Die Tech-Ideen der EU: Gut gemeint, aber ...

Europa will klarere Regeln im Internet, die Marktmacht der Tech-Unternehmen eindämmen, die Strafverfolgung stärken. Das sind hehre Absichten – die aber grossen Schaden anrichten könnten. Eine Einordnung der wichtigsten Vorstösse.

Von Adrienne Fichter und Patrick Seemann, 21.04.2022

Journalismus, der Ihnen hilft, Entscheidungen zu treffen. Und der das Gemeinsame stärkt: die Freiheit, den Rechtsstaat, die Demokratie. Lernen Sie uns jetzt 21 Tage lang kostenlos und unverbindlich kennen:

Spätestens als Margrethe Vestager zur Wettbewerbs­kommissarin ernannt worden ist, hat es sich abgezeichnet: Die Europäische Union will Big Tech zähmen – und das Internet an sich stärker regulieren. Das globale Netz soll ein bisschen europäischer werden.

Darum tüfteln Brüssels Beamte an vielen verschiedenen Vorstössen in Sachen Datenschutz, Cyber­security, Marktfreiheit und Tech-Industrie. Viele davon werden erst in einigen Monaten verabschiedet. Doch schon jetzt ist klar, dass die Bilanz durchzogen sein wird.

Die EU setzt einige Impulse, die tatsächlich mehr Rechts­sicherheit oder auch Arbeits­plätze und Wert­schöpfung schaffen könnten. Doch ausgerechnet dort, wo Europa in der Vergangenheit eine Pionier­rolle einnahm, bei den digitalen Bürger­rechten, könnten sich gewisse neue Ideen verheerend auswirken.

Was bringt wirklich Mehrwert – und was vor allem Kollateral­schäden? Wir machen einen Zwischen­halt und ordnen die wichtigsten Regulierungen ein, die im Moment verhandelt werden.

1. Digital Markets Act

Worum es geht: Am 24. März haben sich das Europäische Parlament und der EU-Rat nach langen Diskussionen auf einen gemeinsamen Entwurf für den Digital Markets Act (DMA) geeinigt. Der DMA ist Teil eines Bündels von Regulierungen, mit dem die EU die Dominanz der grossen Online-Plattformen und Tech-Unternehmen brechen will. Dies auch als politische Konsequenz zahlreicher kartell­rechtlicher Verfahren der EU gegen Google, Apple und Amazon. Die Grundidee: Die Big-Tech-Unternehmen sollen gezwungen werden, ihre geschützten Gärten, also geschlossene Daten­universen, aufzubrechen.

Die wichtigsten Punkte:

  • Die Gesetzgeber störten sich insbesondere daran, dass neu gekaufte Smart­phones oft vorinstallierte Apps der Hersteller favorisieren (und auch deren Daten­tracker, die alles mitverfolgen). Dies geht auf Deals zwischen Betriebs­system-Anbietern, Smartphone-Herstellerinnen, Werbe­unternehmen und App-Entwicklern zurück. Nun soll es einfacher werden, die vorinstallierten Standard-Apps für E-Mail und Web­browsing durch Angebote von Dritten zu ersetzen.

  • Der DMA untersagt den Unternehmen, ihre Markt­macht und ihr Insider­wissen zu ihrem eigenen Vorteil auszunutzen. So wird es beispiels­weise Google in Zukunft verboten, eigene Produkte oder Angebote bei den Such­resultaten zu bevorzugen. Ausserdem darf der E-Commerce-Riese Amazon die aus seinem Markt­platz gewonnenen Daten nicht zur Entwicklung eigener Produkte nutzen.

  • Neu dürfen die grossen Internet­player Daten aus verschiedenen Quellen nur mit ausdrücklicher Nutzer­einwilligung zusammen­führen. Dieses Verbot zielt auf das Unternehmen Meta und die Zusammen­führung von Instagram, Facebook oder Whatsapp. Eine fehlende Zustimmung darf die User nicht von der Nutzung der Apps ausschliessen.

