Als der britische Premier Rishi Sunak Anfang November zum großen KI-Gipfel lud, da waren neben politischen Entscheidungsträgern auch Unternehmer aus der Tech-Szene – Stargast war etwa X-Eigentümer Elon Musk – eingeladen, draußen bleiben mussten hingegen Bürgerrechtler, Vertreter der organisierten Arbeitnehmerschaft sowie Menschenrechtsorganisationen wie Amnesty International.

Wenig überraschend also, dass dies knapp zwei Wochen später am anderen Ende des Kontinents noch immer für Unmut sorgte: "Da ist die Tech-Branche also in einem Raum gesessen, um über die Regulierung der Tech-Branche zu reden," erboste sich etwa Signal-Präsidentin Meredith Whittaker auf dem Web Summit in Lissabon. Dass auch in Brüssel eifrig Lobbying betrieben wird, ist ein offenes Geheimnis, das gelegentlich auch mit Zahlen untermauert wird: Laut einer Analyse der beiden NGOs Lobbycontrol und Corporate Europe Observatory (CEO) haben Tech-Unternehmen 2022 mindestens 113 Millionen Euro für Lobbying in der EU ausgegeben, nach geschätzten 97 Millionen Euro im Jahr davor.

AI Act wird auch 2024 zum Thema

Zumindest hat die EU nun ein eigenes Regelwerk für künstliche Intelligenz geschaffen, in Brüssel sieht man sich dementsprechend als Vorreiter und bezeichnet Europa als einzigen Kontinent, der eine über mehrere Staaten übergreifende KI-Regulierung hat beziehungsweise bekommt. Denn auch wenn man in den finalen Trilogverhandlungen insgesamt 38 Stunden zum Teil bis tief in die Nacht gesessen ist und sich schließlich an einem Freitagabend kurz vor Mitternacht auf einen Kompromiss geeinigt hatte – die Wirkungen des AI Act sind damit noch lange nicht zu spüren.

So müssen zunächst noch EU-Parlament und Europäischer Rat dem Ergebnis zustimmen, das gilt allerdings als reine Formsache. Gültig in allen Mitgliedstaaten ist die Verordnung dann 20 Tage nach der offiziellen Veröffentlichung, tatsächlich anwendbar ist sie aber erst zwei Jahre später. Immerhin, für manche Bereiche soll es Ausnahmen geben: Diverse Verbote gelten schon nach sechs Monaten, die Regeln für General Purpose AI nach zwölf Monaten.

Zahnloser Digital Services Act

Berechtigte Sorgen bestehen jedoch, wie sehr sich die einzelnen Marktteilnehmer und Institutionen an die Regeln halten werden – denn erst Anfang Dezember 2023 wurde bekannt, dass sich der zuvor heißdiskutierte Digital Services Act (DSA) der EU als relativ zahnlos erweist. So bringt der DSA für die Betreiber großer Plattformen strengere Regeln, etwa in Bezug auf die Moderation von Fake News oder Hassrede oder auch bezüglich irreführender Webseitengestaltung ("Dark Patterns"). Hundert Tage nach der Einführung des DSA stellte die deutsche Verbraucherzentrale Bundesverband (VZBV) in einer Untersuchung jedoch fest, dass die entsprechenden Konzerne die Umsetzung nicht allzu ernst nehmen.

Nachholbedarf sehen die Verbraucherschützer etwa im Bereich der "Dark Patterns". Darunter versteht man vereinfacht gesagt Gestaltungselemente in Websites oder Apps, die Nutzerinnen und Nutzer – etwa durch eine bestimmte Farbwahl – zu einem bestimmten Verhalten bewegen sollen. Klassischerweise ist dies die Zustimmung zur Verwendung von Tracking-Cookies oder das erschwerte Beenden eines Abos. Drei der vier untersuchten Dienstleister erschwerten das Beenden eines Services oder das Löschen eines Kontos im Vergleich zur Registrierung oder Erstellung eines Kontos, so das Ergebnis der Untersuchung.

Die großen Tech-Konzerne – definiert als "Gatekeeper" – müssen sich eigentlich seit August 2023 an die Regeln halten. Seitdem wurde Elon Musks X ebenso ermahnt wie Youtube. Bis zum 15. Jänner haben außerdem Google und Apple Zeit, Berichte über das Risikomanagement in ihren App Stores abzulegen. Kurz vor Weihnachten wurde gegen X gar ein Verfahren gestartet. Tatsächliche Strafen wurden bisher jedoch noch nicht ausgesprochen. Dabei würden theoretisch erhebliche Bußgelder von bis zu sechs Prozent des Jahresumsatzes anfallen.

Ab dem 17. Februar 2024, so heißt es aus der EU-Kommission auf Anfrage des STANDARD, "wird der mit dem Gesetz über digitale Dienste festgelegte Durchsetzungsrahmen uneingeschränkt anwendbar". Ab dann gilt eine abgespeckte Form des Regelwerks auch für kleinere Plattformen.

Strenge Sicherheitsregeln, Chatkontrolle liegt auf Eis

Doch im kommenden Jahr wird es erneut viele Gelegenheiten geben, einen gelungenen Spagat zwischen dem Einhalten von Bürgerrechten und dem Ermöglichen von Innovation zu schaffen. Bei anderen netzpolitischen Schwerpunkten steht wiederum die Sicherheit im Mittelpunkt: Bis Oktober soll etwa die Cybersicherheitsrichtlinie NIS 2 auch in Österreich in nationales Recht umgesetzt werden. Sie betrifft direkt öffentliche Einrichtungen und Unternehmen, bei der Ausarbeitung will Innenminister Gerhard Karner (ÖVP) eng mit diesen zusammenarbeiten.

