EU Kommission – datenpolitische Bilanz
Mit der Wahl zum EU Parlament steht auch die Neubesetzung der EU Kommission an, fünf Jahre von der Leyen – netzpolitik.org widmet diesem Umstand und der Möglichkeit einer zweiten Amtszeit einen Rückblick auch auf von der Leyens datenpolitische Bilanz. Fazit: Sie hat einiges durchgesetzt, nicht immer Gutes, und einige datenpolitische Großbaustellen angerissen, die aber vorerst noch eine Reihe neuer Fragen aufwerfen. Der Digital Services Act wurde wie angekündigt geliefert, seine ersten Effekte sind schon feststellbar. Mit im Schlepptau kam unangekündigt der Digital Markets Act, der einiges weiter präzisiert und das Potenzial hat, seinen Vorgänger in punkto Bedeutung zu überflügeln.
Der AI Act war als schnelle Lösung in Aussicht gestellt, wurde dann aber von der Realität der technischen Entwicklung überrollt und erst zwei Jahre später als geplant konkret. Der AI Act ist die erste der großen Regulierungen, die das Potenzial hat, den Spott, der der vermeintlich überregulierenden EU in vielen Bereichen entgegenschlägt, mitunter in Respekt zu verwandeln. Denn dank der langen Vorbereitungszeit ist es ein umfangreiches Werk geworden – und diverse Bedrohungsszenarien rund um AI werden immer noch von diversen Interessengruppen hochgehalten.
Allerdings werden die wichtigsten Errungenschaften des AI Act immer öfter in Zweifel gezogen. AI dürfe nicht biometrischen Überwachungssystemen eingesetzt werden, das war einer der am meisten gefeierten Abschnitte. Schon im Dezember aber wurden im gleichen EU-Parlament, das den AI Act beschlossen hat, die Weichen für automatische Gesichtserkennung in der Überwachung gestellt. Es gibt einige formale Hürden wie besondere Bedrohungsszenarien und weitere Auflagen, die für den Einsatz von Gesichtserkennung gegeben sein müssen – aber der grundlegenden Einrichtung der notwendigen Infrastruktur steht nichts mehr im Weg. Wofür sie dann tatsächlich eingesetzt werden wird und wie die beschränkenden Auflagen ausgelegt werden, das wird sich zeigen.
Diese halbherzigen Einschränkungen ziehen sich durch viele aktuell Auferstehung feiernde Überwachungs- und Kontrollregelungen.
Aber um noch die datenpolitische Bilanz abzuschließen: Digital- und Minimalsteuern bleiben Baustellen und mit dem wieder aufflammenden Kampf gegen Verschlüsselung in Chat-Apps kehren viele altbekannte Sicherheitsdiskussionen zurück, an denen sich erstaunlich wenig verändert hat.
Kontrollieren wer kontrolliert
Jetzt muss man wieder über Verschlüsselung, IP Adressen-Speicherung und Kontrolle im Netz reden. Kaum ist in Österreich ein wenig Staatssicherheit ins Wanken geraten, wünschen sich einige Politiker erweiterte Kontrollmöglichkeiten. Auf EU-Ebene wird unter dem Schlagwort Chatkontrolle über Beschränkungen für Verschlüsselung diskutiert – und darüber, wer Entschlüsselungstools oder umgekehrt effiziente und sichere Verschlüsselungstools benützen dürfen soll. Behörden sind sich einig, dass das Behörden und Politikern vorbehalten sein soll. Journalisten, Aktivisten und NGOs sollen davon ausgeschlossen sein. Lustig: In den jüngsten sich entwickelnden Spionagefall in Österreich waren praktisch ausschließlich Politiker und Behördenmitarbeiter verwickelt.
Randbemerkung: Es war übrigens ÖVP-EU-Spitzenkandidat Reinhold Lopatka, der nach dem Terroranschlag in Paris im November 2015 gleich mal zur Einschränkung von Bürgerrechten aufrief. Und das nicht nur einmal.
