Transparenzdatenbank für Online-Dienste erfüllt Ziele nicht
Wie oft löschen Online-Dienste eigentlich Inhalte ihrer Nutzer:innen? Welche Gründe geben sie an, wenn sie eingreifen? Welche Inhalte laufen besonders Gefahr, von den Anbietern wegmoderiert zu werden? Und wie genau verbreiten sich illegale Inhalte im Netz?
Zumindest einen Teil dieser Fragen soll eine eigens eingerichtete, öffentlich zugängliche EU-Datenbank beantworten. Sie ist Teil des Digital Services Act (DSA), mit dem die EU auf die Übermacht von Online-Diensten reagiert hat. Das Digitalgesetz schreibt weltweit erstmals verbindliche Regeln für Anbieter fest, die unter anderem zu mehr Transparenz im digitalen Raum sorgen und zugleich Nutzer:innen mehr Rechte verschaffen sollen.
Nach einem leicht holpernden Start befüllen inzwischen über 200 Anbieter die Datenbank, wie aus ihren Statistiken hervorgeht. Demnach haben sie in den vergangenen sechs Monaten knapp vier Milliarden Moderationsentscheidungen an die Datenbank übermittelt. Fast die Hälfte davon wurden vollständig automatisiert getroffen. Meist sollen die Nutzer:innen gegen die Hausregeln der Anbieter verstoßen haben. Illegale Produkte auf Online-Marktplätzen wie Google Shopping machen demnach den Löwenanteil der Inhalte aus, zu denen sie den Zugang gesperrt haben.
„Datenbank erfüllt ihre Ziele nicht“
Eine aktuelle Studie der Universität Zürich übt nun scharfe Kritik an der Datenbank sowie ihrem zugrundeliegenden Design. Zwar stelle die DSA-Transparenzdatenbank einen Schritt in Richtung Transparenz dar, weise aber weiterhin erhebliche Mängel auf, heißt es in der Studie. So habe sie mit eingeschränkter Benutzerfreundlichkeit und Zugänglichkeit zu kämpfen, zudem würden Schlüsseldaten für die Überprüfung und Überwachung der Verbreitung illegaler Inhalte fehlen. Ferner gebe es Bedenken hinsichtlich der Konsistenz, Zuverlässigkeit und Validität der Berichte, welche die Online-Dienste regelmäßig abliefern müssen.
„Entsprechend erfüllt die Datenbank ihre Ziele nicht“, schreibt das vierköpfige Forschungsteam um Professorin Natascha Just. Einige Defizite könnten sich wohl mit den konkreten Empfehlungen und Vorschlägen beheben lassen, die das Team in den Raum stellt. Zugleich plädieren die Forschenden jedoch auch „für eine Überprüfung der regulatorischen Ziele selbst“, die der gegenwärtige Ansatz verfehle.
Es ist bemerkenswert, dass „eigentlich zwei von drei Zielen, die für die Datenbank formuliert wurden, mit dem Setup gar nicht erreicht werden können“, sagt Samuel Groesch, Ko-Autor der Studie, gegenüber netzpolitik.org. So soll die Datenbank ein Monitoring der Verbreitung von illegalen Inhalten ermöglichen, und sie soll Moderationsentscheidungen überprüfbar machen, sagt der Forscher. „Beides ist aber mit den verfügbaren Daten nicht möglich.“
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Wer entscheidet, was illegal ist?
Dies beginne schon dabei, die Erkenntnisse aus dem Datenmaterial sicher zu interpretieren, wenn man erstmal die Grafiken und Balkendiagramme im Dashboard der Datenbank hinter sich lässt. Denn bei genauerer Betrachtung werde schnell klar, sagt Groesch, dass „Definitionen, Reporting und Dokumentation viele Schwachstellen“ haben, sodass eine verlässliche Interpretation kaum möglich ist.
Illustrieren lässt sich das am Beispiel vermeintlich illegaler inhalte. Mit der Datenbank lässt sich zwar die Anzahl und der Anteil der Inhalte abfragen, die Plattformen als illegal eingestuften haben. Wie bisher liegt dies aber im Ermessensspielraum der Anbieter selbst: „Die Plattformen müssen Inhalte nicht auf Rechtmäßigkeit prüfen und können illegale Inhalte auch als Verstöße gegen Community Standards klassifizieren“, sagt Groesch.
