Ziele nicht“, schreibt das vierköpfige Forschungsteam um Professorin Natascha Just. Einige Defizite könnten sich wohl mit den konkreten Empfehlungen und Vorschlägen beheben lassen, die das Team in den Raum stellt. Zugleich plädieren die Forschenden jedoch auch „für eine Überprüfung der regulatorischen Ziele selbst“, die der gegenwärtige Ansatz verfehle.

Es ist bemerkenswert, dass „eigentlich zwei von drei Zielen, die für die Datenbank formuliert wurden, mit dem Setup gar nicht erreicht werden können“, sagt Samuel Groesch, Ko-Autor der Studie, gegenüber netzpolitik.org. So soll die Datenbank ein Monitoring der Verbreitung von illegalen Inhalten ermöglichen, und sie soll Moderationsentscheidungen überprüfbar machen, sagt der Forscher. „Beides ist aber mit den verfügbaren Daten nicht möglich.“

Wer entscheidet, was illegal ist?

Dies beginne schon dabei, die Erkenntnisse aus dem Datenmaterial sicher zu interpretieren, wenn man erstmal die Grafiken und Balkendiagramme im Dashboard der Datenbank hinter sich lässt. Denn bei genauerer Betrachtung werde schnell klar, sagt Groesch, dass „Definitionen, Reporting und Dokumentation viele Schwachstellen“ haben, sodass eine verlässliche Interpretation kaum möglich ist.

Illustrieren lässt sich das am Beispiel vermeintlich illegaler inhalte. Mit der Datenbank lässt sich zwar die Anzahl und der Anteil der Inhalte abfragen, die Plattformen als illegal eingestuften haben. Wie bisher liegt dies aber im Ermessensspielraum der Anbieter selbst: „Die Plattformen müssen Inhalte nicht auf Rechtmäßigkeit prüfen und können illegale Inhalte auch als Verstöße gegen Community Standards klassifizieren“, sagt Groesch.

Dies sei für die Plattformen einfacher, aber „damit werden diese Inhalte im Datenbank-Output nicht als illegal ausgewiesen“. Auf dieser Basis lasse sich keine verlässliche Aussage darüber treffen, wie hoch der Anteil illegaler Inhalte tatsächlich ist. Zudem könne der aktuelle Zustand zu falschen Aussagen verleiten, indem nur sehr wenige Inhalte als illegal gemeldet werden und das Problem geringer erscheint, als es womöglich ist.

Zumindest die EU-Kommission nutzt die Datenbank

Auf diese Schwächen angesprochen, verweist die EU-Kommission auf den gesetzlichen Rahmen, den ihr der DSA vorgibt. Relevant ist insbesondere Artikel 17 der EU-Verordnung. Der Abschnitt macht den Anbietern eine Reihe an Vorgaben, wie sie sich gegenüber Nutzer:innen verhalten müssen, wenn sie ihre Inhalte moderieren und gegebenenfalls einschränken. Genau diese Entscheidungen und Begründungen gegenüber Nutzer:innen fließen danach in die Transparenzdatenbank ein und bilden ihre Datengrundlage. „Die technischen Anforderungen der DSA-Transparenzdatenbank spiegeln diese rechtlichen Anforderungen wider“, sagt eine Sprecherin der Kommission zu netzpolitik.org.

Sinnlos sei die Datenbank keineswegs, beteuert die Sprecherin. So sei die Datenbank zum einen „eine wertvolle Ressource für die Überwachung der Einhaltung des DSA durch die Kommission“. Zum anderen sei die Studie aus Zürich samt ihrer Verbesserungsvorschläge nicht nur „willkommen“, sondern ein Beispiel für einen „wachsenden Korpus wissenschaftlicher Literatur zur Inhaltsmoderation“, der vor dem DSA in dieser Form nicht möglich gewesen wäre.

Plattformen stärker zur Rechenschaft ziehen

Ähnlich legt auch die Nichtregierungsorganisation AlgorithmWatch den Status Quo aus. Zwar würden die Autor:innen der Studie „zurecht“ die Schwächen der Transparenzdatenbank thematisieren, sagt Eva Lejla Podgoršek. Ein grundsätzliches Versagen beim Erreichen ihrer Ziele könne sie der Datenbank jedoch nicht attestieren.