  • Grosses Gewicht wird dabei auf die sogenannte Inter­operabilität zwischen verschiedenen Messenger-Plattformen und -Diensten gelegt. Was bedeutet: Der Versand von Nachrichten soll analog zum technischen Standard der E-Mail möglich werden. Wer beispielsweise nur Facebook Messenger nutzt, soll trotzdem auch Nachrichten an Whatsapp- oder iMessage-Kontakte verschicken können, ohne dass dadurch die End-to-End-Verschlüsselung der Nachricht verloren geht. Diese Inter­operabilität wird für die Gross­konzerne wie Meta und Apple verpflichtend. In einer zweiten Phase soll diese Regelung dann auch für Gruppen­chats und für Sprach- und Video­telefonate gelten.

Betroffen von den neuen Regeln sollen grosse Anbieter sein. Als «gross» definiert die EU dabei Unter­nehmen mit einem Jahres­umsatz von mindestens 7,5 Milliarden Euro im europäischen Wirtschafts­raum oder einer Markt­kapitalisierung von mindestens 75 Milliarden Euro. Zusätzlich müssen sie monatlich mindestens 45 Millionen aktive Nutzer aus der EU aufweisen.

Bei Nichteinhaltung der neuen Regeln drohen drakonische Strafen, die Rede ist von bis zu 10 Prozent des weltweit erzielten Umsatzes bei einem ersten Regel­bruch und einer Steigerung auf bis zu 20 Prozent im Fall von Wieder­holungen.

Was wir davon halten: Der DMA ist ein Gesetz, das gegen die Gesetz­mässigkeiten des Internets antritt. Wegen des sogenannten Netzwerk­effekts begünstigt die Digitalisierung die Bildung von Daten­monopolen: Je mehr meiner Freunde und Bekannten sich auf einem Netzwerk tummeln, desto (vermeintlich) besser wird der Dienst für mich. Bezahlt wird mit den persönlichen Daten, der Dienst wird personalisiert und verbessert. Dies erschwert natürlich den Markt­eintritt kleinerer Anbieter. Der DMA versucht also letztlich, markt­wirtschaftliche Grund­prinzipien und Wettbewerb zu verteidigen.

Regeln, die beispielsweise das privilegierte Hervor­heben eigener Produkte in Such­ergebnissen verbieten, nützen den Bürgerinnen. Ebenfalls weitgehend im Sinne der Nutzer sind Regeln, welche die Installation von alternativen Apps ermöglichen.

Spannend und gleichzeitig umstritten dürfte allerdings die Umsetzung der Inter­operabilität werden. Noch ist unklar, ob und wie sich die Kommunikation zwischen Whatsapp und Signal datenschutz­konform realisieren lässt. Der DMA legt hierzu nur die rechtlichen Voraussetzungen fest. Schon rein die Tatsache, dass die von Mark Zuckerberg bereits 2019 angekündigte interne Zusammen­führung der Messenger-Plattformen von Facebook, Whatsapp und Instagram noch immer nicht umgesetzt worden ist, zeigt, dass für so ein Unter­fangen einige technische Stolper­steine zu überwinden sind (auch wenn der Haupt­grund für die Verzögerung politischer Natur ist). Denn die End-to-End-Verschlüsselung der Kommunikation, wie sie auf Whatsapp existiert (niemand ausser der Senderin und dem Empfänger kann die Nachricht mitlesen), ist aufgrund von unterschiedlichen technischen Protokollen nicht direkt kompatibel mit dem unverschlüsselten Facebook Messenger.

Falls es klappt, könnte der DMA im schlimmsten Fall unfreiwillig Markt­macht zementieren, weil die Inter­operabilität nur für die Grossen vorgeschrieben ist und sie sich auf diese Weise gegenseitig stärken.

Ich will es genauer wissen: Was sind die konkreten Probleme bei der geplanten Inter­operabilität?

