EU einigt sich auf strenge Regeln für Tech-Konzerne
Ein neues EU-Gesetz enthält überraschend scharfe Auflagen für die größten Digitalkonzerne und sieht bei Verstößen deutlich höhere Strafen vor als die DSGVO.
(Bild: Svetlana Turchenick/Shutterstock.com)
- Holger Bleich
Die EU-Vizepräsidentin Margrethe Vestager freute sich: "Von jetzt an wird der Digital Markets Act die Spielregeln bestimmen!“ In den sogenannten Trilog-Verhandlungen hat sie sich am 24. März mit den durch den Europäischen Rat vertretenen Mitgliedsländern und dem EU-Parlament auf den Wortlaut des neuen Gesetzes geeinigt. Da die letztgültige Fassung des Kompromisstextes noch nicht vorliegt, müssen wir uns bei der Darstellung auf Aussagen von Verhandlungsteilnehmern und verlässlichen Informanten stützen.
Mit dem ambitionierten Digital Markets Act (DMA) stellt sich die EU im Bereich IT- und Internet-Regulierung neu auf. Aus Sicht der europäischen Politiker geht es um dominierende, teils böswillig agierende Konzerne, die danach trachten, Wettbewerb zu unterminieren – zum Nachteil der Verbraucher. Als Folgen sieht die EU eine kleinere Produktauswahl, schlechtere Qualität, weniger Innovationen und geschlossene Datensilos.
Verantwortlich für diese Verwerfungen sind der DMA-Logik zufolge sogenannte Gatekeeper, also große Unternehmen mit marktbeherrschenden Plattformen in einem Sektor. Der DMA soll Missbrauch dieser beherrschenden Stellung sanktionieren, also etwa verhindern, dass anderen Unternehmen der Zugang versperrt wird. Auch wenn die EU-Kommission den Eindruck vermeiden wollte: Der DMA hegt in erster Linie die US-Megakonzerne in Europa ein, also Google, Apple, Meta, Amazon und Microsoft. Aber auch europäische Konzerne wie booking.com oder SAP dürften umfasst sein.
Ein Unternehmen kann dem Kompromiss zufolge als Gatekeeper gelten, wenn es in der EU dauerhaft den Jahresumsatz von 7,5 Milliarden Euro überschreitet oder mindestens 75 Milliarden Euro an der Börse wert ist. Außerdem muss es mehr als 45 Millionen Privatnutzer oder mehr als 10.000 gewerbliche Nutzer in der EU haben. Zu den zentralen Plattformdiensten gehören in der finalen DMA-Fassung Marktplätze und Stores für Software, Suchmaschinen, soziale Netzwerke, Clouddienste, Werbedienste, Sprachassistenten und Webbrowser.
(Bild: Bild: Twitter (@Andreas_Schwab))
Wahlfreiheiten
Mit dem DMA vollzieht die EU einen Paradigmenwechsel: Musste sie bislang jeden Missbrauch von Marktmacht mühsam im Nachhinein feststellen und sanktionieren ("ex post“), existieren nun bald konkrete Regeln und Verbote, die klare Leitplanken setzen ("ex ante“). Kartellverfahren gegen Google dauerten beispielsweise Jahre. War der Verstoß schließlich festgestellt, hatten sich die Probleme längst verlagert. Als Dreh- und Angelpunkt im DMA gelten deshalb nun die Artikel 5 und 6. Darin hat die EU de facto einen Katalog von in der Vergangenheit beobachtetem Marktmissbrauch niedergeschrieben. Es ist vorgesehen, dass diese Liste jederzeit angepasst werden kann.