Selbst wenn sich die Verbreitung illegaler Inhalte nicht im Detail belastbar monitoren lasse, spiele aus Sicht zivilgesellschaftlicher Organisationen ein weiteres, wenn auch nicht explizit formuliertes, Ziel eine wichtige Rolle: „Nämlich Plattformen stärker zur Rechenschaft zu ziehen und mehr Einblick in die bislang undurchsichtige Praxis der Inhaltsmoderation zu gewinnen. Vorher gab es gar keine Daten – jetzt immerhin einige, wenn diese auch (noch) unzureichend sind“, so Podgoršek.

Auch der Schweizer Forscher Groesch will mit der „kritischen Analyse der Datenbank nicht die generelle Existenz in Zweifel ziehen“. Doch trotz der verbesserten Transparenz rund um die Moderationspraktiken der Anbieter seien die Ziele, so wie sie jetzt formuliert seien, nicht erreichbar. Zudem bestehe die Gefahr, dass „überhöhte Erwartungen erzeugt, die nicht eingelöst werden können“, sagt Groesch.

Daran würden auch die Verbesserungsvorschläge des Forschungsteams kaum etwas ändern, etwa trennscharfe Kategorien, mehr Dokumentation seitens der Online-Dienste sowie erweitertes Reporting. „Für die tiefgehende Überprüfung von Moderationsentscheidungen müsste stets der moderierte Content vorliegen“, sagt Groesch. Allerdings wäre es offenkundig problematisch, wenn derartiges Material öffentlich und an einer Stelle gesammelt zugänglich wäre.

Datenbank „Teil eines größeren Transparenzrahmens“

Zugleich sieht der DSA einen speziellen Zugang für die Forschung vor. Dieser erlaubt potenziell tiefere Einblicke in die Funktionsweise der Online-Dienste, sobald sich die Anlaufschwierigkeiten wie Klagen von Anbietern gelegt haben. Ob die Transparenzdatenbank hierbei eine Rolle spielen kann, bleibt jedoch offen. „Inwieweit Daten aus der Transparenzdatenbank mit dem Datenzugang für die Forschung nach Artikel 40 DSA verbunden werden können, um auch einzelne Entscheidungen überprüfbar zu machen, wird sich in Zukunft noch zeigen“, so Groesch.

In jedem Fall sei die Datenbank in Kombination mit anderen Mechanismen des DSA Teil eines größeren Transparenzrahmens, sagt Podgoršek von AlgorithmWatch. Entscheidend sei dabei, dass sämtliche Bestandteile, einschließlich der Risikobewertungen und des Datenzugangs für die Forschung, zuverlässig funktionieren. „Aus unserer Sicht besteht hier aktuell noch erheblicher Verbesserungsbedarf, ohne den die Transparenzdatenbank nur eingeschränkt aussagekräftig ist.“

Die Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sich auf eine enge Zusammenarbeit bei Cloud-Sicherheitskriterien verständigt. Die Kooperation zweier wichtiger europäischer Akteure soll einen Tag vor dem deutsch-französischen Digitalgipfel ein Aufbruchsignal sein: Bei erhöhtem Sicherheitsbedarf soll künftig grenzüberschreitend gedacht werden.

„Wir müssen einen unterbrechungsfreien Betrieb und eine effektive Kontrolle über unsere sensiblen Daten in den Clouds sicherstellen“, sagt BSI-Präsidentin Claudia Plattner. Frankreich und Deutschland gehe es darum, „Hand in Hand die Risiken zu adressieren, die durch extraterritoriales Recht oder Abhängigkeiten entstehen“, ergänzt ANSSI-Generaldirektor Vincent Strubel.

Sicherheitsanforderungen uneinheitlich

Europäische Cloudanbieter stehen bislang vor dem Problem, dass jeder der 27 EU-Nationalstaaten für Remoteanwendungen und Speicher jeweils eigene Vorgaben für „sichere Clouds“ hat, für die oft auch einzeln Zertifizierungen und Sicherheitsüberprüfungen durchgeführt werden müssen.