Es gilt folgende Problematik zu lösen: Für den Transfer zwischen Messengern müssen die Daten zuerst einmal entschlüsselt und anschliessend im Zielmessenger neu verschlüsselt werden. Die End-to-End-Verschlüsselung wird damit gebrochen, die Nachrichten können auf dem Transportweg mitgelesen werden (technisch würde man von einem «Person in the middle»-Angriff sprechen). Um ein stark vereinfachtes Beispiel zu machen: Nehmen wir an, die französische und die schweizerische Post schreiben unterschiedliche Briefumschläge vor und weigern sich, Umschläge des anderen zu transportieren. Innerhalb der Schweiz ist das Briefgeheimnis gewährleistet, bei einem Briefversand nach Frankreich müsste der Schweizer Brief an der Grenze geöffnet und der Inhalt in ein französisches Couvert gelegt werden. Wer immer diese Aufgabe wahrnimmt, kann dabei problemlos sämtliche Briefe mitlesen.

Es gibt Ansätze, wie man diese Problematik entschärfen könnte: Am einfachsten liesse sich dies mittels einer spezifischen Messenger-App realisieren, die auf dem Smartphone des Benutzers läuft und sowohl mit Whatsapp wie auch mit iMessage kommuniziert.

Da aber nur die grossen Internet­anbieter und damit de facto nur Apple und Meta gezwungen sind, unter dem DMA eine Schnittstelle nach aussen anzubieten, könnte das Gesetz ironischer­weise deren Marktmacht eher verstärken. Messenger wie Signal und Threema fallen nicht unter den DMA. Ausserdem gibt es keinen zusätzlichen Anreiz, auf andere Anbieter umzusteigen, weil man mit der Nutzung der Whatsapp-App auf der «sicheren Seite» ist und alle Leute erreicht.

Ebenfalls noch völlig unklar ist die Thematik der Metadaten und der Nutzer­verzeichnisse beziehungsweise -adressen. Denn die Inter­operabilität nützt ja letztlich wenig, wenn ich keinen Weg habe, meinen Gesprächs­partner im anderen Messenger-Universum überhaupt zu finden. Grundsätzlich liesse sich dies über allgemeine Verzeichnis­dienste (quasi ein «Adressbuch für alle Messenger») lösen. Dadurch würde aber am Datenschutz der Teilnehmerinnen zumindest geritzt.

Wie es weitergeht: Der Gesetzes­entwurf gelangt jetzt in die parlamentarische Beratung, es ist aber davon auszugehen, dass sich an den zentralen Punkten nicht mehr viel ändern wird. Schliesslich ist der Entwurf das Ergebnis langer Verhandlungen zwischen EU-Parlament und EU-Rat.

Unter Berücksichtigung aller Fristen kann der DMA Anfang 2023 in Kraft treten, eine Umsetzung der neuen Regeln ist etwa 2024 zu erwarten.

2. Gesetz zur Chat-Kontrolle

Worum es geht: Während die EU mit dem DMA-Paket bezüglich Wettbewerbs­vielfalt und Datenschutz unter dem Strich eine progressive Reform einleitet, zeichnet sich beim geplanten Gesetzes­paket gegen Kindes­missbrauch eine Entwicklung in die Gegen­richtung ab. Der Gesetzestext selbst wird zwar noch hinter verschlossenen Türen verhandelt, bekannt geworden ist allerdings der Inhalt eines internen Prüf­berichts der EU-Kommission. Er gibt Hinweise auf die geplanten Regeln.

Diesem Bericht zufolge sollen die Anbieter von Messenger-Diensten wie Whatsapp durch das Gesetzes­paket gegen Kindesmissbrauch dazu verpflichtet werden, Chat-Inhalte auf entsprechendes Bild- und Textmaterial zu durchsuchen und bei Verdachts­fällen mit den Strafermittlungs­behörden zusammen­zuarbeiten. Die Idee ist nicht neu: Schon vor zwei Jahren wollte die Kommission eine Chat-Kontrolle einführen – damals unter dem Vorwand der Terror­bekämpfung.