Artikel 5 enthält Verbote für Gatekeeper: Konzerne dürfen etwa nicht ohne Einwilligung der Nutzer personenbezogene Daten mehrerer Plattformen zusammenführen (siehe WhatsApp und Facebook). Sie müssen ihre Dienste auch ohne diese Einwilligung anbieten – das Motto "Friss (die Einwilligung) oder stirb“ soll nicht mehr gelten. Auf Plattformen dürfen nicht die eigenen Dienstleistungen oder Produkte gegenüber denen der Konkurrenz herausgehoben werden. Dies spielt auf Google an. Die EU hatte sanktioniert, dass der Konzern in der Suchmaschine die eigene Produktsuche gegenüber anderen Shopping-Hilfen bevorzugt hatte.
Unter den Verpflichtungen in Artikel 6 sticht eine hervor, die insbesondere bei Smartphones zum Tragen kommen wird: Anbieter von Betriebssystemen müssen Anwendern die Wahl lassen, welche Software sie nutzen wollen. Das gilt für Programme, die nicht unabdingbar fürs Funktionieren des Betriebssystems sind. Apple etwa könnte Probleme bekommen, wenn sich wie bisher der Browser Safari und die Mail-App unter iOS als Default-Handler nicht durch Dritt-Apps ersetzen lassen.
Gatekeeper werden auch verpflichtet, andere Zahlungssysteme als das eigene auf der Plattform zuzulassen. Bislang verweigert Apple genau dies und zwingt App-Anbieter unter iOS dazu, hohe Provisionen fürs App-Store-Inkasso zu zahlen. Doch nicht nur das: Apple muss dem DMA zufolge künftig in Europa fremde App-Stores zulassen und Anwendern ermöglichen, Software von dort zu installieren (das sogenannte "Sideloading“, wie man es unter Android kennt).
Diese Vorschrift trifft den Konzern ins Mark, gilt doch der App Store als Cash Cow schlechthin. Apple hat viel Lobby-Aufwand betrieben, um sie zu verhindern. Im vergangenen Jahr etwa versuchte man die EU mit einer eigenen Studie namens "Building a Trusted Ecosystem for Millions of Apps“ davon zu überzeugen, dass das geschlossene iOS-Ökosystem Anwendern Sicherheit und damit große Vorteile bringt. Der DMA würde gar die Sicherheit von iPhones komplett zerstören, warnte Apple-Chef Tim Cook. Es half nichts. Die viel diskutierte Sideloading-Verpflichtung ist in der endgültigen DMA-Fassung erhalten geblieben, erfuhr c’t aus Kommissionskreisen.
Messenger-Interoperabilität
Auch eine andere strittige Regelung hat den Weg in die finale DMA-Fassung gefunden: Marktbeherrschende Messaging-Plattformen – das EU-Parlament nennt hier explizit WhatsApp, Facebooks Messenger und Apples iMessage – müssen sich für kleinere Mitbewerber öffnen. Wenn etwa Signal oder Threema dies verlangen würden, müsste WhatsApp Interoperabilität ermöglichen. Das heißt in der Praxis: Signal-Nutzer müssten mit WhatsApp-Anwendern Ende-zu-Ende-verschlüsselt kommunizieren können – und umgekehrt. Lediglich drei Monate hätte WhatsApp nach einer Anfrage Zeit, um die Schnittstelle bereitzustellen.
In einem ersten Schritt soll das zwei Jahre, nachdem der DMA in Kraft getreten ist, für den Austausch von Text-Chats und Anhängen gelten. Weitere zwei Jahre später kommen noch Sprach- und Video-Calls sowie die Gruppenfunktion hinzu. Es bleibt unklar, wie die Interoperabilität technisch gestaltet sein soll. Aus der EU-Kommission war zu hören, dass man sich APIs bei den Gatekeepern vorstellt.
Im Gespräch mit dem Portal "Platformer“ kommentierte WhatsApp-Chef Will Cathcart die DMA-Einigung: "Ich habe große Bedenken, dass dadurch die Privatsphäre verletzt oder ernsthaft untergraben wird, und dass dadurch ein Großteil der Sicherheitsanstrengungen, auf die wir besonders stolz sind, zunichtegemacht wird.“ Cathcart verweist darauf, dass es für sein Unternehmen wesentlich schwerer würde, neue Privacy-Funktionen oder Antispam-Maßnahmen umzusetzen. Der DMA fungiere folglich eher als Innovationsbremse.
