Die Politik des systemischen Risikos im Digital Services Act
12/2025
1. Einleitung
In einer Kurzgeschichte aus dem Jahr 1942 erklärt uns der argentinische Autor Jorge Luis Borges, dass Tiere in 14 Kategorien unterteilt werden können. Dazu gehören unter anderem „streunende Hunde“, „Sirenen“, „dem Kaiser gehörende“, „fabelhafte“, „in der vorliegenden Klassifizierung enthaltene“ und „etc.“.
Im Jahr 2022 verabschiedete die Europäische Union (EU) den Digital Services Act (DSA), mit dem die Regulierung digitaler Vermittlungsdienste, insbesondere von Plattformen, die nutzergenerierte Inhalte veröffentlichen, überarbeitet wurde. Artikel 34 Absatz 1 des DSA ist der Taxonomie von Borges nicht ganz unähnlich. Er verpflichtet Unternehmen, die „sehr große Online-Plattformen“ (mit mehr als 45 Millionen EU-Nutzern) betreiben, regelmäßig die Risiken zu bewerten und zu mindern, die mit dem Betrieb und der Nutzung ihrer Dienste in den folgenden Bereichen verbunden sind: Verbreitung illegaler Inhalte; negative Auswirkungen auf Grundrechte; negative Auswirkungen auf den zivilen Diskurs, Wahlprozesse oder die öffentliche Sicherheit; und negative Auswirkungen auf geschlechtsspezifische Gewalt, den Schutz der öffentlichen Gesundheit, den Schutz Minderjähriger und schwerwiegende negative Folgen für das körperliche und geistige Wohlbefinden der Menschen. Wie die Liste von Borges sind diese Kategorien in ihrer offensichtlichen Zielsetzung, ihrem Gegenstand und ihrem Abstraktionsgrad heterogen, teilweise extrem weit gefasst oder vage definiert und insgesamt etwas inkohärent.
Bezeichnenderweise führt Borges seine Taxonomie auf eine fiktive Übersetzung einer chinesischen Enzyklopädie durch einen realen deutschen Übersetzer, Franz Kuhn, zurück. Viele seiner Geschichten enthalten ähnliche (halb-)fiktive Zuschreibungen. Ein Effekt dieses literarischen Mittels ist es, die situative und sozial konstruierte Natur von Wissen und Erzählungen hervorzuheben. Auffallend seltsame Ideen, wie die Bibliothek, die alle möglichen Bücher enthält, oder die Karte, die genauso groß ist wie das Gebiet, das sie abbildet, werden nicht nur als abstrakte intellektuelle Kuriositäten präsentiert – sie kommen von irgendwoher und werden von jemandem vermittelt. Borges‘ Werk legt nahe, dass Texte niemals statisch sind: Während sie sich verbreiten, werden sie aktiv interpretiert, übersetzt und in unterschiedlichen Kontexten rekonstruiert. Ebenso haben Rechtstexte keine feststehende Bedeutung: Was ein Gesetz in der Praxis bedeutet, hängt davon ab, wie es von bestimmten Personen und Institutionen unter bestimmten Bedingungen interpretiert und angewendet wird. In der Praxis kann Artikel 34 Absatz 1 nicht alles gleichzeitig bedeuten, aber seine Bedeutung ist auch nicht statisch oder vorgegeben. Was systemisches Risikomanagement in der Praxis bedeutet, wird davon abhängen, wie Regulierungsbehörden, Unternehmen und andere Interessengruppen die DSA im Einklang mit ihren eigenen materiellen Interessen und politischen Präferenzen interpretieren und wie sie versuchen, die Interpretationen der anderen zu beeinflussen und anzufechten.
Diese Punkte sind nicht besonders originell, aber das gilt auch für den Regulierungsansatz der DSA. Risikomanagement wird von vielen Wissenschaftlern als zentrales Organisationsprinzip des modernen Regulierungsstaates oder moderner industrialisierter Gesellschaften im Allgemeinen angesehen. Risikomanagementpflichten für Unternehmen sind in vielen Regulierungsbereichen, einschließlich des digitalen Rechts, allgegenwärtig geworden. Risikobasierte Regulierungsansätze wurden auch von Wissenschaftlern aus verschiedenen Bereichen, darunter Rechts- und Regulierungswissenschaften, Politikwissenschaft, Soziologie sowie Wissenschafts- und Technikforschung, ausführlich untersucht und kritisiert. Auf der Grundlage dieser Literatur zielt dieser Artikel darauf ab, die politischen Implikationen einer Einordnung aller Arten von Fragen im Zusammenhang mit der Plattform-Governance als Risiken, die es zu managen gilt – und zwar speziell durch interne Unternehmensverfahren –, kritisch zu reflektieren.
