Digital Markets Act (DMA) : Einwilligungen sind die Schwachstelle im DMA

Frances Haugens Schilderungen, zuletzt am Montag vor den Ausschüssen des Europäischen Parlaments, zeichnen das Bild eines verantwortungslosen und maßlos profitorientierten Unternehmens. Die „Facebook Files“ sind entlarvend, gleichzeitig aber nur der jüngste Teil einer langen Serie an Skandalen rund um die Tech-Riesen. Der Ruf nach einer wirksamen Regulierung von Facebook & Co ist deshalb laut. Die Europäische Kommission antwortet darauf unter anderem mit dem Digital Markets Act (DMA). Er richtet sich als Teil eines größeren Gesetzespakets speziell an die großen Plattformen wie Facebook, Google, Apple oder auch Amazon (sogenannte „Gatekeeper“). 

Innerhalb des Digital Markets Act findet sich in Artikel 5 eine Regelung, die für die toxischen Auswüchse des Geschäftsmodells von Facebook besonders relevant ist. Darin wird Gatekeepern untersagt, personenbezogene Daten im Verantwortungsbereich der Plattform mit Daten aus anderen konzerneigenen Diensten oder mit personenbezogenen Daten von Diensten Dritter zusammenzuführen. Diese Regelung würde es Facebook untersagen, die Daten aus den diversen eigenen Diensten zu zentralen (Persönlichkeits-)Profilen zu kombinieren. Innerhalb des Meta-Konzerns dürften also die Daten aus Facebook, Instagram und Whatsapp nicht kombiniert werden. Darüber hinaus wäre es unzulässig, Daten von Webseiten oder Diensten außerhalb der eigenen Plattformen in diese zentralen Profile mit einzubeziehen. Das betrifft etwa Daten aus den in vielen Webseiten oder Apps integrierten Tracking-Werkzeugen.

Mit dieser Regelung in Artikel 5 adressiert die Europäische Kommission die Bildung umfassender digitaler Profile der Nutzer:innen. Diese sind Grundlage jener Empfehlungsalgorithmen, die – so berichtet etwa die WashingtonPost– Nutzer:innen in nur wenigen Tagen zu radikalisierenden Inhalten und Hasspostings leiten können. Diese Inhalte sind für die Plattformen wirtschaftlich besonders interessant, weil sie ein besonders hohes Maß an Engagement und Interaktion mit sich bringen. Das wiederum bedeutet Aufmerksamkeit, die wichtigste Ressource für Plattformen, und Grundlage des Werbegeschäfts von Facebook & Co. Gatekeepern die Möglichkeit zu nehmen, diese detaillierten Profile auf Basis von unterschiedlichen Datenquellen zu erstellen, erschwert es ihnen, die Nutzer:innen mittels maßgeschneiderter, polarisierender Inhalte zu beeinflussen und als Publikum für ihre Werbekund:innen zu verwerten.

Artikel 5 wäre also ein mutiger – wenn nicht gar radikaler – Schritt, um die für demokratische und soziale Gesellschaften so schädlichen Geschäftsmodelle der Plattformen zu bändigen. Doch der Artikel 5 des DMA weist bisher eine entscheidende Schwachstelle auf. Dort heißt es nämlich, dass all das, was eben noch untersagt wurde, zulässig bleibt, wenn die Nutzer:innen einwilligen. Übersetzt heißt das: Das Geschäftsmodell von Facebook, Google und Co. zerreißt unsere Gesellschaft, aber wenn die Nutzer:innen einwilligen, ist das legitim. Dieser Ansatz ist nicht nur eine ungeeignete Art der Plattformregulierung, er ist im Grunde digitalpolitische Arbeitsverweigerung.