Was wir davon halten: Man kann es drehen oder wenden, wie man möchte: Ein wie auch immer ausgestaltetes Durchsuchen sämtlicher privater Chats (das heisst ohne konkreten Verdacht) stellt einen unverhältnis­mässigen und massiven Eingriff in die Privat­sphäre dar und stellt alle Nutzerinnen unter Generalverdacht.

Die EU-Kommission stellt sich auf den Standpunkt, dass aufgrund der Datenmenge ein solches Durch­suchen zwingend automatisiert erfolgen muss und «nur» als problematisch erkannte Inhalte durch Ermittlungs­behörden eingesehen werden können. Doch das macht die Sache nicht besser: Aus einer guten Absicht folgt zwangsläufig eine Massen­überwachungs­architektur.

Ich will es genauer wissen: Warum gefährdet das Chat-Kontrolle-Gesetz den Datenschutz?

Es gibt mehrere Gründe, weshalb das angedachte EU-Gesetz grosse Kollateral­schäden anrichten wird:

Eine Überwachung der Nachricht «unterwegs» zwischen Senderin und Empfängern (also zum Beispiel auf den Servern von Whatsapp) wäre nur durch Aufbrechen der End-to-End-Verschlüsselung möglich, mit entsprechenden Nachteilen und Risiken für sämtliche Chat-Benutzer.

Das automatisierte Scannen von Inhalten direkt bei der Eingabe oder beim Empfang einer Nachricht (wenn sie also noch oder wieder unverschlüsselt auf dem Gerät der Benutzerin liegt) wurde letztes Jahr bereits einmal von Apple angekündigt und stiess umgehend auf massive Kritik bei Sicherheits­expertinnen und Datenschutz­spezialisten. Nachdem Apple zuerst versucht hatte, der Kritik mit einer nachgebesserten Version entgegen­zuwirken, wurde das Vorhaben einige Monate später in der Schublade versorgt. Kernpunkte der Kritik waren, dass diese Art von Scanning zu fehler­anfällig ist und zu vielen ungerecht­fertigten Verdachts­fällen führen würde. Auch könnte das Scanning, unbemerkt von der Benutzerin, auf weitere Themen ausgedehnt werden und Ermittlungs­behörden Zugriff auf praktisch alle Nachrichten geben.

Hinzu kommt, dass die heute bekannten automatischen Inhalts-Scans insbesondere von Bildern und Videos stark fehleranfällig sind. Algorithmen müssen ständig «nachjustiert» werden, um möglichst genau zwischen akzeptablen und nicht akzeptablen Inhalten zu unterscheiden. Die dazu notwendigen Trainings­daten sind aber schwierig zu bekommen (da es ja gerade darum geht, die Algorithmen mit illegalen Inhalten zu trainieren). Auch zeigt sich, dass sich solche Algorithmen oft mit einfachen Mitteln austricksen lassen (wie sich zum Beispiel auf Youtube zeigt, wo trotz urheber­rechtlichem «Content Filtering» diverse im Kino aufgezeichnete Filme, die nachher auf dem Video­portal publiziert worden sind, nicht gefiltert werden).

Wie es weitergeht: Erwartet wurde die Veröffentlichung des Gesetzes­texts am 30. März. Die Kommission verschob den Termin kurzfristig auf den 27. April 2022. Grund: eine vernichtende (und inzwischen geleakte) Stellung­nahme eines Überprüfungs­ausschusses der Europäischen Kommission. Deren Verfasserinnen sagen, eine solche allgemeine Überwachung sei vermutlich rechtswidrig und in der Praxis sehr anfällig für Fehler. Es ist anzunehmen, dass diverse EU-Bürger­rechts­organisationen versuchen werden, die relevanten Paragrafen vor der Verabschiedung wieder aus dem Gesetz zu kippen.

