DMA: Sicherheitsrelevante Auswirkungen der neuen EU-Kartellgesetze
Der Digital Markets Act vs. die Gatekeeper - ein Balanceakt
Einige wenige führende Tech-Giganten beherrschen die digitalen Märkte weltweit und machen es kleinen Unternehmen schwer, in den Markt vorzudringen. Die EU steht vor der gewaltigen Aufgabe, das Monopol von Big Tech zu bremsen und den EU-Bürgern durch den Digital Markets Act (DMA) mehr Kontrolle über ihre Daten zu geben, aber es gibt einen Haken…
Was ist der “Digital Markets Act”?
Der Digital Markets Act oder DMA ist eine Reihe von Vorschriften, die von der Europäischen Kommission festgelegt wurden. Er gilt für Betreiber digitaler Unternehmen in der Europäischen Union, die die Kriterien erfüllen, die sie zu Gatekeepern machen. Der Zweck dieser Verordnungen ist es, ein faireres Umfeld für Unternehmen zu schaffen, die von diesen Gatekeepern abhängig sind, um ihre Dienste im europäischen Binnenmarkt anbieten zu können.
Einfach ausgedrückt: Große Tech-Unternehmen, die als Gatekeeper gelten, müssen ihre Plattformen für kleinere Wettbewerber öffnen, um einen faireren Wettbewerb zu ermöglichen.
Die neue Gesetzgebung soll Tech-Start-ups in die Lage versetzen, im Umfeld von Online-Plattformen zu konkurrieren und zu innovieren, ohne sich an unfaire Bedingungen halten zu müssen, die von den Plattformen auferlegt werden und die ihre Entwicklung einschränken oder ihre Chancen verringern können, ihre Produkte den Verbrauchern vorzustellen. Zu viel Macht in den Händen einiger weniger kann die Innovation abwürgen und den fairen Wettbewerb einschränken.
Gleichzeitig ist die Kommission zuversichtlich, dass die neuen Maßnahmen zu einer besseren und größeren Auswahl für die Verbraucher führen werden, ihnen einen direkten Zugang zu den Diensten, fairere Preise und mehr Möglichkeiten bieten werden, den Anbieter zu wechseln, wenn sie sich dafür entscheiden, als Ergebnis eines gesünderen Wettbewerbsumfelds.
Die Kommission will dies erreichen, indem sie den “Gatekeepern” alle ihre derzeitigen Möglichkeiten zur Innovation und zum Angebot neuer Dienste belässt. Allerdings wäre es ihnen nicht mehr gestattet, unlautere Praktiken zu ihrem Vorteil einzusetzen, weder gegenüber den gewerblichen Nutzern noch gegenüber den Kunden, die von ihnen abhängig sind. Und während die derzeitige regulatorische Fragmentierung in der EU für Plattformen, die grenzüberschreitend tätig sind, oft höhere Kosten für die Einhaltung der Vorschriften bedeutet, würde die neue einheitliche Gesetzgebung auch dieses Problem lösen helfen und den Gatekeepern mehr Rechtssicherheit bieten.
Was ist der “Digital Services Act”?
Der neue Digital Services Act (DSA) ist ein einheitliches, EU-weit geltendes Regelwerk mit Mechanismen, die es der Europäischen Kommission und den Mitgliedstaaten ermöglichen, ihre Maßnahmen zu koordinieren. Sein Hauptziel ist die Bekämpfung illegaler Waren, Inhalte und Dienstleistungen, die online vertrieben werden. Sie umfasst:
- Maßnahmen für Nutzer zur Kennzeichnung solcher Inhalte und für Plattformen zur Zusammenarbeit mit “vertrauenswürdigen Kennzeichnern”.
- Neue Verpflichtungen zur Rückverfolgbarkeit von gewerblichen Nutzern auf Online-Marktplätzen
- Wirksame Schutzmaßnahmen für Nutzer, einschließlich der Möglichkeit, Entscheidungen der Plattformen zur Mäßigung von Inhalten anzufechten
- Verpflichtungen für sehr große Plattformen, die mehr als 10 % der EU-Bevölkerung erreichen, zur Verhinderung des Missbrauchs ihrer Systeme
- Verbesserte Zugänglichkeit von Plattformen für Menschen mit Behinderungen
- Verbot der gezielten Werbung für Kinder (oder auf der Grundlage besonderer Merkmale der Nutzer) auf Online-Plattformen
- Transparenzmaßnahmen für Online-Plattformen, einschließlich der Transparenz von Online-Werbung für die Nutzer und der Transparenz der für Empfehlungen verwendeten Algorithmen. Außerdem werden Behörden und Forscher Zugang zu den Daten der wichtigsten Plattformen haben, um deren Funktionsweise zu überprüfen.
