Frances Haugens Schilderungen, zuletzt am Montag vor den Ausschüssen des Europäischen Parlaments, zeichnen das Bild eines verantwortungslosen und maßlos profitorientierten Unternehmens. Die „Facebook Files“ sind entlarvend, gleichzeitig aber nur der jüngste Teil einer langen Serie an Skandalen rund um die Tech-Riesen. Der Ruf nach einer wirksamen Regulierung von Facebook & Co ist deshalb laut. Die Europäische Kommission antwortet darauf unter anderem mit dem Digital Markets Act (DMA). Er richtet sich als Teil eines größeren Gesetzespakets speziell an die großen Plattformen wie Facebook, Google, Apple oder auch Amazon (sogenannte „Gatekeeper“).
Innerhalb
des Digital Markets Act findet sich in Artikel 5 eine Regelung, die
für die toxischen Auswüchse des Geschäftsmodells von Facebook
besonders relevant ist. Darin wird Gatekeepern untersagt, personenbezogene
Daten im Verantwortungsbereich der Plattform mit Daten aus anderen
konzerneigenen Diensten oder mit personenbezogenen Daten von Diensten Dritter
zusammenzuführen. Diese Regelung würde es Facebook untersagen, die Daten aus
den diversen eigenen Diensten zu zentralen (Persönlichkeits-)Profilen zu
kombinieren. Innerhalb des Meta-Konzerns dürften also die Daten
aus Facebook, Instagram und Whatsapp nicht kombiniert werden. Darüber hinaus wäre es
unzulässig, Daten von Webseiten oder Diensten außerhalb der eigenen Plattformen
in diese zentralen Profile mit einzubeziehen. Das betrifft etwa Daten aus den
in vielen Webseiten oder Apps integrierten Tracking-Werkzeugen.
Mit dieser Regelung in Artikel 5 adressiert die Europäische Kommission die Bildung umfassender digitaler Profile der Nutzer:innen. Diese sind Grundlage jener Empfehlungsalgorithmen, die – so berichtet etwa die WashingtonPost– Nutzer:innen in nur wenigen Tagen zu radikalisierenden Inhalten und Hasspostings leiten können. Diese Inhalte sind für die Plattformen wirtschaftlich besonders interessant, weil sie ein besonders hohes Maß an Engagement und Interaktion mit sich bringen. Das wiederum bedeutet Aufmerksamkeit, die wichtigste Ressource für Plattformen, und Grundlage des Werbegeschäfts von Facebook & Co. Gatekeepern die Möglichkeit zu nehmen, diese detaillierten Profile auf Basis von unterschiedlichen Datenquellen zu erstellen, erschwert es ihnen, die Nutzer:innen mittels maßgeschneiderter, polarisierender Inhalte zu beeinflussen und als Publikum für ihre Werbekund:innen zu verwerten.
Artikel 5 wäre also ein mutiger
– wenn nicht gar radikaler – Schritt, um die für demokratische und soziale
Gesellschaften so schädlichen Geschäftsmodelle der Plattformen zu bändigen.
Doch der Artikel 5 des DMA weist bisher eine entscheidende Schwachstelle auf.
Dort heißt es nämlich, dass all das, was eben noch untersagt wurde, zulässig
bleibt, wenn die Nutzer:innen einwilligen. Übersetzt heißt das: Das
Geschäftsmodell von Facebook, Google und Co. zerreißt unsere Gesellschaft, aber
wenn die Nutzer:innen einwilligen, ist das legitim. Dieser Ansatz ist nicht nur
eine ungeeignete Art der Plattformregulierung, er ist im Grunde digitalpolitische
Arbeitsverweigerung.