Der DSA-Rahmen für systemische Risiken hat bereits erhebliche akademische Aufmerksamkeit auf sich gezogen, wobei ein Großteil davon ihn in Bezug zu früheren wissenschaftlichen Arbeiten zum Risikomanagement und zur Risikoregulierung setzt. In der Regel konzentriert sich diese Literatur darauf, die Fähigkeit des Rahmens zur Erreichung von Zielen wie Rechenschaftspflicht, Effizienz oder Schutz der Grundrechte zu bewerten, Probleme wie die Gefahr der Unternehmensvereinnahmung hervorzuheben und/oder praktische Ratschläge zu geben, wie VLOPs und Regulierungsbehörden das Risikomanagement angehen sollten. All dies lässt sich im weitesten Sinne als funktionalistische Analyse bezeichnen, da sie von der Grundprämisse ausgeht, dass bestimmte soziale Auswirkungen großer Online-Plattformen Risiken darstellen, die gemanagt werden müssen, und sich darauf konzentriert, wie dies wirksam erreicht werden kann.
Dieser Artikel verfolgt einen etwas anderen Ansatz und leistet zwei wesentliche Beiträge. Anstatt zu bewerten, wie „effektiv” die DSA bestimmte Ziele erreichen wird, trete ich einen Schritt zurück und stelle eine logisch vorrangige Frage: Welche Auswirkungen hat es überhaupt, wenn die politischen Ziele in Form von „Risiken” formuliert werden? Zweitens vertrete ich eine explizit sozialkonstruktivistische Sichtweise von Risiko als „eine Art und Weise, Ereignisse so darzustellen, dass sie auf bestimmte Weise, mit bestimmten Techniken und für bestimmte Ziele steuerbar gemacht werden können”.
Sozialkonstruktivistische Perspektiven betonen, dass der Begriff „Risiko“ grundsätzlich mehrdeutig und interpretationsfähig ist. Das bedeutet jedoch nicht, dass die Konstruktion von Risiken völlig willkürlich oder offen ist. Vielmehr wird sie durch bestehende materielle und institutionelle Strukturen sowie durch die Ziele, Interessen und die relative Macht und Ressourcen der Akteure geprägt, die Risikomanagementtechniken im Dienste bestimmter politischer Ziele einsetzen. Entscheidend ist, dass „einige Menschen eine größere Fähigkeit haben, Risiken zu definieren als andere“. Doch oft dient die Betonung des technischen Fachwissens des privaten Sektors, die für Risikovorschriften wie die DSA charakteristisch ist, dazu, politische Meinungsverschiedenheiten und widersprüchliche Interessen zu entschärfen und zu verschleiern. Indem systemische Risiken als sozial konstruiert theoretisiert werden, bietet der Artikel neue Einblicke darin, wie mächtige Akteure – darunter insbesondere VLOPs, aber auch Regulierungsbehörden und andere staatliche Institutionen – über eine übergroße Macht verfügen, um zu bestimmen, wie Risiken verstanden und gemanagt werden.
Ich konzentriere mich dabei auf zwei große Themen: die diskursiven Effekte der „Risiko“-Framing und die institutionelle Struktur der Risikomanagementpflichten von Unternehmen. In beiden Fällen ziehe ich Vergleiche und Erkenntnisse aus der kritischen Literatur zur Risikoregulierung in anderen Bereichen heran, um den Gesetzestext der DSA und die bisher verfügbaren Erkenntnisse zu ihrer Umsetzung zu analysieren. Dies hilft, den risikobasierten Regulierungsansatz der DSA in den Kontext längerfristiger (De-)Regulierungstrends zu stellen und aufzuzeigen, wie er die Vereinnahmung durch Unternehmen begünstigen und gleichzeitig politische Auseinandersetzungen über die zugrunde liegenden Ziele und Werte, die die Technologie und ihre Regulierung prägen, ausklammern könnte.
