Mit Blick auf das Reformpaket der EU-Kommission zeigen sich die Mitgliedstaaten gespalten. Einige setzen wie die Kommission auf Deregulierung und wollen so die europäische Digitalwirtschaft ankurbeln. Andere wiederum würden lieber die Umsetzung der bestehenden Regeln verbessern.

Vor zwei Wochen hat die Europäische Kommission ein Gesetzespaket unter dem Namen „Digitaler Omnibus“ vorgestellt. Damit sollen mehrere bereits beschlossene Gesetze verändert werden, um Unternehmen zu entlasten und Europas Digitalindustrie zu stärken. An dem Vorhaben gibt es von vielen Seiten massive Kritik.

Doch was halten eigentlich die 27 Mitgliedstaaten von den Plänen der Kommission? Neben dem Parlament müssen auch sie dem Vorhaben zustimmen. Anders als aus einigen Parlamentsfraktionen, die sich wiederholt sehr kritisch äußern, hört man aus den Mitgliedstaaten bislang wenige Reaktionen auf die konkreten Vorschläge. Vor ihrer offiziellen Vorstellung übermittelten die Mitgliedstaaten allerdings ihre Positionen an die Kommission. Manche davon konnten wir einsehen. Daraus lässt sich bereits einiges ablesen.

Viele Mitgliedstaaten forderten etwa, die Fristen für Hochrisiko-KI-Systeme aus der KI-Verordnung um mindestens 12 Monate zu verlängern. So positionierten sich unter anderem Deutschland, Polen, Dänemark und Frankreich. Die Kommission plant in ihrem Vorschlag tatsächlich eine Verschiebung von bis zu 16 Monaten.

Frankreichs Regierung äußerte sich auf dem Souveränitätsgipfel in Berlin klar: Die Digitalregeln sollen unbedingt verändert werden, um europäische Innovation zu unterstützen, vor allem im KI-Bereich. In diese Richtung argumentierte auch das deutsche Bundesdigitalministerium.

Mehr Klarheit statt Verzögerung

In seinem Positionspapier meint Lettland ebenfalls, es brauche „realistische“ Umsetzungsfristen für die KI-Verordnung. Eine Verzögerung forderte der baltische Staat aber nicht explizit. Stattdessen sprach sich Lettland für Ersatzmechanismen aus, die bei der Umsetzung der Vorgaben Rechtssicherheit geben sollten, solange die Standards noch fehlen.

Auch die Niederlande erklärten in ihrem Positionspapier, dass es deutlicher sein müsste, wie die KI-Verordnung erfüllt werden kann. Ziel sei, das Vertrauen zu stärken und einen europäischen Markt für menschenzentrierte KI zu schaffen. Dabei hält das Land mehr Klarheit für eine „bevorzugte Strategie“ im Vergleich zur Verlängerung der Fristen, heißt es im Papier.

Im Bereich des Datenschutzes schlugen die Niederlande praktische Instrumente vor, um insbesondere kleinen Organisationen bei der Umsetzung der Regeln zu helfen. In Bezug auf Cookies wollen sie, dass Nutzende im Browser entscheiden können, welche sie akzeptieren. So sollen ihre Grundrechte und Freiheiten geschützt werden. Im Kommissionsvorschlag findet sich eine solche Regelung. Darüber hinaus forderten die Niederlande aber keine Änderungen an der Datenschutz-Grundverordnung (DSGVO).

Kaum einer will die DSGVO ändern

Im Gegensatz dazu plädierte Dänemark in seinem Papier (PDF) für die Überarbeitung der Datenschutzvorschriften, um die „Belastungen für die Unternehmen zu verringern“ und „innovationsfreundlicher“ zu werden. Hier wird der „KI-Wettlauf“ erwähnt, in dem Europa ansonsten schlechte Chancen hätte.

Der nordische Staat würde im Datenschutz außerdem gerne einen stärker risikobasierten Ansatz verfolgen: Die Regularien sollen in einem „angemessenen Verhältnis“ zu den tatsächlichen Risiken der Datenverarbeitung stehen.

Auch Deutschland (PDF) habe maßgeblich auf die Änderungen der DSGVO hingewirkt, sagt die Nichtregierungsorganisation noyb. Sie hat ein Dokument veröffentlicht, in welchem neun Mitgliedstaaten ihre Meinung zu möglichen Änderungen der DSGVO abgeben. Darin zeigt sich auch Tschechien offen gegenüber Änderungen der Verordnung.

