Seite 3: 2. Potenzielle Gefahren der Interoperabilitätspflicht

Inhaltsverzeichnis

Trotz der technischen Machbarkeit, der Ausweitung der Handlungsfreiheit für Nutzer:innen, und den wettbewerbsökonomischen Vorteilen stößt der Vorschlag einer Interoperabilitätspflicht für Social-Media und Messenger-Dienste auch auf Kritik und Ablehnung. Neben großen Digitalkonzernen, denen der Verlust von Werbeeinnahmen droht, stehen auch Teile der digitalen Zivilgesellschaft, kleinere Social-Media-Plattformen sowie die europäische Internetwirtschaft der Regulierungsmaßnahme skeptisch gegenüber. Dabei werden zumeist mangelnder Datenschutz, Innovationshemmnisse und eine Machtausweitung zugunsten der Digitalkonzerne als potenzielle Gefahren genannt, wie im Folgenden ausgeführt wird:

Kritik 1: Interoperabilität reduziert Datenschutz

Der häufigste Einwand gegen eine Interoperabilitätspflicht für Social-Media- und Messenger-Dienste ist, dass geschlossene Plattform-Ökosysteme die personenbezogenen Daten ihrer Nutzer:innen besser schützen können und daher sicherer seien. Demnach könnten sich in interoperablen Netzwerken mit offenen Datenschnittstellen unbefugte Dritte leichter Zugang zu Nutzerdaten verschaffen. Zwar sei es durchaus möglich Datenströme im interoperablen Netzwerk mittels Ende-zu-Ende-Verschlüsselung und offenen Autorisierungsverfahren zu schützen, allerdings müsste dieser Schutz auf "den kleinsten gemeinsamen Nenner" reduziert werden, so das verbreitete Gegenargument. Dabei wird ein Automatismus suggeriert, nach dem Plattformen mit höheren Sicherheitsstandards diese nicht mehr aufrecht halten könnten. Zudem sei die Weiterentwicklung des gemeinsamen Standards aufgrund der Vielzahl an Stakeholdern mit hohen Hürden versehen, sodass sich innovative Verschlüsselungsmethoden und andere datenschutzfreundliche Technologien schwerer durchsetzen können.

Dieser Ruf nach qualitativ hochwertigen Verschlüsselungs- und Authentifizierungsverfahren für plattformübergreifende Kommunikation ist grundsätzlich wichtig und muss bei jeder Interoperabilitätspflicht zentral mitgedacht werden. Die Kritik ist jedoch in mehrfacher Hinsicht überzogen: Erstens zeigt eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass eine Interoperabilitätspflicht kein unkalkulierbares datenschutz- oder sicherheitstechnisches Risiko darstellen muss. So könne beispielsweise das Messaging Layer Security Protokoll als Grundlage für ein standardisiertes Kommunikationsprotokoll dienen, welches Interoperabilität zwischen Messengern bei gleichzeitiger Ende-zu-Ende-Verschlüsselung auf höchstem Niveau ermöglicht. Zweitens machen bereits implementierte Beispiele wie die europäische PSD2-Richtlinie für Interoperabilität im digitalen Bankenwesen deutlich, dass offene Schnittstellen durchaus datenschutzfreundlich ausgestaltet werden können.

Drittens unterschlägt die Kritik an "Datenschutz auf dem kleinsten gemeinsamen Nenner", dass Plattformbetreiber auch im Falle einer Interoperabilitätspflicht weiterhin einen höheren Verschlüsselungsschutz für die plattforminterne Kommunikation der eigenen User Anbietern können – beispielsweise können sich Threema-User auch weiterhin untereinander verschlüsselte Nachrichten nach eigenen Verschlüsselungsstandards schreiben. Viertens vernachlässigt die Kritik häufig, dass auch die aktuell dominanten geschlossenen Plattform-Ökosysteme sehr hohe Datenschutzrisiken aufweisen, welche durch eine Interoperabilitätspflicht abgemildert werden können. So werden Nutzer:innen von großen Social-Media-Konzernen verschiedentlich dazu genötigt, die Nutzungsrechte an ihren persönlichen Daten zuzustimmen. Davon betroffen sind meist sehr sensible Daten wie Clicks und Betrachtungsdauer einzelner Beiträge, Standortdaten, Cookies, Smartphone-Kontakte, Browserverläufe etc. Insbesondere der Facebook-Konzern ist dafür berüchtigt, seine Machtposition zu missbrauchen und gegen Datenschutzbestimmungen zu verstoßen. Demgegenüber hätte Interoperabilität im Social-Media Bereich den Vorteil, dass die Nutzenden in höherem Maße selbst entscheiden können, wo ihre Daten gespeichert werden und wer Zugriff auf ihre Daten bekommen soll.