Mit dem von der EU-Kommission angekündigten „Cloud Sovereignty Framework“ soll sich das grundsätzlich ändern. Darauf wollen die beiden Cybersicherheitsbehörden in Bonn und Paris nun aufbauen. Ziel sei es, kompatible Kriterien und Methoden zu deren Einhaltung zu entwickeln.

ANSSI treibt seit 2016 das an die ISO 270001-Norm angelehnte SecNumCloud-Framework voran. Auch das BSI arbeitet an Cloud-Mindeststandards, derzeit sind die sogenannten C5-Kriterienkataloge die Vorgaben der Bonner IT-Sicherheitsspezialisten.

Angesichts stark steigender Nachfrage seitens geheimschutzbedürftiger Stellen hatte Plattner zuletzt grundsätzliche Überlegungen veröffentlicht, wie Daten mit einem geringeren Schutzniveau auch in der US-Cloud gespeichert werden könnten. Dafür musste die BSI-Präsidentin aus Teilen der europäischen Open-Source-Community einige Kritik einstecken. Die gemeinsame Erklärung von BSI und ANSSI enthält nun ein klares Bekenntnis zu europäischen Stakeholdern und Open Source-Technologien.

Betrieb im Ausland vereinfachen

Zögen die beiden Schwergewichte unter den EU-Cybersicherheitsbehörden aber tatsächlich dauerhaft an einem Strang, könnten sie gleich zwei Probleme adressieren: zum einen, dass die Kosten für Anbieter – und in der Folge die Preise für Anwender – durch die Vielzahl der nationalen Vorschriften hoch sind. Zum anderen, dass hierdurch auch das Betreiben von Rechenzentren nach nationalen Vorschriften im EU-Ausland vereinfacht wird.

Allerdings ist die Idee, gemeinsam an den Kriterien für sichere Cloudumgebungen zu arbeiten, nicht ganz neu: Vor neun Jahren wollten der damalige BSI-Präsident Arne Schönbohm und sein französischer Counterpart Guilaume Poupard bereits ein Label für eine „European Secure Cloud“ entwickeln, als Zeichen der guten deutsch-französischen Digitalkooperation. Und auch dieses Mal heißt es in der gemeinsamen Erklärung der beiden Seiten an relevanter Stelle: Das gemeinsame Vorgehen solle stattfinden, „wo möglich“.

(vbr)

Die Berliner Schwarz-Rote Landesregierung möchte der Hauptstadt ein neues Polizeigesetz (ASOG) verpassen. An diesem gab es schon bei der Sachverständigenanhörung Ende September viel Kritik. Dort sprachen Expert:innen von einer „Abkehr von der grundrechtsfreundlichen Politik“: So soll neben einem automatischen Datenabgleich mit biometrischen Daten auch er Einsatz von Videoüberwachung mit Verhaltensscannern sowie der Einsatz von Staatstrojanern möglich werden.

Heute fand die 2. Lesung im Berliner Innenausschuss statt. Eingeflossen ist die Kritik der Sachverständigen in einen aktualisierten Vorschlag jedoch kaum, laut Opposition hat sie die Koalition in ihrem Änderungsantrag nicht ausreichend berücksichtigt. Von Kosmetik ist die Rede.

Besonders brisant: Eine Änderung erweitert nun sogar die Befugnisse der Polizei noch einmal. Demnach soll die Polizei künftig biometrische Daten zu Gesichtern und Stimmen auch von Kontakt- und Begleitpersonen der Verdächtigen mittels automatisierter Anwendungen biometrisch mit öffentlich zugänglichen Daten aus dem Internet abgleichen dürfen.

„Grundrechtsbeeinträchtigungen unbeteiligter Personen“

In einer Stellungnahme (PDF) kritisiert die Berliner Datenschutzbeauftragte, dass die ausdrückliche Einbeziehung von Kontakt- und Begleitpersonen den Personenkreis der Betroffenen erheblich erweitere. Damit würde die Streubreite des ohnehin intensiven Eingriffs weiter erhöht. Die Polizei erlange einen „erheblichen Beurteilungsspielraum“. Entsprechend berge das Gesetz das Risiko, dass Personen einbezogen werden, die tatsächlich in keiner Weise an der Straftatenbegehung beteiligt sind.