Einig waren sich die EU-Institutionen gegen Jahresende auch, dass die Rechte von Arbeiterinnen auf Plattformen wie Uber oder diversen Essenslieferdiensten gestärkt werden müssen, hier geht es um Vermeidung von Scheinselbständigkeit ebenso wie um die Frage, welche Daten und Algorithmen genutzt werden dürfen. Auch hier müssen Parlament und Rat noch zustimmen, danach müssen die Staaten die Regeln innerhalb von zwei Jahren umsetzen.

Keine Einigung gab es bis Jahresende hingegen zu einem äußerst umstrittenen Thema: der verpflichtenden Chatkontrolle, bei der Betreiber von Messenger-Apps die Smartphones ihrer User nach belastendem Material durchsuchen. Die Mitgliedsstaaten konnten sich im Rat noch auf keine gemeinsame Position einigen, und danach müssen die Verhandlungen ja noch in den Trilog zwischen den drei EU-Institutionen. Eine Einigung vor der EU-Wahl 2024 kann somit ausgeschlossen werden.

Voller EU-Kalender

Im Kraft treten sollen laut der EU-Kommission im kommenden Jahr hingegen das europäische Medienfreiheitsgesetz, der zuvor beschriebene AI Act sowie das Cyberresilienzgesetz, die Regeln rund um die E-ID – die auch im Kontext der ID Austria steht – und der Data Act: Dieser soll unter anderem das Migrieren von nichtpersönlichen Daten aus vernetzten Geräten und somit auch deren Reparatur erleichtern.

Für Februar 2024 ist laut der EU-Kommission der Digital Networks Act geplant. Der fünfte EU-US-Handels-und-Technologie-Rat könnte im Jänner 2024 stattfinden, der mit Indien im Frühjahr 2024. Das gemeinsame Unternehmen für Chips wird unter anderem Pilotanlagen einrichten. Die Frist für die Einreichung von Vorschlägen für diese Pilotanlagen endet Anfang März 2024.

Gesundheitsdaten: Streitpunkt Elga-Abmeldung

Eine Liste von offenen Themen für das Jahr 2024 gibt es auf Anfrage des STANDARD ebenfalls aus dem Europäischen Parlament. Neben den bereits erwähnten Bereichen wird unter anderem erwartet, dass der Trilog zum Europäischen Raum für Gesundheitsdaten bald beginnen könnte. In dessen Kontext hatten Datenschützer Ende 2023 die Befürchtung geäußert, dass dieser die freiwillige Elga-Abmeldung ausheben könne. Florian Tursky, Staatssekretär für Digitalisierung, dementiert: "Ein Aus des Opt-out bei Elga wird es in Österreich nicht geben", teilte er der APA mit.

Digitaler Euro und Krypto-Besteuerung

Der Ausschuss für Wirtschaft und Währung (ECON) des EU-Parlaments wird sich außerdem der Einrichtung des Digitalen Euro ebenso wie der Frage widmen, wie Zahlungsdienstleister mit der Digitalwährung umgehen sollen, die zwar ihren Sitz in der EU haben, aber eine andere Währung verwenden. Am 29. Jänner will der ECON-Ausschuss außerdem über Zahlungsdienste und elektronisches Geld im gemeinsamen Markt abstimmen.

Ein im Kontext von Geld und Bezahlung relevanter Termin ist für Krypto-Fans aber wohl gleich der 1. 1. 2024: Ab diesem Datum soll die Kapitalertragssteuer (KeSt) von Krypto-Handelsplattformen in Österreich nämlich direkt von den Unternehmen einbehalten und an den Staat abgeführt werden. Dies gilt laut Angabe der Steuerberaterin Natalie Enzinger in einem Blogbeitrag auf der Plattform Coinfinity aber nicht für Bitcoin, die vor dem 1. 3. 2021 erworben wurden, sofern dies entsprechend mitgeteilt wird: Hier findet kein KeSt-Abzug statt.

Kommt die Zeitenwende?

Mit größter Spannung fiebert man aber wohl dem 7. März 2024 entgegen. Denn nach der Benennung der Gatekeeper haben diese bis dahin Zeit, um sich an die vollständige Liste der Gebote und Verbote zu halten, die im Gesetz für digitale Märkte (Digital Services Act, kurz: DMA) vorgesehen sind. Wie auch der DSA hat der DMA das Ziel, die IT-Riesen stärker in die Mangel zu nehmen und ihnen klare Regeln vorzuschreiben.

In Off-the-Record-Gesprächen heißt es von Vertretern der betroffenen Konzerne, dass man dies generell gutheiße – denn klare, einheitliche Regeln für einen ansonsten so heterogenen europäischen Markt bedeuten auch, dass man sich nur einmal anpassen muss, um im gesamten Wirtschaftsraum durchstarten zu können. Mehr Potenzial wird aber wohl bei den kleineren Alternativanbietern gesehen. Im Gespräch mit dem STANDARD betonte Christian Kroll, Gründer und CEO der grünen Suchmaschine Ecosia, wie wichtig diese Regulierung sei, um etwaige Monopole zu brechen. Die EU stehe nun am Scheideweg: Entweder es gelinge, hier harte Regeln zu definieren, mit denen kleinere europäische Anbieter florieren können und die User entsprechend profitieren, oder hier wird erneut eine Chance vergeben.

Eine erste Verwässerung zeichnet sich jedenfalls bereits ab: War Apples iMessage ursprünglich als Gatekeeper definiert und hätte sich Apple dementsprechend an Regeln – etwa die Öffnung gegenüber anderen Plattformen – halten müssen, zeichnet sich aktuell eher ab, dass das Unternehmen dieser Regelung entkommt. Eine offizielle Ankündigung dazu soll es Anfang 2024 geben. (Stefan Mey, 31.12.2023)