3. Verbindliche staatliche EU-Web­zertifikate

Worum es geht: Wenn Sie sich auf der E-Banking-Webseite einer Bank einloggen, um eine Transaktion zu überweisen, vertrauen Sie darauf, dass die Domain «NameIhrerBank.com» auch tatsächlich Ihrer Bank gehört und dass Ihre Daten von dort transport­verschlüsselt an die richtige Adresse gelangen. Niemand sollte diese mitlesen können. Denn nur so können Sie sicher sein, dass Sie Ihre Zugangs­daten und Kredit­karten­angaben nicht direkt in die Hände von Cyber­kriminellen legen.

Dieses Vertrauen wird durch ausgestellte Webzertifikate sichergestellt. Diese belegen, dass sich hinter dem Inhaber der Domain «NameIhrerBank.com» tatsächlich Ihre Bank verbirgt. Diese Zertifikate werden wiederum von Zertifizierungs­stellen ausgehändigt (etwa «Let’s Encrypt» von der Internet Security Research Group) und müssen zwingend von den Browsern anerkannt werden. Ist dies nicht der Fall, wird die Webseite beispielsweise im Firefox-Browser als unsicher markiert. Die Folge? Beim Aufruf der Webseiten wird ein Warnhinweis angezeigt.

Die bisherige Zertifizierungs­praxis ist ein Zusammenspiel von mehreren Akteurinnen: Über die Regeln von Webseiten-Authentifizierung stimmen sich die Zertifizierungs­stellen und Browser in spezifischen Foren immer ab, unlautere trust service provider werden von den Browser­anbietern ausgeschlossen.

Nun möchte die EU im Rahmen der aktuellen eIDAS-Verordnung einen Standard für den Umgang mit Webzertifikaten schaffen. Die Browser würden verpflichtet, die von den europäischen Zertifizierungs­stellen ausgestellten «Qualified Website Authentication Certificates QWAC» jederzeit anzuerkennen.

Was wir davon halten: Der Vorstoss birgt grosse Gefahren. Die EU zwingt damit allen ihre Deutungs­hoheit über die Webzertifikate auf. Und zwar unabhängig davon, ob diese Zertifikate den Qualitäts- und Sicherheits­richtlinien der Internet­browser entsprechen und wie gut die trust service provider dabei arbeiten. Damit wird ein bewährtes System aufs Spiel gesetzt: Denn Google, Apple, Mozilla und Microsoft prüfen heute im Rahmen von «Root-Programmen», ob die Zertifizierungs­stellen die Vorgaben einhalten. Die IT-Zivilgesellschaft warnt daher vor diesem Vorstoss: Ein offener Brief von namhaften 38 Sicherheits­forscherinnen (darunter auch Vertreterinnen der Schweizer Hochschule ETH) kritisiert den betreffenden Artikel 45 Absatz 2 in der eIDAS-Reform.

Die von der EU vorgesehenen QWAC-Zertifikate hätten sich aufgrund technischer Schwächen im digitalen Zertifikate-Ökosystem nicht durchgesetzt, schreiben die Experten. Würde deren Einsatz vorgeschrieben, so würde dies «die Online-Sicherheit verschlechtern, ohne jeglichen Mehrwert für Konsumenten und Unter­nehmen», schreibt die Mozilla-Stiftung. Die qualitativ ungenügenden Zertifikate würden Einfallstore für Hackerinnen schaffen. Ausserdem könnte dieser Eingriff Schule machen und autoritäre Staaten dazu animieren, lokalen Unternehmen unsichere Zertifikate aufzuzwingen. (In der Vergangenheit haben Kasachstan und Mauritius mit ähnlichen Zertifikate­verordnungen versucht, ihre Bürgerinnen zu überwachen.)

Wie es weitergeht: Erstaunlich ist, dass das umstrittene Vorhaben erst jetzt die gebührende Aufmerksamkeit erhält, denn die EU-Kommission präsentierte die Zertifikate­reform bereits im Juni 2021. Bis zum Juni 2022 können Änderungen im EU-Parlament zur gesamten eIDAS-Reform eingebracht werden. Die Netzgemeinschaft hofft nun darauf, dass die EU-Abgeordneten nochmals über die Bücher gehen und sich zumindest mit den Browser-Anbietern einig werden, wie Qualitäts­kriterien und Regeln der digitalen Identität miteinander in Einklang gebracht werden können. Das Parlament dürfte allenfalls noch einige Änderungen an der Reform vornehmen.