Dabei verweist die Datenschützerin, dass dies im Kontext der biometrischen Fernidentifizierung, die bereits aufgrund der Nutzung künstlicher Intelligenz und der Vielzahl durchsuchter Internetquellen eine hohe Streubreite aufweist, zu einer „Potenzierung der Grundrechtsbeeinträchtigungen unbeteiligter Personen“ führe. Die Datenschutzbeauftragte hält dies für nicht verhältnismäßig.

„Abkehr von der grundrechtsfreundlichen Politik“

Einfallstor für eine Superdatenbank

Kritik kam in der Ausschusssitzung von den Grünen und der Linken. Gegenüber netzpolitik.org mahnte der grüne Innenpolitiker Vasili Franco, dass die Kritik aus der Sachverständigenanhörung nicht genug berücksichtigt worden sei. „Stattdessen wird der biometrische Abgleich im Internet von Kontakt- und Begleitpersonen und die weitgehende Verwendung von Verkehrs- und Nutzungsdaten zur Erstellung von Persönlichkeitsprofilen möglich gemacht. Durch das Polizeigesetz kann zukünftig jedermann in Berlin zur Gefahr gemacht werden, sobald man in das Visier der Polizei gerät“, so Franco weiter.

Dass in der Vergangenheit Informationen durch Sicherheitsbehörden nicht rechtzeitig zusammengeführt wurden, dürfe nicht als Einfallstor für eine Superdatenbank und Datenanalysen mit unklarer Zweckbestimmung dienen, so Franco. „Ein gutes Polizeigesetz muss konkrete Antworten darauf geben, was die Polizei darf und was sie nicht darf.“

„Grundrechtseingriffe von extremer Intensität“

Auch der linke Innenpolitiker Niklas Schrader sagt, dass die Koalition mit ihrem Änderungsantrag vor allem redaktionelle und kosmetische Änderungen vorgenommen habe. „Insgesamt bleibt es bei einem massiven Überwachungsausbau, den CDU und SPD planen“, sagt Schrader gegenüber netzpolitik.org.

Mit neuen Instrumenten wie der KI-gestützten Videoüberwachung mit Verhaltensanalyse oder der Verknüpfung und automatisierte Auswertung von Polizeidaten könnten potentiell alle Berliner:innen polizeilich erfasst werden, so Schrader weiter. Das geplante ASOG enthalte „verfassungsrechtlich bedenkliche Regelungen und Grundrechtseingriffe von extremer Intensität und Streubreite“. Sein Fazit fällt dementsprechend kritisch aus: „SPD und CDU in Berlin oder CSU in Bayern, das nimmt sich in der Innenpolitik mittlerweile nichts mehr.“

Protest von Bürgerrechtsorganisationen

Mehrere Bürgerrechtsorganisationen hatten zuletzt die Pläne für das neue Polizeigesetz kritisiert und einen Stopp des Gesetzgebungsverfahrens gefordert. In einem offenen Brief monieren die Organisationen den möglichen Einsatz einer orts- und verhaltensübergreifenden Analyseplattform zum biometrischen Abgleich mit über das Internet öffentlich zugänglichen personenbezogenen Daten und die automatisierte Verhaltensmustererkennung.

Zudem lasse das Polizeigesetz zu, dass Datenbestände der Polizei losgelöst von konkreten Anlässen dauerhaft zusammengeführt werden könnten. Hierdurch entstünde eine Superdatenbank mit „Möglichkeiten zum Erstellen von Bewegungsprofilen, Verhaltensmuster- und Sozialkontaktanalysen“. In einem Interview mit der taz kritisierte Lukas Theune, Geschäftsführer des Republikanischen Anwalt:innenverbandes (RAV), der Gesetzentwurf solle der Polizei gläserne Bürger:innen ermöglichen.

Das neue Polizeigesetz soll am 4. Dezember im Berliner Angeordnetenhaus beschlossen werden.