Die relativ neue Ausweitung der Risikoregulierung auf Medien- und Kommunikationsplattformen erfordert jedoch eine Wissenschaft, die über die bestehende Literatur zum Risikomanagement von Unternehmen hinausgeht. Angesichts des Interesses staatlicher Akteure, die Konstruktion von Risiken im Zusammenhang mit Online-Medien und -Kommunikation so zu gestalten, dass sie politische Repression rechtfertigen, kommt der Artikel zu dem Schluss, dass die Wissenschaft zu Risiken in den Bereichen Sicherheit, Strafverfolgung und Terrorismusbekämpfung nützliche Perspektiven für die zukünftige Forschung bieten könnte. Beispielsweise könnte sie dazu beitragen, die gemeinsame Produktion von Risiken durch staatliche und unternehmerische Akteure, die Einstufung bestimmter Personen und sozialer Gruppen als „risikobehaftet“ und den Einsatz algorithmischer Technologien zur Risikosteuerung zu theoretisieren sowie empirische Methoden aufzuzeigen, die Aufschluss darüber geben könnten, wie systemische Risiken der DSA in der Praxis konstruiert werden.
Diese Analyse konzentriert sich zwar auf die DSA, doch sind diese Erkenntnisse und Forschungsansätze von allgemeinerer Relevanz: Viele andere Initiativen zur Regulierung von Technologien in der EU und anderswo sowie Regulierungsbemühungen in anderen Bereichen wie der Nachhaltigkeit verfolgen einen ähnlichen Regulierungsansatz. Da Sorgfaltspflichten und Risikominderungsmaßnahmen von Unternehmen zunehmend zu einer allgegenwärtigen Antwort auf alle möglichen politischen Probleme werden, muss die Wissenschaft über interne Kritik an der „Wirksamkeit“ dieser Vorschriften hinausgehen und grundlegendere Fragen stellen, welche Probleme sie lösen und wessen Interessen sie dienen.
2. Risikoregulierung in der DSA
A. Der Rahmen für das Management systemischer Risiken
Der Rahmen für systemische Risiken der DSA ist in Kapitel III Abschnitt 5 festgelegt und gilt nur für die größten Online-Plattformen („VLOPs“, definiert in Artikel 33 als Plattformen mit mehr als 45 Millionen aktiven Nutzern pro Monat in der EU). Online-Plattformen sind in Artikel 3 Buchstabe i definiert als Online-Vermittlungsdienste, die nutzergenerierte Inhalte der Öffentlichkeit zugänglich machen: Dazu gehören insbesondere soziale Medien sowie E-Commerce- und Erwachseneninhalte-Plattformen, die Inhalte Dritter hosten. Abschnitt 5 gilt auch für Suchmaschinen (in Artikel 3 Buchstabe j definiert als Dienste, die es Nutzern ermöglichen, Websites anhand von Stichwörtern oder anderen Eingaben abzufragen) mit mehr als 45 Millionen Nutzern.
Derzeit sind 25 Dienste als VLOPs ausgewiesen. Zu ihren Eigentümern zählen Unternehmen wie Meta (Eigentümer von Facebook und Instagram), Alphabet (Eigentümer von Google und YouTube) und Microsoft (Eigentümer von LinkedIn), die zu den größten der Welt gehören, sowie Unternehmen, die zwar kleiner sind, aber ihre jeweiligen Märkte dominieren, wie TikTok und Pornhub. In den letzten Jahren haben diese „Big Tech“-Plattformen zunehmend die Aufmerksamkeit von Politikern, Medien und der Öffentlichkeit auf sich gezogen – mit verschiedenen spezifischen politischen Anliegen wie Desinformation und psychische Gesundheit von Kindern, eher strukturellen politisch-wirtschaftlichen Fragen wie konzentrierter Unternehmensmacht und Konflikten zwischen Grundwerten wie dem Spannungsfeld zwischen (unterschiedlichen Auffassungen von) Meinungsfreiheit und öffentlicher Sicherheit.