4. Regulierung von Root-Servern und DNS

Worum es geht: Das Internet – letztlich das globale Zirkulieren von Daten­paketen – funktioniert dank viel Goodwill, Freiwilligkeit und Selbst­verpflichtungen. Das Domain Name System, also die Auflösung von URLs in IP-Adressen, ist dabei eine der grössten gemeinsamen internationalen Errungenschaften. Die insgesamt 13 weltweit verteilten Root-Server spielen dabei eine wichtige Rolle: Sie kontrollieren die sogenannten Top-Level-Domains (.com; .org; .ch; .de).

Die EU begann sich vor zwei Jahren für die System­relevanz von Root-Servern zu interessieren. In der neuen Netz- und IT-Sicherheits­richtlinie NIS-2 wird verlangt, dass den Anbieterinnen dieser Dienste mehr Berichts- und Sicherungs­pflichten auferlegt werden. Hacks auf kritische Infra­strukturen sollen schnell gemeldet werden. Das Ziel: Informations- und Netzsicherheit.

Die ursprüngliche Idee der EU-Kommission war es, die 13 Root-Server einer Art Aufsichts­behörde zu unterwerfen. Dies, obwohl nur 2 davon in Europa stehen, die Mehrheit wird in den USA betrieben. Ausserdem sollen DNS-Resolver ebenfalls unter die Richt­linie fallen. Damit sind Dienste gemeint, die eine aufgerufene Webadresse in eine IP-Adresse umwandeln und auflösen. Auch sie unterliegen Melde­pflichten. Ebenso sollen alle Inhaberinnen von Webadressen registriert und deren Daten überprüft werden.

Was wir davon halten: Das Zusammen­spiel der sehr autonomen Root-Server funktioniert seit den Achtziger­jahren reibungslos. Der globale Konsens: Kein Land soll mit seinen politischen Entscheidungen das einheitliche globale DNS-Root-System gefährden können. Das Begehren der Ukraine etwa, alle russischen .ru-Adressen zu sperren, wurde von den Root-Server-Betreibern wie auch von der offiziellen Netz­verwaltung Icann abgelehnt. Es ist zwar löblich, dass die EU die kritische Bedeutung der Root-Server und DNS-Dienste anerkennt. Doch gleichzeitig ist es vollkommen absurd, autonome und unabhängige Root-Organisationen einem EU-Regelwerk unterwerfen zu wollen – schliesslich befinden sich darunter US-Einrichtungen wie etwa die University of Maryland oder die Nasa.

Auch eine Mehrheit des EU-Parlaments fand das Vorhaben gefährlich und entfernte den Begriff «Root-Server» aus dem Richtlinien­entwurf. Ob die Regulierung kleiner und grosser DNS-Dienste mit umfangreichen Berichts­pflichten sinnvoll ist, ist fraglich. Sehr heikel ist vor allem, dass die Regulierung von DNS-Servern faktisch die Grundlage für ein EU-weites Blockieren von Webseiten schaffen würde (indem alle EU-Nutzer verpflichtet würden, EU-DNS-Server zu verwenden, und diese dann beispielsweise Domains mit angeblich terroristischen oder urheber­rechtlich geschützten Inhalten nicht mehr auflösen dürften). Die EU würde damit den Runet-Plänen des autoritären Russland in nichts nachstehen. Ausserdem ist unklar, weshalb die Adress­inhaberinnen von den Domain­dienstleistern verifiziert werden müssen. Denn dies widerspricht auch einem anderen Grundsatz des Datenschutz­regelwerks DSGVO: der Daten­sparsamkeit.

Wie es weitergeht: Die NIS-2-Richtlinie wird in den nächsten Monaten im Parlament, im Rat und in der Kommission beraten, im Juni 2022 soll sie dann durchs Parlament gebracht werden. Es ist gut möglich, dass die Debatte um die DNS-Dienste auch noch in der Öffentlichkeit ausgetragen wird.