- Eine Aufsichtsstruktur, die der Komplexität des Online-Raums gerecht wird. Die Mitgliedstaaten werden die Hauptrolle spielen, unterstützt von einem neuen Europäischen Rat für digitale Dienste; für sehr große Plattformen wird die Kommission die Aufsicht und Durchsetzung übernehmen.
- Klein- und Kleinstunternehmen sind von den kostspieligsten Verpflichtungen befreit, können aber die besten Praktiken anwenden, die ihnen einen Wettbewerbsvorteil verschaffen.
- Plattformen und andere Vermittler haften nicht für das rechtswidrige Verhalten von Nutzern, es sei denn, sie haben Kenntnis von rechtswidrigen Handlungen und unterlassen es, diese zu beseitigen.
Wer gilt als Gatekeeper?
Die DMA definiert als Gatekeeper eine große Online-Plattform mit einer starken wirtschaftlichen Position, die erhebliche Auswirkungen auf den Binnenmarkt hat und in mehreren EU-Ländern aktiv ist (unabhängig davon, ob sie ihren Sitz in der EU hat oder nicht) und die eine große Nutzerbasis mit einer großen Anzahl von Unternehmen verbindet. Darüber hinaus gilt eine solche Plattform nur dann als Gatekeeper, wenn sie im Laufe der Zeit stabil ist, d. h. wenn sie die vorgenannten Kriterien in jedem der letzten drei Geschäftsjahre erfüllt hat.
Es liegt auf der Hand, dass die Kriterien nur von einer Handvoll Big-Tech-Plattformen erfüllt werden, die einen unverhältnismäßig großen Einfluss auf den Markt haben.
Unternehmen wie Google / Alphabet Inc, Apple, Microsoft, Amazon und Meta werden sich als Gatekeeper qualifizieren.
So muss Amazon nach der DMA beispielsweise aufhören, seine eigenen Produkte gegenüber denen unabhängiger Anbieter zu bevorzugen, die auf der Plattform gehostet werden, und Google darf nicht länger Daten von Diensten wie Maps und YouTube sammeln und sie ohne die ausdrückliche Zustimmung der Nutzer mit Google-Suchdaten kombinieren.
Was ist der aktuelle Stand des DMA?
Das DMA wird im Mai 2023 in Kraft treten. In den darauffolgenden vier Monaten werden Unternehmen, die zentrale Plattformdienste anbieten, mit der Kommission klären, ob sie als Gatekeeper in Frage kommen oder nicht, und diejenigen, die die Kriterien erfüllen, haben nach Erhalt der Entscheidung weitere sechs Monate Zeit, um die Einhaltung der im DMA festgelegten Verpflichtungen sicherzustellen. In dem Bemühen um ein ausgewogenes Verhältnis zwischen den konkurrierenden Anforderungen veranstaltet die Kommission technische Workshops, um die Meinungen der interessierten Kreise zur Einhaltung der Vorschriften durch die Gatekeeper einzuholen.
Wenn Gatekeeper die neue Verordnung nach den vorgeschriebenen sechs Monaten nicht einhalten, werden sie mit einer Geldbuße von bis zu 10 % ihres gesamten weltweiten Jahresumsatzes oder bei wiederholten Verstößen von bis zu 20 % belegt, und sie können Zwangsgelder von bis zu 5 % des durchschnittlichen Tagesumsatzes zahlen. Darüber hinaus können bei systematischen Verstößen nach einer Marktuntersuchung von Fall zu Fall auch andere Abhilfemaßnahmen gegen die “Gatekeeper” verhängt werden, einschließlich struktureller Abhilfemaßnahmen wie die Veräußerung von (Teilen) eines Geschäfts.
Der Text, auf den sich die Verhandlungsführer des Europäischen Parlaments und des Rates vorläufig geeinigt haben, zielt auf große Unternehmen ab, die so genannte “Kernplattformdienste” anbieten, die für unlautere Geschäftspraktiken besonders anfällig sind, z. B. soziale Netzwerke, Messenger, Browser oder Suchmaschinen, mit einer Marktkapitalisierung von mindestens 75 Milliarden Euro oder einem europäischen Umsatz von 7,5 Milliarden Euro in den letzten drei Jahren oder einer Kernplattform, die 45 Millionen europäische Nutzer zählt.