Gegen die Chatkontroll-Pläne und ihre geradezu feudalen Ausnahmen (alles für die herrschende Klasse, nichts für das Volk) regen sich unter anderm Widerstände von Bürgerrechtsorganisationen. Letzte Woche hatten wir offene Briefe, neu ist eine Analyse der Civil Liberties Union. Großer Kritikpunkt dabei: Es gibt keine zivilgesellschaftlichen Rückzugsmöglichkeiten mehr, auch Medien sind der Kontrolle ausgesetzt und auch der European Media Freedom Act, der eigentlich für mehr Medienfreiheit sorgen sollte, setzt keine Schritte in diese Richtung. Die Civil Liberties Union sieht das auf einer Ebene mit SLAPP-Klagen und rechtlichen Einschränkungen für Journalisten – worunter auch das in Österreich diskutierte Aktenzitierverbot fallen würde.
In Frankreich sorgt gerade ein anderes Urteil des Gerichtshofs der Europäischen Union für Ärger. Die französische Urheberrechtsbehörde Hadopi hat erreicht, dass die Speicherung und Analyse von IP Adressen nicht mehr unter allen Umständen unzulässig ist. Auch hier gilt, Überraschung: Besondere Umstände und öffentliches Interesse schaffen Ausnahmen. Hier ging es aber nur um die Verfolgung von Verdachtsmomenten rund um vermutete Urheberrechtsverletzungen.
Ich hatte selbst unlängst eine Anfrage der Polizei, ob ich nicht IP Adressen der Leser einer bestimmten Story herausgeben könnte. “Muss eine Falle sein”, war meine erste Idee. Aber die betroffene Landespolizeidirektion war wohl weder mit der aktuellen Rechtslage noch mit den Überlegungen des Gerichtshofs der Europäischen Union vertraut.
Ich konnte ihnen so oder so nicht helfen – IP Adressen-Speicherung ist neben der rechtlichen Dimension eine Frage des Speicherplatzes und seiner Kosten. Das war schon vor über zehn Jahren rund um Vorratsdatenspeicherung intensiv diskutiertes Thema: Wer zahlt den Betrieb dieser Kontrollinfrastrukturen, die man sich ja schnell mal wünschen kann, die aber neben der Sicherheitsfrage noch eine ganze Reihe pragmatischer Fragen nach sich ziehen?
Im Fall der jüngsten Entscheidung soll IP Adressen-Auswertung eben dann möglich sein, wenn es besondere Gründe gibt, und wenn sie nicht vollständig automatisiert abläuft.
Letzteres ist eine Einschränkung, die uns öfters begegnet, die nach umfassender menschlicher Kontrolle klingt – und die doch sehr leicht erfüllt werden kann. Auch die DSGVO sieht vor, dass wichtige Entscheidungen nicht allein automatisiert anhand von Daten getroffen werden dürfen – etwa ob jemand einen Kredit bekommt oder zum Bewerbungsgespröch geladen wird. Es reicht aber, wenn ein Mensch die automatisiert vorbereitete Entscheidung bestätigt. Regeln zu deren Prüfung gibt es keine. Ähnlich, nur noch ein bisschen schwammiger, ist es um die mit dem AI Act einhergehenden Kennzeichnungspflichten bestellt. Muss alles gekennzeichnet werden, wo KI im Spiel war? Darf die Kennzeichnung entfernt werden, wenn ein Mensch das Ergebnis überprüft hat? Die Antwort ist derzeit noch von der Risikobereitschaft des Rechtsberaters abhängig.
Österreichische Datenstrategie – Konsultation
Österreich bekommt eine Datenstrategie – die Konsultation endete mit 3. Mai. Mit der Europäischen Datenstrategie sind auch die Mitgliedsländer angehalten, eigene Datenstrategien zu entwickeln. Die Diskussion auf Digital Austria war nicht gerade hitzig. Bislang (Stand 3.5.) haben 42 BürgerInnen mitgeredet. Viele Kommentare konzentrieren sich dabei auf die gleichen Themen. Die einfachsten Grundregeln wie Konsistenz, Normalisierung und Dokumentation in öffentlichen Daten wären die wichtigsten Errungenschaften einer öffentlichen Datenstrategie. Und es sind auch diese Problembereiche, die die größten Hürden für die Nutzung von Open Data darstellen. Ein Teil dieser Probleme ist technischer Natur, ein Teil verfälscht auch Inhalt und Bedeutung: Viele Open Data Repositories sind so unsauber strukturiert und dokumentiert, dass aus ihnen alles und das Gegenteil abgeleitet werden kann, ohne dass dabei Grundregeln der Datenarbeit verletzt werden müssten. Sie sagen so wenig aus, dass sie zugleich auch alles aussagen können. (Ich habe das auf einer allgemeinen Ebene auch mal ausführlicher beschrieben: „Data is overrated“.) Diese Schwachstellen von Open Data zählen im übrigen auch zu den Problemen, die die Civil Liberties Union in ihrer Analyse zu Überwachung und Medienfreiheit mahnend erwähnt.