5. Daten­abkommen zwischen USA und EU

Worum es geht: US-Präsident Joe Biden und EU-Kommissions­präsidentin Ursula von der Leyen verkündeten Ende März, dass ein trans­atlantisches Daten­transfer­abkommen in Griffweite liege. Zur Erinnerung: Im Juli 2020 wurde vom EU-Gerichtshof in Luxemburg – dank dem Aktivisten Max Schrems und seiner Organisation Noyb – das Privacy-Shield-Abkommen für ungültig erklärt. Anlass dafür war die seit Edward Snowdens Enthüllungen bekannte Massen­überwachung jeglicher unverschlüsselter digitaler Kommunikation, welche die Big-Tech-Unternehmen zur Weitergabe der Daten von europäischen Bürgerinnen an die USA zwingt.

Diese Weitergabe verstösst gegen die europäische Datenschutz­verordnung und hatte die Aufkündigung des Abkommens zur Folge. Die Schweiz zog kurz darauf nach: Der eidgenössische Datenschutz­beauftragte erklärte das schweizerisch-amerikanische Pendant (US Swiss Privacy Shield) ebenfalls für nicht mehr gültig.

Seither sind in der Theorie alle täglichen Daten­flüsse illegal: Jeder in der EU und in der Schweiz verfasste Tweet hatte seither streng genommen keine gültige rechtliche Grundlage mehr. Dieses Vakuum schaffte massive Rechts­unsicherheit für europäische Internet­nutzerinnen – und auch für alle Unternehmen, die etwa Microsoft Cloud und andere amerikanische Produkte für ihre tägliche Daten­verarbeitung nutzen.

Offenbar gibt es nun einen politischen Konsens: Die USA sichern zu, den Zugriff von US-Geheim­diensten wie der NSA auf persönliche Daten von EU-Bürgern «auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnis­mässig ist». Ausserdem dürfen EU-Bürgerinnen ihre Rechte dank eines neuen Beschwerde­mechanismus gerichtlich einfordern. Wie, ist noch unklar.

Was wir davon halten: Das neue Daten­transfer­abkommen ist dem Vernehmen nach bisher lediglich eine executive order des aktuellen Präsidenten. Es handelt sich also um eine politische Zusicherung, dass die Daten nicht massenhaft abgesaugt werden und an die Sicherheits­behörden gelangen. Technische Schranken, die den Abfluss der Daten der EU-Bürgerinnen zuhanden der US-Sicherheits­behörden verhindern sollen, sind nicht vorgesehen. Die weitreichenden Überwachungs­befugnisse der NSA mit dem FISA-Gesetz (Section 702) bleiben unangetastet. Auch scheint von der Leyens Verhandlungs­erfolg symbolischer Natur zu sein, denn der Konsens hat offenbar nicht ausreichend Rückhalt in Brüssel. Die USA hätten sich zu wenig bewegt in den Verhandlungen, schreibt der österreichische «Standard». Kritiker wie Aktivist Schrems bleiben daher wohl zu Recht skeptisch und verlangen nicht weniger als ein «No Spy»-Abkommen.

Wie es weitergeht: Bisher existiert das Bekenntnis zu einem trans­atlantischen Daten­abkommen: präsidiale Worte. Die Ausarbeitung des Wortlauts wird demnächst präsentiert. Aktivist Schrems hat bereits angekündigt, das neue Abkommen genau zu prüfen und gegebenen­falls ein drittes Mal vor Gericht zu ziehen.

6. European Chips Act

Worum es geht: Der European Chips Act ist eine Investitions­offensive, um die technologische Souveränität Europas zu stärken: Die EU-Kommission will die eigene Halbleiter­branche fördern. Bis 2030 sollen 20 Prozent der weltweiten Halbleiter­produktion in Europa erfolgen. Das wird insgesamt rund 48 Milliarden Euro kosten. Die Idee ist die Ansiedlung von sogenannten Fabs von Herstellern wie TSMC (Taiwan) und Intel (USA): Fabriken mit fortschrittlichster Fertigungs­technik für Chips von 2 Nanometern, die Milliarden von Transistoren enthalten. Ein solcher Chip ist sehr leistungsfähig und kann besonders viele Operationen ausführen (er soll ausserdem die Akkuzeit von Handys verlängern).

