Der Familien-Chat und Freunde in WhatsApp, einige wiederum bei Telegram und diese eine Person, die auf Signal besteht und immer separat informiert wird. Wer soll denn da den Überblick behalten? Es ist nicht verwunderlich, dass dieses Problem sogar auf EU-Ebene behandelt wird. Wir sprechen vom Digital Markets Act (DMA), dem kürzlich das EU-Parlament zugestimmt hat und der einen fairen Wettbewerb im digitalen Markt zum Ziel hat. Wie wirkt sich die geplante Verordnung die Datenverarbeitung durch Messenger-Dienste aus?
Der Inhalt im Überblick
Digital Markets Act soll fairen Wettbewerb gewährleisten
Der Digital Markets Act (DMA) stellt große Internetkonzerne wie Apple, Amazon oder Alphabet vor neue Herausforderungen. Mithilfe dieses Gesetzes soll künftig der Markt besser reguliert werden, um die Monopolstellung der Tech-Giganten etwas aufzubrechen. Der DMA adressiert die sogenannten „Gatekeeper“, die faktisch über den Marktzugang entscheiden und daher unumgänglich für Verbraucher:innen seien.
Das Abhängigkeitsverhältnis soll mit der Verordnung nun erschwert werden. Stattdessen sollen diese Plattformen die Interoperabilität einführen, indem beispielsweise Nutzer:innen von verschiedenen Messenger-Diensten über die Plattformen hinweg miteinander kommunizieren können.
Der Verstoß gegen diese Pflichten kann teuer werden. Die EU-Kommission kann nach dem DMA Bußgelder in Höhe von bis zu 10% des weltweit erzielten Gesamtjahresumsatzes gegen Gatekeeper verhängen. Wiederholte Verstöße können sogar mit einer Geldstrafe bis zu 20% des Gesamtjahresumsatzes geahndet werden.
Was bedeutet der DMA für die marktbeherrschenden Messenger-Dienste?
Für den Messenger-Dienst WhatsApp, der zu dem großen Facebook-Konzern Meta gehört, wird wohl vor allem finanziell spürbar sein, dass Daten nur mit der Einwilligung des Nutzers zusammengeführt werden dürfen. Selbstverständlich ist bereits unter der DSGVO die Zusammenführung von personenbezogenen Daten aus verschiedenen Diensten nicht ohne eine Rechtsgrundlage möglich. Mit der letzten Änderung der AGBs von WhatsApp war es für die Nutzer:innen des Dienstes quasi unmöglich, ihre Zustimmung zum umfangreichen Datenaustausch zwischen WhatsApp, Facebook und Instagram nicht zu erteilen. Den Vorwurf gegen Facebook zur missbräuchlichen Ausnutzung der Marktstellung hatte der BGH bereits in seiner Vorabentscheidung im Juni 2020 bestätigt.
Es ist jedoch fraglich, ob die Verpflichtung aus dem DMA tatsächlich eine Verbesserung darstellen wird. Bekanntermaßen sind die US-amerikanischen Internetkonzerne besonders geschickt darin, die Informationen zur umfangreichen Nutzung von personenbezogenen Daten zu verstecken und Nutzer:innen zur Einwilligung zu verleiten.
In Erwägungsgrund 36 des Digital Markets Act heißt es hierzu:
„Damit sichergestellt ist, dass Gatekeeper die Bestreitbarkeit zentraler Plattformdienste nicht auf unlautere Weise untergraben, sollten sie ihren Endnutzern auch eine mit weniger personenbezogenen Daten verbundene Alternative anbieten, damit die Endnutzer frei entscheiden können, ob sie den betreffenden Geschäftspraktiken zustimmen wollen („Opt-in“). Dies sollte für alle möglichen Quellen personenbezogener Daten, einschließlich eigener Dienste der Gatekeeper wie auch Websites Dritter, gelten und den Endnutzern proaktiv auf explizite, klare und überschaubare Weise präsentiert werden.“
Eine transparente und verständliche Informationspflicht des Verantwortlichen sieht aber bereits Art. 12 Abs. 1 DSGVO vor und das hat bisher Facebook offensichtlich auch nicht gestört.
Signal äußert Kritik gegen den DMA
Ziel des DMA ist es, dass kleine und mittelständische Unternehmen von den neuen Vorgaben profitieren und einen erleichterten Zugang zum Markt haben. Signal verzeichnet bereits mehr als 100 Mio. Downloads im Play Store. Messenger-Dienste wie Signal werben vor allem damit, dass die Daten ihrer Nutzer sicher sind und gerade nicht für Werbezwecke verwendet werden. Eine messengerübergreifenden Nutzung stehen diese Anbieter kritisch gegenüber. So äußerte sich die Signal-Stiftung gegenüber Netzpolitik folgendermaßen:
„(…) Die Zusammenarbeit mit iMessage und WhatsApp würde letztendlich die Privatsphäre von Signal und seinen Benutzern verschlechtern. Andere Apps, die nicht die gleichen Datenschutzstandards wie Signal haben, hätten Zugriff auf große Mengen von Benutzerdaten. (…)“
Besonders die Ende-zu-Ende-Verschlüsselung sei schwer umsetzbar im Rahmen einer Interoperabilität. So werden von den verschiedenen Messenger-Diensten auch unterschiedliche kryptografische Verfahren für die Verschlüsselung eingesetzt und dies könnte bei der Übermittlung von Nachrichten oder Videocalls, beispielsweise von Signal zu WhatsApp, nicht gewährleistet werden.