Dies sei für die Plattformen einfacher, aber „damit werden diese Inhalte im Datenbank-Output nicht als illegal ausgewiesen“. Auf dieser Basis lasse sich keine verlässliche Aussage darüber treffen, wie hoch der Anteil illegaler Inhalte tatsächlich ist. Zudem könne der aktuelle Zustand zu falschen Aussagen verleiten, indem nur sehr wenige Inhalte als illegal gemeldet werden und das Problem geringer erscheint, als es womöglich ist.
Zumindest die EU-Kommission nutzt die Datenbank
Auf diese Schwächen angesprochen, verweist die EU-Kommission auf den gesetzlichen Rahmen, den ihr der DSA vorgibt. Relevant ist insbesondere Artikel 17 der EU-Verordnung. Der Abschnitt macht den Anbietern eine Reihe an Vorgaben, wie sie sich gegenüber Nutzer:innen verhalten müssen, wenn sie ihre Inhalte moderieren und gegebenenfalls einschränken. Genau diese Entscheidungen und Begründungen gegenüber Nutzer:innen fließen danach in die Transparenzdatenbank ein und bilden ihre Datengrundlage. „Die technischen Anforderungen der DSA-Transparenzdatenbank spiegeln diese rechtlichen Anforderungen wider“, sagt eine Sprecherin der Kommission zu netzpolitik.org.
Sinnlos sei die Datenbank keineswegs, beteuert die Sprecherin. So sei die Datenbank zum einen „eine wertvolle Ressource für die Überwachung der Einhaltung des DSA durch die Kommission“. Zum anderen sei die Studie aus Zürich samt ihrer Verbesserungsvorschläge nicht nur „willkommen“, sondern ein Beispiel für einen „wachsenden Korpus wissenschaftlicher Literatur zur Inhaltsmoderation“, der vor dem DSA in dieser Form nicht möglich gewesen wäre.
Plattformen stärker zur Rechenschaft ziehen
Ähnlich legt auch die Nichtregierungsorganisation AlgorithmWatch den Status Quo aus. Zwar würden die Autor:innen der Studie „zurecht“ die Schwächen der Transparenzdatenbank thematisieren, sagt Eva Lejla Podgoršek. Ein grundsätzliches Versagen beim Erreichen ihrer Ziele könne sie der Datenbank jedoch nicht attestieren.
Selbst wenn sich die Verbreitung illegaler Inhalte nicht im Detail belastbar monitoren lasse, spiele aus Sicht zivilgesellschaftlicher Organisationen ein weiteres, wenn auch nicht explizit formuliertes, Ziel eine wichtige Rolle: „Nämlich Plattformen stärker zur Rechenschaft zu ziehen und mehr Einblick in die bislang undurchsichtige Praxis der Inhaltsmoderation zu gewinnen. Vorher gab es gar keine Daten – jetzt immerhin einige, wenn diese auch (noch) unzureichend sind“, so Podgoršek.
Auch der Schweizer Forscher Groesch will mit der „kritischen Analyse der Datenbank nicht die generelle Existenz in Zweifel ziehen“. Doch trotz der verbesserten Transparenz rund um die Moderationspraktiken der Anbieter seien die Ziele, so wie sie jetzt formuliert seien, nicht erreichbar. Zudem bestehe die Gefahr, dass „überhöhte Erwartungen erzeugt, die nicht eingelöst werden können“, sagt Groesch.
Daran würden auch die Verbesserungsvorschläge des Forschungsteams kaum etwas ändern, etwa trennscharfe Kategorien, mehr Dokumentation seitens der Online-Dienste sowie erweitertes Reporting. „Für die tiefgehende Überprüfung von Moderationsentscheidungen müsste stets der moderierte Content vorliegen“, sagt Groesch. Allerdings wäre es offenkundig problematisch, wenn derartiges Material öffentlich und an einer Stelle gesammelt zugänglich wäre.
Datenbank „Teil eines größeren Transparenzrahmens“
Zugleich sieht der DSA einen speziellen Zugang für die Forschung vor. Dieser erlaubt potenziell tiefere Einblicke in die Funktionsweise der Online-Dienste, sobald sich die Anlaufschwierigkeiten wie Klagen von Anbietern gelegt haben. Ob die Transparenzdatenbank hierbei eine Rolle spielen kann, bleibt jedoch offen. „Inwieweit Daten aus der Transparenzdatenbank mit dem Datenzugang für die Forschung nach Artikel 40 DSA verbunden werden können, um auch einzelne Entscheidungen überprüfbar zu machen, wird sich in Zukunft noch zeigen“, so Groesch.