Was wir davon halten: In Zeiten von US-chinesischen Handels­konflikten sowie internationalen Embargos und Sanktionen ist es grundsätzlich sicherlich eine kluge Idee, in technologische Unabhängigkeit zu investieren – und so die Abhängigkeit von ausländischen Zulieferern gerade für die kritische Infrastruktur zu verringern. Mit Regulatorien, Bussen und Datenschutz­regeln allein baut man schliesslich noch keine eigene Tech-Industrie auf.

Doch es ist fraglich, ob die EU dabei auf das richtige Pferd setzt. Branchen­verbände wie ZVEI oder der Thinktank Neue Verantwortung finden den Fokus auf Chips mit 2-Nanometer-Strukturen illusorisch und warnen vor einer Fehl­investition. Den Rückstand gegenüber den viel billigeren Produzentinnen im Ausland erachten sie als unaufholbar.

Ein weiterer Risikofaktor: der aktuelle Krieg. Die Chip­fabriken verbrauchen Strom, und die steigenden Gas- und Ölpreise könnten die Pläne der EU ebenfalls stark verteuern. Die europäischen Chip­hersteller loben – vielleicht wenig überraschend – die Pläne und die vorgesehenen Förder­mittel. Zugute kommt dem EU-Plan, dass viele Zulieferer wie der niederländische Hersteller von Lithografie­systemen ASML und deutsche Firmen wie Jenoptik bereits in Europa beheimatet sind.

Es gibt, mit anderen Worten, Argumente dafür und dagegen: Die industrie­politische Investition der EU zur Ankurbelung der Chip­industrie könnte sich auszahlen – oder auch nicht. Der Ausgang ist derzeit noch ungewiss.

Wie es weitergeht: Der European Chips Act liegt nun im Parlament und braucht noch grünes Licht von den Regierungen der EU-Länder (Ministerrat).

Und jetzt nochmal eine Runde

Im Bereich Internet und Politik galt die EU im weltweiten Vergleich vor allem auf einem Gebiet als Vorreiterin: bei der Privat­sphäre ihrer Bürger und dem Datenschutz. Das Datenschutz­regelwerk DSGVO entwickelte sich zu einem Export­schlager und Trend­setter. Es wurde von anderen Ländern wie beispiels­weise Japan kopiert und hat bei den Big-Tech-Unternehmen tatsächlich zu Neuerungen geführt.

Doch dieses Mal schneiden einige der Ideen aus Brüssel ausgerechnet in diesem historisch starken Bereich schlecht ab.

Wie so oft, wenn es um «mehr Sicherheit» geht, sind die neuen Vorschläge zwar gut gemeint. Sie wollen der Bekämpfung von Kinder­pornografie dienen. Oder sicheren Internet­verkehr garantieren. Doch wie ebenfalls oft bringen solche gut gemeinten Vorstösse letztlich nicht mehr, sondern weniger Sicherheit – und liefern Cyber­kriminalität und eine potenzielle Massen­überwachungs­infrastruktur gleich mit.

Auch die bisherigen Vorschläge zur Inter­operabilität könnten letztlich bei mangelhafter Umsetzung das Gegenteil von dem bewirken, was sie eigentlich wollen. Sie könnten den Kleinen schaden und den Grossen nützen – und das ebenfalls bei weniger Datenschutz als zuvor.

Es ist zu hoffen, dass man in Brüssel nochmals eine Runde dreht – und vielleicht etwas weniger macht. Das dafür auf kluge Art und Weise.

5959

Über 28'000 Menschen machen die Republik heute schon möglich. Lernen Sie uns jetzt auch kennen – 21 Tage lang, kostenlos und unverbindlich:

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source