Zudem müssten die einzelnen Kommunikationspartner:innen zuverlässig identifiziert werden können. Derzeit nutzt Signal zur Identifikation von Nutzer:innen die Telefonnummer, Apple für iMessage hingegen die Apple ID. Laut Netzpolitik käme ein neuer Industriestandard für diese Identifizierung in Betracht. Wie diese jedoch ausgestaltet werden kann, steht in den Sternen.
Und wie steht es mit dem Datenschutz?
Aus datenschutzrechtlicher Sicht sind die zuvor genannten Bedenken berechtigt. Inwiefern weiterhin die Grundsätze aus der DSGVO berücksichtigt werden sollen, ist bisher ungeklärt. Um die einzelnen Messenger-Dienste untereinander kommunizieren zu lassen, ist ein Austausch von Daten auf den ersten Blick unumgänglich. Als Folge könnte der Meta-Konzern personenbezogene Daten von Nutzer:innen erhalten, die sich bewusst gegen den Einsatz von WhatsApp entschieden haben.
Damit ist mindestens die Identifizierung der Kommunikationspartner:innen durch einen Datenabgleich mit der Interoperabilität verbunden. Beispielsweise wird das Telefonbuch des Endgerätes ausgelesen, um festzustellen, welche Kontaktpersonen sich bei WhatsApp, Signal oder Threema befinden. Für diese Datenübermittlung ist jedoch die Einwilligung der betroffenen Personen aus dem Telefonbuch nach Art. 6 Abs. 1 S.1 lit. a DSGVO erforderlich. Bei einer übergreifenden Nutzung muss die Einwilligung für jeden Dienst erteilt werden, um eine wirklich barrierefreie Kommunikation zwischen den Apps zu ermöglichen.
Abgesehen von den Daten für die Identifizierung verarbeitet ein Messenger-Dienst wie WhatsApp zahlreich Metadaten. Diese können bei einer Auswertung dazu geeignet sein, Nutzer:innen in Bezug auf ihr Kommunikationsverhalten zu analysieren. Wann eine Person zuletzt online war oder mit wem am häufigsten kommuniziert wird, lässt sich leicht herausfinden. Kommunizieren verschiedene Dienste miteinander, können demnach auch Metadaten unter Umständen von Drittanbietern verarbeitet werden. Hier müssten entsprechende Maßnahmen implementiert werden, um den Datensatz von WhatsApp nicht noch weiter zu füttern.
Darüber hinaus ist das altbekannte Thema der Übermittlung von personenbezogenen Daten in Länder außerhalb der EU hier relevant. Wählt man unter diesem Gesichtspunkt den Messenger-Dienst Threema mit Sitz in der Schweiz – die einem Angemessenheitsbeschluss unterliegt – ist die Datenübermittlung weitaus weniger kritisch als eine Datenübermittlung an die US-amerikanischen Messenger-Dienste.
Praktische Umsetzung noch ungeklärt
Die praktische Umsetzung der Anforderungen des DMA bereitet schon jetzt Kopfschmerzen. Wenngleich der DMA mit der Bezeichnung und Definition von Gatekeepern möglichst neutral formuliert ist, sind die Adressaten klar: Meta, Apple, Amazon und Alphabet. Die Verpflichtungen, die sich aus dem DMA ergeben, erinnern an (manchmal weniger erfolgreiche) Ausgänge von wettbewerbsrechtlichen Verfahren gegen diese Konzerne.
Angesichts der vielen Schwierigkeiten aus dem Datenschutz und der Informationssicherheit werden wohl oder übel Meta und Apple Lösungen erarbeiten müssen, die ihren neuen Pflichten genügen. Natürlich kann das DMA aber auch einen gegenteiligen Effekt haben: WhatsApp gewinnt mehr Macht, da Nutzer:innen keine weiteren Apps mehr nutzen müssen. Es bleibt abzuwarten, ob der Digital Markets Act den gewünschten abschreckenden Charakter haben wird und den Markteintritt wie gewünscht reguliert.
Nach der formellen Zustimmung durch den Rat der Europäischen Union und einer Übergangsfrist von sechs Monaten soll die Verordnungen in allen EU-Mitgliedsstaaten unmittelbar und direkt gelten.