Die Artikel 34 bis 35 stellen wohl die wichtigste Maßnahme der DSA dar, um diesen Bedenken Rechnung zu tragen. Die meisten anderen Verpflichtungen der DSA haben einen engeren Anwendungsbereich und konzentrieren sich in der Regel auf die Rechte einzelner Nutzer, die Entfernung illegaler Inhalte oder Transparenz. Im Gegensatz dazu befassen sich die Artikel 34 bis 35 ausdrücklich mit „systemischen“ Fragen sowie kollektiven und sozialen Interessen. Artikel 34 Absatz 1 verpflichtet VLOPs, „systemische Risiken in der Union, die sich aus der Gestaltung oder dem Betrieb ihres Dienstes und der damit verbundenen Systeme, einschließlich algorithmischer Systeme, oder aus der Nutzung ihrer Dienste ergeben, sorgfältig zu ermitteln, zu analysieren und zu bewerten“. Dies muss die folgenden Bereiche umfassen:
- Verbreitung illegaler Inhalte;
- negative Auswirkungen auf die Grundrechte;
- negative Auswirkungen auf den zivilgesellschaftlichen Diskurs, Wahlprozesse oder die öffentliche Sicherheit;
- negative Auswirkungen auf geschlechtsspezifische Gewalt, den Schutz der öffentlichen Gesundheit, den Schutz Minderjähriger und schwerwiegende negative Folgen für das körperliche und geistige Wohlbefinden der Menschen
Die Bewertungen müssen mindestens einmal jährlich und vor der Einführung von „Funktionalitäten, die wahrscheinlich erhebliche Auswirkungen auf die ermittelten Risiken haben“, durchgeführt werden. Artikel 35 verpflichtet VLOPs dann zur Umsetzung „angemessener, verhältnismäßiger und wirksamer Maßnahmen zur Risikominderung“. Artikel 37 schreibt unabhängige Audits der Risikobewertungen und Abhilfemaßnahmen vor. Ihre Angemessenheit wird letztlich von der Kommission (die mit einer Reihe von Untersuchungsbefugnissen ausgestattet ist und Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes verhängen kann: siehe Kapitel IV, Abschnitt 4) unter Mitwirkung des Europäischen Ausschusses für digitale Dienste (EBDS), der die nationalen Regulierungsbehörden vertritt (Artikel 63), überwacht.
Wie in der Einleitung erwähnt, ist der Anwendungsbereich dieser Artikel außerordentlich weit gefasst. Mir fällt beispielsweise kein viel diskutiertes Thema im Bereich der Plattform-Governance ein, das nicht in irgendeiner Weise im Rahmen der Grundrechte betrachtet werden könnte (was nicht bedeutet, dass dies immer der sinnvollste Ansatz ist). Versuche, die Auswirkungen auf die Grundrechte zu definieren, können zumindest auf eine umfangreiche EU- und internationale Rechtsprechung, wissenschaftliche Literatur und andere Rechtsquellen zurückgreifen. Andererseits ist „ziviler Diskurs“ weder ein etablierter Rechtsbegriff noch in der DSA definiert, und es gibt kaum einen Konsens darüber, was einen guten oder schlechten zivilen Diskurs ausmacht. Mit den Worten von Martin Husovec lautet die allgemeine Botschaft von Artikel 34 Absatz 1, dass Plattformunternehmen etwas gegen Risiken für „alles, was wir schätzen“ unternehmen sollten. Das Problem besteht nicht nur darin, dass Menschen unterschiedliche Dinge schätzen, sondern auch darin, dass sie diese sehr unterschiedlich verstehen.