Estland, Österreich und Slowenien sehen hingegen keine Notwendigkeit, die DSGVO zu verändern. Finnland, Polen und Schweden sind offen für kleine, technische Anpassungen. Doch auch sie wollen keine Definitionen verändern, so wie es der Kommissionsvorschlag nun vorsieht. Frankreich will die DSGVO aktuell ebenfalls nicht anfassen, verschließt sich der Möglichkeit aber nicht völlig.

Vereinfachung doch nicht so einfach?

Ein weiterer Diskussionspunkt betrifft die gebündelte Meldung von Cybersicherheitsvorfällen über eine zentrale Plattform. Während viele Staaten diese Zusammenfassung begrüßen, darunter Lettland, sind andere skeptisch, ob dadurch tatsächlich die gewünschte Vereinfachung und Kosteneinsparung erreicht würden.

Die Niederlande weisen darauf hin, dass Meldungen nach der NIS-2-Richtlinie und der Richtlinie zur Resilienz kritischer Einrichtungen (CER) ohne Probleme zusammengefasst werden könnten. Bei Meldungen nach dem Cyber Resilience Act (CRA) und der DSGVO sehen sie hingegen Hürden, da sich hier die Häufigkeit der Meldung, der Zweck und die Zuständigkeiten erheblich unterscheiden würden.

Ähnlich äußerte sich auch das österreichische Innenministerium in der Konsultation zum Omnibus-Paket: Konkrete Maßnahmen hinsichtlich der Meldepflichten müssten „wohlüberlegt und technisch ausgereift“ sein, um tatsächlich einen Mehrwert darzustellen. Änderungen der Zuständigkeiten würden schließlich auch eine Änderung der Verwaltungsorganisation bedeuten und „gravierenden Aufwand und hohe Kosten“ verursachen.

Österreich merkte zudem an, dass die Kommission vor der Vereinfachung erst ein „umfassendes Mapping“ erstellen sollte. Es soll übersichtlich zeigen, welche Vorschriften es im Digitalbereich bereits gibt.

Unterschiedliche Prioritäten

Andere Länder formulieren derzeit noch ihre Haltung zum Kommissionsvorschlag. Zum Teil haben sie zu einzelnen Themen auch keine besonders starke Position. Dazu muss man wissen: Jede Regierung setzt für sich Schwerpunkte in der EU-Politik und widmet sich vor allem jenen Themen, die für sie besonders wichtig sind.

Am Freitag, den 5. Dezember, werden die Digitalminister:innen der 27 Mitgliedstaaten zum ersten Mal zu den geplanten Änderungen beraten. Dann trifft sich der Telekommunikations-Rat in Brüssel.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ab dem ersten Februar müssen große Anbieter sozialer Netzwerk potenziell strafrechtlich relevante Inhalte an das BKA melden. Das entstammt einer Neuregelung des Netzwerkdurchsetzungsgesetzes durch das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität, das bereits Mitte 2020 im Bundestag beschlossen wurde. Ab Februar 2022 gilt nun die Meldepflicht.

In der Praxis verläuft der Start jedoch überaus holprig. Wir haben daher eine Übersicht erstellt: Was gilt (eigentlich)? Wer ist zur Meldung verpflichtet? Wer meldet wirklich? Und was ändert sich jetzt?

Die Rolle des BKA als Zentralstelle

Das BKA nimmt bei den Meldungen die Funktion einer Zentralstelle ein. Das bedeutet: Erfahren die Online-Anbieter von möglicherweise illegalen Inhalten auf ihrem Dienst, müssen sie diese an das BKA weiterleiten, mitsamt der IP-Adresse, von der diese gepostet wurden. Es geht dabei um vermutete Straftaten wie das Verwenden von Kennzeichen verfassungswidriger Organisationen, Gewaltdarstellungen oder bestimmte Bedrohungen.

Das BKA prüft die Inhalte und kann bei den Internetanbietern wie Telekom oder Vodafone die Bestandsdaten zu der übermittelten IP-Adresse abfragen – also herausfinden, wer hinter einem Anschluss steckt. Soll ein Verfahren eingeleitet werden, gibt das BKA dieses an die entsprechenden Staatsanwaltschaften und Länderpolizeien weiter.

Das BKA rechne mit 250.000 solcher Meldungen pro Jahr, sagte ein Sprecher der Behörde dem Redaktionsnetzwerk Deutschland. Man erwarte daraus rund 150.000 Strafverfahren. Um dieses Aufkommen zu bearbeiten, sollen in der Zentralen Meldestelle für strafbare Inhalte im Internet (ZMI) künftig etwa 200 BKA-Beamt:innen arbeiten.