In jedem Fall sei die Datenbank in Kombination mit anderen Mechanismen des DSA Teil eines größeren Transparenzrahmens, sagt Podgoršek von AlgorithmWatch. Entscheidend sei dabei, dass sämtliche Bestandteile, einschließlich der Risikobewertungen und des Datenzugangs für die Forschung, zuverlässig funktionieren. „Aus unserer Sicht besteht hier aktuell noch erheblicher Verbesserungsbedarf, ohne den die Transparenzdatenbank nur eingeschränkt aussagekräftig ist.“
Google bietet uns seine Dienste kostenlos an und lässt uns unbemerkt mit unseren Daten zahlen. Wer bei Metas Social-Media-Portalen Reichweite bekommt und wer untergeht, bestimmen undurchsichtige Empfehlungssysteme. Tech-Konzerne wenden Unsummen dafür auf, gesetzliche Regulierung in ihrem Sinne mit Lobbyarbeit zu beeinflussen.
Doch es gibt Alternativen zu den großen monopolistischen Strukturen – für den privaten Chat unter Freund:innen, die Datenspeicherung auf Arbeit oder auch für die Infrastruktur unseres Staates. Wir machen diese Lösungen sichtbar und geben auch denen eine Stimme, die keine millionenschweren Lobbyabteilungen hinter sich haben.
Netzwerk des Bundestags am Montag stundenlang ausgefallen
Ab 14:30 Uhr ging am Montagmittag erst einmal nichts mehr im Deutschen Bundestag – das Netzwerk, E-Mail, gemeinsame Laufwerke und die Drucker waren offline. Die bestätigte ein Sprecher auf Anfrage von heise online.
Weiterlesen nach der Anzeige
Parallel zu den Waffenstillstands-Verhandlungen, die wenige Meter weiter im Bundeskanzleramt mit dem ukrainisichen Präsidenten Wolodimir Selenskyj, Donald Trumps Schwiegersohn Jared Kushner und dem US-Sondergesandten Steve Witkoff stattfinden, ein gezielter Angriff auf die Bundestags-IT? Und das, nachdem erst am vergangenen Freitag das Auswärtige Amt die Bundesregierung den russischen Botschafter einbestellt hatte – wegen Desinfomations- und IT-Sicherheitsvorfällen, welche die Nachrichtendienste der Bundesrepublik klar russischen Akteuren zuschreiben? Sollte es sich um eine Machtdemonstration, etwa der Fancy Bear getauften, und auch als Advanced Persistent Threat 28 (APT28) identifizierten Einheit des russischen Militärgeheimdienstes GRU handeln? Der sich schon in der Vergangenheit im Bundestagsnetzwerk zu schaffen gemacht haben soll?
Systeme laufen wieder, Ausfallursache unklar
Die Aufregung jedenfalls war unter Abgeordneten, Mitarbeitern und Medien am Montagnachmittag ausgesprochen groß. Erst nach mehreren Stunden kamen die Netze wieder ans Laufen. Was genau passiert ist, darüber herrscht derzeit noch keine Klarheit, betont ein Sprecher der Verwaltung des Bundestags. „Routinemäßig“ sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen worden – was in der Vergangenheit nicht immer der Fall war, da das BSI als Exekutivbehörde eigentlich nicht für die gesetzgebende Gewalt, das Parlament, zuständig ist. Am frühen Abend, so der Sprecher, seien die Systeme nach und nach wieder in Betrieb genommen worden. Er betonte: „Die Ursache für die Störung ist aktuell weiter offen.“ Allerdings spricht die schnelle Wiederinbetriebnahme gegen den Verdacht, dass diese nachhaltig kompromittiert sein könnten.
Der Bundestag steht immer wieder im Fokus von Angriffen. Das Parlament verfügt dabei über gleich mehrere, voneinander teilweise unabhängige IT-Infrastrukturen. Die Methoden schwanken dabei von manipulierten USB-Sticks über gestreute Attacken auf Office-Produkt bis hin zu gezieltem Spearphishing gegen einzeln Akteure. Der Bundestag selbst betreibt ein Netzwerk für die Arbeitsplatzrechner und Drucker der Abgeordneten und Mitarbeiter sowie der Parlamentsverwaltung. Die Bundestagsfraktionen wiederum nutzen teils eigene IT-Infrastruktur. Dazu kommt ein WLAN im Bundestag, das weitgehend vom Rest der Netze separiert ist – und auch vom heutigen Ausfall nicht betroffen gewesen sein soll.