Was bedeuten die neuen Regeln für die Torwächter?
Die Torwächter müssen
- Dritten die Interoperabilität mit den eigenen Diensten des Gatekeepers “in bestimmten Situationen” ermöglichen
- ihren geschäftlichen Nutzern den Zugriff auf die von ihnen auf der Plattform generierten Nutzungsdaten ermöglichen
- Werbetreibenden und Publishern auf ihrer Plattform mehr Kontrolle über ihre eigenen Inhalte zu ermöglichen
- ihren geschäftlichen Nutzern erlauben, ihr Angebot zu bewerben und Verträge mit Kunden außerhalb der Plattform des Gatekeepers abzuschließen
Gleichzeitig wird es den Gatekeepern nicht mehr gestattet sein, ihre eigenen Produkte und Dienstleistungen gegenüber denen unabhängiger Anbieter, die auf ihren Plattformen gehostet werden, in der Rangfolge zu bevorzugen oder die Nutzer daran zu hindern, vorinstallierte Apps oder Software zu deinstallieren, oder Daten aus ihren verschiedenen Abteilungen zusammenzuführen, und - was aus Sicht des Datenschutzes am wichtigsten ist - es wird ihnen nicht mehr gestattet sein, Endnutzer außerhalb der Plattform des Gatekeepers für gezielte Werbung ohne deren ausdrückliche Zustimmung zu verfolgen.
Das vollständige Regelwerk wurde im Amtsblatt der Europäischen Union veröffentlicht und ist in mehreren Sprachen verfügbar.
Was bedeutet das für die Sicherheit?
Während die meisten der vorgeschlagenen Verordnungen eine gute Nachricht sind, gibt es zwei vorgeschlagene Maßnahmen, die Sicherheitsbedenken aufwerfen: die Interoperabilitätsanforderung in der DMA und die Transparenzanforderungen in der DSA.
Es ist noch nicht klar, wer im Rahmen der DSA als wichtige Plattform gilt - sehr große Plattformen? - oder welche Art von Daten sie teilen müssen. Was die Interoperabilität angeht, so bedeutet dies trotz der Unklarheit, die die Wortwahl “in bestimmten Situationen” impliziert, dass Messaging-Apps wie WhatsApp und Facebook Messenger mit Diensten wie Signal interoperabel sein müssen, damit ihre Endnutzer Nachrichten austauschen, Dateien senden oder Anrufe tätigen können. Offensichtlich gibt es zwischen diesen Diensten große Unterschiede bei den Verschlüsselungsprotokollen und den Datenschutzrichtlinien, so dass sich viele fragen, ob dies bedeutet, dass die Ende-zu-Ende-Verschlüsselung und das Perfect Forward Secrecy, die Signal-Nutzer bisher genossen haben, beeinträchtigt werden, wenn sie plattformübergreifende Nachrichten oder Anrufe senden oder empfangen wollen. Die Mitgesetzgeber einigten sich darauf, in Zukunft auch die Interoperabilitätsverpflichtungen für soziale Netzwerke zu prüfen.
Eine weitere unbeabsichtigte Folge könnte darin bestehen, dass die App-Stores der Gatekeeper gezwungen werden, die Überprüfung der Entwickler, die ihre Apps über diese Plattformen vertreiben dürfen, zu lockern. Selbst mit den derzeitigen Standards wurden in einem Bericht von Positive Technologies bei 38 % der iOS-Apps und 43 % der Android-Apps Schwachstellen gefunden, die als “hohes Risiko” eingestuft wurden. Diese Schwachstellen stellen nicht nur ein Risiko für die Privatsphäre dar, sondern machen die Nutzer auch anfälliger für böswillige Hacker, sei es von privater oder staatlicher Seite.
Einige äußern die Befürchtung, dass die Öffnung digitaler Plattformen und der Zwang zur gemeinsamen Nutzung von Daten “bösartige Organisationen” in die Lage versetzen könnte, “einen wirtschaftlichen oder - noch schlimmer - einen militärischen Cyberkrieg zu führen”, wenn sie ohne entsprechende Überlegungen durchgeführt wird. Zum Kontext sei angemerkt, dass der zitierte Autor, Prof. Björn Lundqvist, zwar ein renommierter Wettbewerbsrechtswissenschaftler ist, die CEPA aber von mehreren Organisationen finanziert wird, die im Visier der DMA stehen: Amazon Web Services, Google und Microsoft. Das bedeutet jedoch nicht, dass diese Bedenken abgetan werden sollten.