Die Artikel 34 bis 35 enthalten einige weitere begrenzte Leitlinien. Artikel 34 Absatz 2 besagt, dass bei der Risikobewertung Folgendes zu berücksichtigen ist:
- die Gestaltung von Empfehlungssystemen und anderen algorithmischen Systemen;
- Systeme zur Moderation von Inhalten;
- die Nutzungsbedingungen und deren Durchsetzung;
- Werbesysteme;
- „datenbezogene Praktiken“;
- „vorsätzliche Manipulation“ des Dienstes;
- Verbreitung von Inhalten, die illegal sind oder gegen die Allgemeinen Geschäftsbedingungen verstoßen;
- „regionale und sprachliche Aspekte“
Artikel 35 Absatz 1 enthält eine Liste von zwölf beispielhaften Arten von Risikominderungsmaßnahmen, darunter unter anderem die folgenden äußerst weit gefassten Kategorien:
- „Anpassung der Gestaltung, der Funktionen oder der Funktionsweise“ von Diensten;
- Anpassung von Systemen zur Moderation von Inhalten, Empfehlungen und anderen algorithmischen Systemen;
- „Verstärkung der internen Prozesse, Ressourcen, Tests, Dokumentation oder Überwachung aller ihrer Aktivitäten“
Insgesamt sind diese zusätzlichen Leitlinien ebenfalls sehr weitreichend, allgemein und abstrakt. Sie dienen weniger der Klärung der Auslegung der Artikel 34 bis 35 als vielmehr der weiteren Ausweitung des Spektrums möglicher Auslegungen, indem sie klarstellen, dass Aspekte, die nicht anderweitig im Mittelpunkt der DSA stehen, wie z. B. das Design von Schnittstellen oder interne Betriebsabläufe, ebenfalls in den Anwendungsbereich fallen.
Die DSA schafft auch zahlreiche Möglichkeiten, die Auslegung der Artikel 34 bis 35 im Laufe der Zeit durch delegierte Rechtsvorschriften, Soft Law und Industriestandards zu präzisieren. Die Kommission und die EBDS können beide Leitlinien herausgeben, die zwar nicht offiziell verbindlich sind, aber wahrscheinlich Einfluss haben werden (z. B. durch die Festlegung von Erwartungen an die Durchsetzungsstrategie der Kommission). Artikel 45 sieht auch die Ausarbeitung von Verhaltenskodizes vor, die in erster Linie von den regulierten Unternehmen unter Aufsicht und mit Beiträgen der Kommission und des EDBS zu entwickeln sind. Die Nichteinhaltung der einschlägigen Kodizes könnte ein Grund für Durchsetzungsmaßnahmen sein. Schließlich werden Prüfungsstandards und Bewertungsmetriken wahrscheinlich einen erheblichen Einfluss darauf haben, wie Unternehmen die Einhaltung der Vorschriften in der Praxis angehen und wie die Einhaltung durch die Regulierungsbehörden bewertet wird. Beratungsdienste, sowohl von den „Big Four“ als auch von spezialisierten Beratungsunternehmen für Plattformregulierung wie Tremau mit Sitz in Paris, könnten ebenfalls eine wichtige Rolle bei der Gestaltung der Compliance-Praktiken von VLOPs spielen.
Die DSA sieht auch eine Rolle für die Zivilgesellschaft und unabhängige Experten vor. In einigen Fällen werden diese Akteure VLOPs und Regulierungsbehörden direkt beraten: So sieht Erwägungsgrund 90 vor, dass VLOPs während ihrer Risikobewertungsprozesse Organisationen konsultieren sollten, die relevante Interessengruppen vertreten, während Artikel 45 die Beteiligung der Zivilgesellschaft an der Ausarbeitung von Verhaltenskodizes vorsieht. Generell sollen unabhängige Forscher – insbesondere Wissenschaftler – Erkenntnisse liefern, um das Risikomanagement zu steuern (das gemäß Erwägungsgrund 90 „auf den besten verfügbaren Informationen und wissenschaftlichen Erkenntnissen beruhen“ soll) und die Umsetzung des Risikomanagementrahmens durch VLOPs und Regulierungsbehörden zu überwachen. Insbesondere Artikel 40 verpflichtet VLOPs, Daten zur Verfügung zu stellen, um Forschungen zu erleichtern, die „zur Erkennung, Identifizierung und zum Verständnis systemischer Risiken beitragen“. Der Zugang zu Daten hat als Mittel zur Stärkung der Rechenschaftspflicht von Plattformen gegenüber der Öffentlichkeit große Aufmerksamkeit von Forschern und der Zivilgesellschaft auf sich gezogen. Es könnten jedoch Fragen zu den für eine solche unabhängige Aufsicht verfügbaren Ressourcen und Kapazitäten sowie dazu aufgeworfen werden, ob die institutionellen Anreizstrukturen für die akademische Forschung mit den Zielen der Regulierungsaufsicht im Einklang stehen.