Abgesehen von diesen Schwächen ist die österreichische Datenstrategie eine Bilderbuchstrategie der Selbstverständlichkeiten, die Überschriften und Gemeinplätze aneinanderreiht, ohne grobe Fehler zu machen oder konkrete Probleme anzusprechen. Ein paar Versäumnisse werden offenbar, wenn etwa in der Strategie ausdrücklich erwähnt wird, dass man in Zukunft näheren Kontakt zu übergeordneten EU Institutionen wie den Data Space Service Centers suchen möchte.
Bemerkenswert ist allerdings, dass Österreichs zentrale Digitalinstanz jetzt auch alle Behörden dazu anhalten möchte, eigene Datenstrategien zu entwickeln, sogar Unternehmen oder Forschungsinstitutionen sollen dazu “aufgefordert” werden. Ich hoffe, dass das nur schlecht formuliert ist und es bei Behörden vorrangig um die Umsetzung der vorgegebenen Datenstrategie geht. Privaten dagegen kann der Nutzen einer Datenstrategie vermittelt werden – sie einfach aufzufordern halte ich für ein fragwürdiges Unterfangen.
In Hinblick auf die behördliche Strategie-Muliplizierung: Sich auf allen Hierarchieebenen ausbreitender Strategietaumel in Unternehmen ist grundsätzlich eines der sichersten Anzeichen für eklatante Führungsschwäche.
Wir werden es sehen.
Ein Berufsleben lang StartUp?
Es ist nicht direkt ein datenpolitisches Thema, aber es beschäftigt mich. Das Digitalmedium Wiener Zeitung bekommt mit 6,5 Millionen staatlichem Budget mehr Geld, als die größten Zeitungsverlage des Landes mit Digitalabos verdienen. Dafür werden Inhalte erstellt und Ausbildungen und Trainings angeboten. Letztere haben mich neugierig gemacht. Die TeilnehmerInnen am aktuellen Media Innovation Lab haben mich stutzig gemacht. Ich halte lebenslanges Lernen für eine absolute Notwendigkeit, habe mit 50 mein zweites Studium abgeschlossen und bin praktisch immer in irgendeinem Kurs und ich treibe selbst immer wieder Projekte voran, die sich erfolgreich nennen können, solange man täglich aktiv anschiebt, denen aber schnell der Antrieb ausgeht, sobald man einmal Pause macht und Luft holt – aber wie lange will man eigentlich, noch dazu mit derselben Idee, demselben Projekt, StartUp-Nachwuchs-Trainee-Mentee-Coachee sein? Das ist ein schlimmes Alarmzeichen für journalistische Innovation in Österreich und für die Aussichten auf stabilen Erfolg. Oder gibt die Auswahl eher die Prioritäten der Auswählenden wieder als die Chancen auf nachhaltig verwirklichbare Medienprojekte? Oder ist es das Talent, Förderungen einzuwerben, das hier gefördert wird?
Einige der geförderten sind altbekannte Ein-Personen-Marken, die seit fünf bis zehn Jahren im Geschäft sind, andere sind Menschen mit einer Idee, die schon andere Förderungen an Land gezogen haben (und mit dieser Förderung in der Tasche sich hetzt erst nach Menschen umsehen, die diese Idee eventuell auch umsetzen könnten, und andere wiederum haben weniger mit Medien oder Innovation zu tun, sondern mit Vorstellungen von schönerem Arbeiten.
Ich wäre jetzt wirklich neugierig auf die 40 abgelehnten Projekte.