Ein Großteil der Sicherheitsrisiken ergibt sich aus der Definition des Begriffs “geschäftlicher Nutzer” im Gesetz, die derzeit sehr weit gefasst ist und nicht nur kleine Unternehmen einschließt, die versuchen, ihr Geschäft über die Kernplattformen auszubauen, sondern auch Unternehmen oder sogar Regierungen aus unfreundlichen Ländern, die die Datenzugangsregel nutzen könnten, um Daten von den Gatekeepern zu erhalten.
Im schlimmsten Fall könnte die derzeitige Version des DMA dazu führen, dass Google gezwungen wird, europäische Suchdaten mit Konkurrenten wie Yandex aus Russland oder Alibaba aus China zu teilen. Die Risiken werden noch größer, wenn man all die Daten berücksichtigt, die von Amazons Cloud-Service oder Alexa oder von Apple- und Android-Autosystemen gesammelt werden. Es ist fast so, als wäre es eine schreckliche Idee gewesen, einem Unternehmen zu erlauben, überhaupt so viele Nutzerdaten zu sammeln und zu speichern…
Ein erster Schritt zur Abschwächung dieser Risiken besteht darin, besser zu definieren, wer die Datenzugriffsregel nutzen kann, um sicherzustellen, dass sie nur den Endnutzern und kleinen Unternehmen zugute kommt. In einer idealen Welt würde die Auferlegung von Beschränkungen für die Art der Daten, die die Gatekeeper speichern können, auch die Sicherheitsrisiken verringern, wenn böswillige Akteure Zugang zu diesen Daten erhalten.
Die DMA stellt fest, dass die Ende-zu-Ende-Verschlüsselung beibehalten werden sollte, aber es wird Zeit brauchen, eine technische Lösung zu finden, um Interoperabilität zu erreichen, ohne die Verschlüsselung zu brechen (Meta hat angekündigt, WhatsApp und Messenger im März 2019 miteinander zu verbinden, war aber bisher nicht in der Lage, dies zu tun), und die Kommission sollte ihre Fristen entsprechend anpassen, um sicherzustellen, dass dies richtig gemacht wird.
Außerdem sollte sie dafür sorgen, dass die Gatekeeper berechtigte Einwände gegen Interoperabilitätsanfragen erheben können, die die Sicherheit der Nutzer gefährden würden, wie etwa Anfragen von russischen oder chinesischen Messaging-Apps. Die aktuelle Fassung des Gesetzes sieht zwar eine Ausnahmeregelung aus bestimmten Gründen der öffentlichen Sicherheit vor, aber es muss unbedingt sichergestellt werden, dass diese Ausnahmeregelung mit der erforderlichen Schnelligkeit und Flexibilität angewandt werden kann.
Und wie die Electronic Frontier Foundation rät, sollte das DMA ausdrücklich jedem Messaging-Dienst, der “das Versprechen der Ende-zu-Ende-Verschlüsselung mit irgendwelchen Mitteln bricht - einschließlich des Scannens von Nachrichten in der Client-seitigen App oder des Hinzufügens von ‘Geister’-Teilnehmern zu Chats”, die Möglichkeit nehmen, “Interoperabilität zu verlangen”.
Der derzeitige Wortlaut des Gesetzes erlaubt es Gatekeepern, “strikt notwendige und verhältnismäßige” Maßnahmen zu ergreifen, um die Sicherheit zu wahren. Mit einer Reihe von technischen Workshops möchte die Kommission Rückmeldungen zum aktuellen Rechtstext einholen. Nach der Überarbeitung auf technischer Ebene und der Überprüfung durch Rechts- und Sprachsachverständige muss der Text von Parlament und Rat gebilligt werden.
Es bleibt zu hoffen, dass die Kommission das richtige Gleichgewicht zwischen der Abwehr von Forderungen digitaler Torwächter, die lediglich eine Regulierung, die sich auf ihre Gewinne auswirkt, verzögern oder vermeiden wollen, und der Berücksichtigung berechtigter Sicherheitsbedenken findet.