Die Einwilligung hat sich bereits in der Datenschutz-Grundverordnung (DSGVO) – auf die verweist der DMA in Artikel 5 – als regulatorisch weitgehend wirkungslos erwiesen. Seit Geltungsbeginn der DSGVO versuchen die Datenschutzaufsichtsbehörden den Auswüchsen der Digitalwirtschaft beizukommen, indem sie die Anforderungen an wirksame Einwilligungserklärungen streng auslegen und immer wieder auf mehr Transparenz pochen. Als wirksam hat sich beides nicht erwiesen. Facebook und Google zählen zu den „Gewinnern der DSGVO“. Studien legen nahe, dass es ihnen im Vergleich zur Konkurrenz leichter fällt, den Vorgaben der DSGVO gerecht zu werden. Vor allem aber können es sich die meisten Nutzer:innen schlicht nicht leisten, ihre Einwilligung zu versagen. Zu wichtig sind die Dienste, zu erdrückend die Netzwerkeffekte, zu ermüdend das stete Befassen mit Einwilligungsbannern und Datenschutzerklärungen. Die Untauglichkeit der Einwilligung als Regulierungsinstrument liegt aber nicht allein in der Marktmacht der Gatekeeper. Die Schwächen der Einwilligung sind fundamentaler.
Mit der Einwilligung wird die Lösung gesellschaftlicher,
systemischer Probleme auf die Ebene des Individuums verlagert. Die einzelnen
Nutzer:innen sind aber die schwächsten aller Beteiligten. Selbst Fachleute
scheitern daran, das komplexe
System von Profiling, Tracking und Personalisierung der Inhalte sowie das Zusammenspiel der unzähligen
Beteiligten zu durchschauen. Was ein „Ja“ in diesem Kontext bedeutet, kann erst
recht keine Nutzerin im Alltag beurteilen. Die Einwilligung ist
in diesem Kontext nicht Ausdruck von Selbstbestimmung, sondern Überforderung.
Die zweite grundlegende Schwäche der Einwilligung ist ihre grenzenlose Rechtfertigungskraft.
Die Einwilligung muss zwar stets „wirksam“ sein – und die Hürden dafür sind
nicht trivial – ausreichende Transparenz und ein ordnungsgemäßes
Einwilligungsmanagement fallen großen Plattformen mit unendlichen Ressourcen
aber leichter als der kleineren Konkurrenz. Ist die Einwilligung erst einmal
erteilt, kennt sie keinerlei Grenzen. Praktisch jede Datenverarbeitung, und
damit auch jedes datenbasierte Geschäftsmodell, lässt sich mit der Einwilligung
datenschutzrechtlich legalisieren. Geht der DMA das Problem
der Bildung zentraler Profile von Nutzer:innen nicht an, ist das nicht nur eine Antwortverweigerung. Sie
vertuscht zusätzlich die Tatsache, dass tatsächlich nichts dagegen getan wird.
Das Parlament hat die Chance, den immer offensichtlicheren Handlungsbedarf aufzugreifen, Artikel 5 zu echter Wirksamkeit zu
verhelfen und die Hintertür
der Einwilligung zu streichen. Das Zusammenführen von Daten aus unterschiedlichen
konzerninternen und -externen Quellen und vor allem das auf dieser Grundlage
stattfindende Ausliefern personalisierter Inhalt bedarf stattdessen einer
konkreten, gesetzgeberischen Gestaltung. Das muss nicht zwangsläufig im DMA geschehen.
Die bereits in der Endabstimmung befindliche ePrivacy-Verordnung wird aller Voraussicht nach Vorschriften zur Verarbeitung von Daten für Werbezwecke enthalten. Derzeit verweisen die Entwürfe in dieser Frage allerdings ebenfalls auf die Einwilligung der Nutzer:innen. Auch in der ePrivacy-Verordnung besteht also die Möglichkeit, die Einwilligung zu streichen und durch konkrete, gestaltende Vorgaben zur Nutzung von Daten zu Werbezwecken zu ersetzen. Das regulatorische Handlungsfenster schließt sich zwar langsam. Geschlossen ist es aber noch nicht.
Malte Engeler ist Datenschutzspezialist und Richter am Schleswig-Holsteinischen Verwaltungsgericht.