Aber auch Martin Blatter, Mitgründer und CEO des Messenger-Anbieters Threema, hält wenig vom Interoperabilitätsgedanken, obwohl sein Unternehmen laut EU von der Regelung profitieren soll: "Wer an APIs zur Öffnung der Gatekeeper denkt, muss auch die Implementierung von Ende-zu-Ende-Verschlüsselung einbeziehen. Die ganze Logik müsste gegenseitig in die Apps implementiert werden. Hinzu kommt das Identitätsmanagement. Man bräuchte vielleicht eine Clearingstelle fürs Mapping der Identitäten. Eine solche wiederum wäre natürlich der Traum eines jeden Hackers: alle Identitäten aller Messenger-Nutzer an einem Ort!"
Nicht nur aus diesem Grund winkt Blatter ab. Er sieht generell keinen Vorteil in der Regelung. Von der dahinterstehenden These, dass WhatsApp-Nutzer eher zu Threema wechseln, wenn sie von dort aus ihre WhatsApp-Community weiter erreichen können, hält er nichts: "Wenn überzeugte WhatsApp-Nutzer mit Threema-Nutzern kommunizieren könnten, würden diese kaum noch die Threema-App kaufen, um in Kontakt zu bleiben. Das würde die dominierende Marktposition von WhatsApp eher stärken als schwächen."
(Bild: Quelle: vzbv)
Heftiges Strafmaß
Die Bußgelddrohungen im DMA gehen noch wesentlich weiter als die in der DSGVO. Bei Verstößen können bis zu 10 Prozent des weltweiten Gesamtumsatzes fällig werden, im Wiederholungsfall sogar bis zu 20 Prozent. Legt man beispielsweise Apples 2021 erzielten weltweiten Umsatz von rund 366 Milliarden US-Dollar zugrunde, wären das rund 73 Milliarden US-Dollar oder 65 Milliarden Euro. Wenn ein Gatekeeper systematisch (das heißt laut DMA mindestens dreimal in acht Jahren) gegen die Vorschriften verstößt, kann die EU-Kommission eine Marktuntersuchung einleiten und "verhaltensbezogene oder strukturelle Abhilfemaßnahmen“ verhängen. Im Klartext: Sie darf dem Konzern Zukäufe verbieten und als Ultima Ratio sogar die Zerschlagung anordnen.
Generell ist allein die EU-Kommission für die Durchsetzung zuständig. In einem ersten Schritt wolle man dafür mindestens 80 Experten abstellen, hieß es. Wie schlagkräftig dieses Team sein wird, dürfte davon abhängen, an welche Generaldirektion (DG) es angegliedert wird. Infrage kommt die DG Comm, die für Telekommunikation zuständig ist. Kenntnisreicher dürfte aber die Wettbewerbsbehörde DG Comp sein, die bereits Verfahren gegen Google, Apple und Amazon führt. Außerdem gestattet der DMA auf Wunsch des Parlaments explizit, dass auch nationale Verbraucherschutzorganisationen Verbandsklagen wegen DMA-Verstößen führen dürfen. Der Verbraucherzentrale-Bundesverband (vzbv) kündigte bereits an: "Wir werden genau beobachten, ob sich die Digitalunternehmen an die neuen Regelungen halten."
Die vorläufige Trilog-Einigung muss noch vom Rat und vom EU-Parlament gebilligt werden, was als eine reine Formsache gilt. Dieser Prozess dürfte Beobachtern zufolge im Juli abgeschlossen sein. Der DMA könnte also mit Veröffentlichung im Amtsblatt noch im Herbst 2022 in Kraft treten. Als Verordnung gilt er dann in allen Mitgliedsstaaten direkt als Gesetz. Nach einer Übergangsfrist von sechs Monaten dürfte er Mitte 2023 voll wirksam sein.
(hob)