Die Einwilligung hat sich bereits in der Datenschutz-Grundverordnung (DSGVO) – auf die verweist der DMA in Artikel 5 – als regulatorisch weitgehend wirkungslos erwiesen. Seit Geltungsbeginn der DSGVO versuchen die Datenschutzaufsichtsbehörden den Auswüchsen der Digitalwirtschaft beizukommen, indem sie die Anforderungen an wirksame Einwilligungserklärungen streng auslegen und immer wieder auf mehr Transparenz pochen. Als wirksam hat sich beides nicht erwiesen. Facebook und Google zählen zu den „Gewinnern der DSGVO“. Studien legen nahe, dass es ihnen im Vergleich zur Konkurrenz leichter fällt, den Vorgaben der DSGVO gerecht zu werden. Vor allem aber können es sich die meisten Nutzer:innen schlicht nicht leisten, ihre Einwilligung zu versagen. Zu wichtig sind die Dienste, zu erdrückend die Netzwerkeffekte, zu ermüdend das stete Befassen mit Einwilligungsbannern und Datenschutzerklärungen. Die Untauglichkeit der Einwilligung als Regulierungsinstrument liegt aber nicht allein in der Marktmacht der Gatekeeper. Die Schwächen der Einwilligung sind fundamentaler.

Mit der Einwilligung wird die Lösung gesellschaftlicher, systemischer Probleme auf die Ebene des Individuums verlagert. Die einzelnen Nutzer:innen sind aber die schwächsten aller Beteiligten. Selbst Fachleute scheitern daran, das komplexe System von Profiling, Tracking und Personalisierung der Inhalte sowie das Zusammenspiel der unzähligen Beteiligten zu durchschauen. Was ein „Ja“ in diesem Kontext bedeutet, kann erst recht keine Nutzerin im Alltag beurteilen. Die Einwilligung ist in diesem Kontext nicht Ausdruck von Selbstbestimmung, sondern Überforderung.

Die zweite grundlegende Schwäche der Einwilligung ist ihre grenzenlose Rechtfertigungskraft. Die Einwilligung muss zwar stets „wirksam“ sein – und die Hürden dafür sind nicht trivial – ausreichende Transparenz und ein ordnungsgemäßes Einwilligungsmanagement fallen großen Plattformen mit unendlichen Ressourcen aber leichter als der kleineren Konkurrenz. Ist die Einwilligung erst einmal erteilt, kennt sie keinerlei Grenzen. Praktisch jede Datenverarbeitung, und damit auch jedes datenbasierte Geschäftsmodell, lässt sich mit der Einwilligung datenschutzrechtlich legalisieren. Geht der DMA das Problem der Bildung zentraler Profile von Nutzer:innen nicht an, ist das nicht nur eine Antwortverweigerung. Sie vertuscht zusätzlich die Tatsache, dass tatsächlich nichts dagegen getan wird.

Das Parlament hat die Chance, den immer offensichtlicheren Handlungsbedarf aufzugreifen, Artikel 5 zu echter Wirksamkeit zu verhelfen und die Hintertür der Einwilligung zu streichen. Das Zusammenführen von Daten aus unterschiedlichen konzerninternen und -externen Quellen und vor allem das auf dieser Grundlage stattfindende Ausliefern personalisierter Inhalt bedarf stattdessen einer konkreten, gesetzgeberischen Gestaltung. Das muss nicht zwangsläufig im DMA geschehen.

Die bereits in der Endabstimmung befindliche ePrivacy-Verordnung wird aller Voraussicht nach Vorschriften zur Verarbeitung von Daten für Werbezwecke enthalten. Derzeit verweisen die Entwürfe in dieser Frage allerdings ebenfalls auf die Einwilligung der Nutzer:innen. Auch in der ePrivacy-Verordnung besteht also die Möglichkeit, die Einwilligung zu streichen und durch konkrete, gestaltende Vorgaben zur Nutzung von Daten zu Werbezwecken zu ersetzen. Das regulatorische Handlungsfenster schließt sich zwar langsam. Geschlossen ist es aber noch nicht.

Malte Engeler ist Datenschutzspezialist und Richter am Schleswig-Holsteinischen Verwaltungsgericht.