Für wen gilt die neue Meldepflicht?

Die Regelung gilt für soziale Netzwerke mit mehr als zwei Millionen registrierten Nutzer:innen in Deutschland. Welche das konkret sind? Das für die Durchsetzung des NetzDG zuständige Bundesamt für Justiz (BfJ) führe keine abschließende Liste, heißt es in der Antwort auf eine parlamentarische Anfrage aus dem Februar 2021.

Transparenzberichte nach NetzDG hätten jedoch folgende Plattformen veröffentlicht, heißt es dort: Facebook, Twitter, Google+ (wurde 2019 eingestellt), YouTube, Instagram, Reddit, TikTok, Change.org und SoundCloud. Laut Ansicht des BfJ fallen auch Teile des Messengers Telegram unter die Regelung, aber der Betreiber kooperiert nicht. Deshalb laufen Bußgeldverfahren. Wir haben beim BfJ nochmals nachgefragt, welche Plattformen aktuell unter das NetzDG fallen und werden dies nachtragen, sobald wir eine Antwort erhalten.

Wer meldet ab 1. Februar wirklich?

Längst nicht alle Anbieter, die derzeit sonstigen Regeln aus dem NetzDG nachkommen, werden auch ab Februar Inhalte an das BKA melden. Denn es laufen mehrere Klagen gegen die Regelung. Den Anfang machte die Google-Tochter YouTube, bereits im vergangenen Juli reichte die Videoplattform eine Feststellungsklage vor dem Verwaltungsgericht Köln ein, gemeinsam mit einem Eilantrag. Facebook schloss sich YouTube an. In der vergangenen Woche zog TikTok nach, nun gab auch Twitter seine Klage bekannt. Wann das Verwaltungsgericht Köln in den Verfahren entscheidet, ist derzeit nicht absehbar.

Eine aufschiebende Wirkung haben die Verfahren zwar nicht, das Justizministerium sicherte jedoch im August zu, dass man Facebook und Google vorerst nicht zur Meldung zwingen würde, solange es keine Entscheidung in den Eilverfahren gebe.

Start mit „Alternativszenario“

Wie das BKA gegenüber dem Spiegel sagte, habe sich bisher keine der großen Plattformen „technisch“ an die Schnittstelle des BKA angebunden. Was passiert also am 1. Februar überhaupt?

Laut Recherchen des Spiegel startet zunächst ein „Alternativszenario“. Die Meldungen an die ZMI kommen dann noch nicht von den großen Plattformen, sondern aus anderen Projekten, etwa aus der Meldestelle von Hessen gegen Hetze. Dort können Nutzer:innen Hassrede melden. Die IP-Adressen der Inhalteerstellenden bekommen die BKA-Beamt:innen dadurch aber nicht. Sie müssen also selbst ermitteln, wer hinter einem Posting steckt, wenn es sich tatsächlich als strafbar herausstellt. Oder auf die Kooperation der Anbieter hoffen.

Die Kritik an der Meldepflicht

Streit um die Meldepflicht gab es bereits während des Gesetzgebungsverfahrens. Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte damals, dass Daten wie die IP-Adresse erhoben und gespeichert werden sollen, bevor ein Anfangsverdacht überhaupt geprüft wurde. Darin liegt die Sorge, dass die Daten vieler Menschen beim BKA landen, auch wenn sich herausstellt, dass sie nichts Illegales getan haben.

Ähnlich argumentieren die Plattformen in ihren Klagen. Dem Spiegel sagte ein Vertreter von Twitter, dass die Weitergabe „private Unternehmen in die Rolle von Staatsanwälten zwingt, indem sie Nutzer auch dann an die Strafverfolgungsbehörden melden, wenn kein illegales Verhalten vorliegt.“

Kritik gibt es nicht nur an den rechtlichen Bedingungen, sondern auch bei der praktischen Umsetzbarkeit. Denn die 150.000 vermuteten Strafverfahren betreffen nicht nur das BKA, dafür braucht es auch Länderpolizeien, Staatsanwaltschaften und Gerichte – und die könnte die Menge der Verfahren quantitativ überfordern. Der Deutsche Richterbund fordert daher neue Stellen – und zwar viele. Gegenüber dem Redaktionsnetzwerk Deutschland sagte Bundesgeschäftsführer Sven Rebehn: „Um den Verfolgungsdruck bei Straftaten im Netz flächendeckend zu erhöhen, braucht es bundesweit sicher einige hundert zusätzliche Staatsanwälte und Strafrichter.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.