Kritik 2: Interoperabilität hemmt Innovationen

Der zweithäufigste Einwand gegen eine Interoperabilitätspflicht lautet, dass der notwendige Standardisierungsprozess ein Innovationshemmnis für technische Weiterentwicklungen darstellt. So vergleicht beispielsweise die EU-Vizepräsidentin Margrethe Vestager einen möglichen Interoperabilitätsstandard mit der SMS im Mobilfunk, die sich kaum weiterentwickelt habe und Innovationen wie Gruppenchats nicht unterstütze. Angesichts der Normierung zahlreicher aufeinander abgestimmter technischer Komponenten könne ein einheitlicher Interoperabilitätsstandard schnell zur Verkrustung der technologischen Basis von Social-Media- und Messenger-Diensten beitragen. Eine permanente Anpassung des Standards an technische Neuerungen sei dabei nicht praktikabel und sich wandelnde Bedürfnisse der Nutzer:innen blieben unerfüllt, so das Argument. Doch auch diese Kritik ist insofern einseitig, als Standardisierungen häufig auch innovationsfördernd auf nachgelagerten Märkten wirken.

So hat beispielsweise die Einführung des GSM-Mobilfunk-Standards Anfang der 90er Jahre entscheidend zu einer raschen Verbreitung von Mobiltelefonen beigetragen. Dabei vereinheitlichen technische Standards die Bedürfnisse der Nutzer:innen und reduzieren so das Risiko für unternehmerische Investitionen in technische Forschung und Entwicklung. Auf diese Weise könnten Märkte "geöffnet" und eine Diversifizierung des Angebots erreicht werden, wie es etwa auch in der Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste nahelegt wird. Die Richtlinie verdeutlicht das innovationsfördernde Potential von Standardisierungen – je tiefer der Eingriff einer Standardisierung, desto mehr Freiheit erhalten die Nutzer in Bezug auf Dienste und Software, die sie zur Interaktion mit Plattformen und anderen Nutzern verwenden können.

Kritik 3: Regulatory Capture durch große Digitalkonzerne

Wie schon in den beiden vorhergehenden Kritiken aufgezeigt, stellt der Standardisierungsprozess – die Bestimmung eines konkreten Kommunikationsprotokolls –, eine Schwachstelle dar, die den Erfolg einer Interoperabilitätsverpflichtung auf verschiedene Weisen verhindern kann. Neben einem zu geringen Verschlüsselungsniveau oder einer verschleppten Weiterentwicklung des Standards an den technischen Fortschritt kann der Standardisierungsprozess auch von mächtigen Plattformunternehmen gekapert und für eigene Interessen instrumentalisiert werden. So können staatliche Regulatoren zwar die Ziele einer Interoperabilitätspflicht vorgeben, müssen die genaue Ausgestaltung der technischen Spezifikationen jedoch Expertengremien überlassen. Der Zugang zu diesen Expertengremien ist jedoch häufig beschränkt und nicht inklusive genug, um auch die Interessen von betroffenen Akteuren mit geringem Organisationsgrad zu berücksichtigen. Insbesondere kleine Unternehmen, NGOs und Verbraucherschutzverbände können die langwierigen und technisch anspruchsvollen Verhandlungen aufgrund mangelnder Ressourcen nicht dauerhaft personell begleiten.

Demgegenüber stehen finanziell bestens ausgestattete Großkonzerne wie Facebook oder Google, die jeweils eigene Forschungsinstitute und große Lobby-Abteilungen unterhalten und sich zusammenschließen könnten, um die gemeinsame Standardentwicklung für ihre Interessen zu vereinnahmen ("Regulatory capture"). Etablierte Standard-Development-Organizations, wie etwa das European Telecommunications Standards Institute (ETSI) oder das World Wide Web Consortium (W3C), werden schon heute von großen Unternehmen mit kommerziellen Interessen dominiert. Unter diesen Bedingungen ist es wahrscheinlich, dass auch im Falle der Interoperabilitätspflicht große Digitalkonzerne ihre eigenen Verfahren in den neuen Standard einschreiben und diesen möglichst komplex gestalten, sodass die Anpassungskosten für kleinere Wettbewerber besonders hoch sind. Sie können zudem auf eine "minimale" Interoperabilitätspflicht mit geringen Vorgaben für Plattformen hinwirken, um den langfristigen Erfolg der Regulierungsmaßnahme durch eigenmächtige Weiterentwicklungen des Standards, schlechte Dokumentationen und mangelnde Compliance zu unterminieren.