Datenschutzkonferenz kritisiert Pläne der EU-Kommission
Eine große Zahl von Vereinen und Politiker:innen hat das geplante Digitalpaket der EU-Kommission bereits scharf kritisiert. Nun meldet sich auch die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort – und reiht sich in die Liste der Kritiker:innen des sogenannten „Digitalen Omnibus“ ein. Vergangene Woche hatte die Konferenz in Berlin die geplanten Änderungen an mehreren EU-Digitalgesetzen diskutiert und zwei eigene Reformvorschläge gemacht.
Die Berliner Datenschutzbeauftragte und amtierende DSK-Vorsitzende Meike Kamp bezeichnet die Änderungsvorschläge als „an vielen Stellen nicht bis zu Ende gedacht“. Mit dem Sammelgesetz drohten neue Unklarheiten im Datenschutzrecht. Einfache Änderungen, die kleine und mittlere Unternehmen tatsächlich entlasten würden, lasse die Kommission liegen, so der Vorwurf. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht“, so Kamp weiter.
Anders als von der Kommission dargestellt, handelt es sich nach Ansicht der DSK bei den Vorschlägen nicht nur um kleinere oder technische Anpassungen. Die Änderung der Definition von personenbezogenen Daten gehe beispielsweise an das Fundament der DSGVO.
„Unangemessener“ Zeitdruck
Entsprechend kritisch sehen die Behörden das gewählte Omnibusverfahren, das auf schnelle Gesetzesänderungen abzielt. Der Zeitdruck sei „unangemessen“, warnen sie. Reformen dieser Tragweite müssten sorgfältig durchdacht und auch mit den Aufsichtsbehörden abgestimmt werden.
Die DSK bringt daher eigene Reformideen als Alternative zu den Kommissionsplänen ein, so etwa zu Datenschutz und sogenannter KI (PDF). Mit Blick auf die Verarbeitung personenbezogener Daten brauche es spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen. Diese sollen einerseits zeigen, unter welchen Voraussetzungen die Daten verarbeitet werden dürfen, und andererseits, was klar verboten ist.
Uns fehlen dieses Jahr noch 253.930 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Außerdem fordert die DSK die Europäische Union dazu auf, die Betroffenenrechte beim KI-Einsatz in der DSGVO verankern. Das heißt konkret: Die betroffenen Personen müssen darüber informiert werden, wenn ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Außerdem sollen sie Auskunft darüber erhalten können, ob und wie ein KI-System ihre Daten verarbeitet. Hier gebe es bislang eine Regelungslücke.
Gleichzeitig betont die DSK, dass es in der Praxis Schwierigkeiten bei der Verwirklichung von Betroffenenrechten gebe. Für Fälle, in denen die Rechte nur mit „unverhältnismäßigem Aufwand“ umgesetzt werden können, brauche es daher alternative, gleichwertige Schutzmechanismen.
Mehr Verantwortung für Hersteller und Anbieter
Zudem will die DSK die Hersteller und Anbieter von IT-Produkten und -Diensten stärker in die datenschutzrechtliche Verantwortung nehmen (PDF). Diese sollen künftig darauf achten, dass der Datenschutz bereits bei der Gestaltung ihrer Produkte berücksichtigt wird. Aktuell liegt die rechtliche Verantwortung allein bei denjenigen, die die Produkte nutzen. Kamp zufolge seien insbesondere kleine und mittlere Unternehmen (KMU) oft nicht dazu in der Lage, gegenüber großen Herstellern datenschutzkonforme Prozesse durchzusetzen. Eine Haftung der Hersteller würde sie entlasten.
Damit unterstützt die DSK nach eigenen Aussagen ein Ziel des Bundeskanzlers und der Regierungschefs der Länder aus der föderalen Modernisierungsagenda. Doch die Idee der Herstellerhaftung ist nicht neu. Bereits in ihrer ersten Evaluation der DSGVO vor sechs Jahren hatte die DSK einen solchen Vorschlag gemacht (PDF).
In den kommenden Wochen will die Datenschutzkonferenz den Vorschlag der Kommission weiter im Detail analysieren und eine ausführlichere Stellungnahme abgeben, kündigt Kamp an. Dazu werde sie mit anderen europäischen Datenschutzbehörden zusammenarbeiten.