B. Einordnung des Ansatzes der DSA zur Risikoregulierung
Es mag etwas überraschen, dass die DSA so viele unterschiedliche Werte, Anliegen und Aspekte der Plattform-Governance in Form von zu bewältigenden Risiken formuliert. Risiken werden im Allgemeinen als mögliche schädliche zukünftige Ereignisse verstanden, die klassischerweise nach Wahrscheinlichkeit und Schwere quantifiziert werden. Die DSA befasst sich in der Regel nicht mit konkreten schädlichen Ereignissen, die eintreten können oder auch nicht, sondern mit den anhaltenden, diffusen und oft indirekten Auswirkungen der Geschäftstätigkeit von VLOPs. Empirisch sind solche Auswirkungen in der Regel höchst umstritten. So besteht beispielsweise erhebliche wissenschaftliche Unsicherheit und Uneinigkeit über die Auswirkungen von Plattformen auf Themen wie Desinformation, politische Polarisierung und psychische Gesundheit von Kindern, die sich bis zu grundlegenden Fragen der Prävalenz und Kausalität sowie der Auswirkungen politischer Maßnahmen erstrecken. Grundlegender noch: Angesichts der im Wesentlichen unbestimmten und umstrittenen Bedeutung von Begriffen wie Grundrechte, ziviler Diskurs oder öffentliche Sicherheit erscheinen probabilistische Ansätze zur Bewertung negativer Auswirkungen nicht nur wertbeladen und umstritten, sondern in gewisser Weise auch willkürlich.
Aus einer anderen Perspektive ist der Regulierungsansatz des DSA jedoch typisch. In den letzten Jahrzehnten wurden die Verpflichtungen zum Risikomanagement in einer Vielzahl von Regulierungsbereichen – von der Umweltverschmutzung über die Finanzstabilität bis hin zu den Lieferketten multinationaler Unternehmen – stetig ausgeweitet. Oft werden die betreffenden Risiken weitaus fluider und wertgeladener definiert, als es die klassische Definition von Wahrscheinlichkeit und Schweregrad vermuten lässt. So verpflichten beispielsweise verschiedene bewährte Verfahren der Industrie, Soft-Law-Verpflichtungen und – zunehmend – verbindliche Rechtsrahmen Unternehmen dazu, „Menschenrechts-Due-Diligence-Prüfungen“ durchzuführen und verschiedene „ökologische, soziale und governancebezogene“ Risiken zu bewerten. Dementsprechend hat sich die Risikobewertung über quantitative und probabilistische Ansätze hinaus erweitert und umfasst nun eine Reihe flexiblerer, qualitativer und offener Bewertungstechniken.
In Regulierungssystemen wie der DSA fungiert „Risiko“ weniger als definierter Ansatz zur Identifizierung, Quantifizierung und Prävention von Schäden, sondern eher als „Grenzobjekt“ oder gemeinsame Sprache, die dazu beitragen kann, eine Vielzahl institutioneller Praktiken, Techniken und Ressourcen für unterschiedliche Regulierungsziele zu mobilisieren. Seine Mehrdeutigkeit ist Teil dessen, was ihn so nützlich macht. Es überrascht daher nicht, dass der Begriff „Risikoregulierung“ auch in unterschiedlichen Kontexten und mit unterschiedlichen, sich manchmal überschneidenden Bedeutungen verwendet wird. Dieser Artikel beleuchtet drei allgemeine Regulierungstraditionen, deren Einfluss in der DSA besonders deutlich wird.
Erstens können Regulierungsziele im Hinblick auf die Steuerung von Risiken für die Öffentlichkeit formuliert werden. Hood, Rothstein und Baldwin haben Risikoregulierung einflussreich als „staatliche Eingriffe in Markt- oder Sozialprozesse zur Kontrolle potenzieller negativer Folgen“ definiert. Diese Definition enthält keine Angaben dazu, wie restriktiv Regierungen Unternehmen regulieren sollten. Wie sie zeigen, haben „Risikoregulierungsregime” – ihr Begriff für die Gesamtheit der staatlichen und nichtstaatlichen Akteure, Institutionen, Normen und Praktiken, die an der Regulierung bestimmter Bereiche beteiligt sind – sehr unterschiedliche politische Ziele, Regulierungsinstrumente und institutionelle Regelungen, die ein breites Spektrum von strengeren bis zu eher laissez-faire-orientierten Ansätzen umfassen.
Dennoch findet die Formulierung der Regulierungsziele in dieser Weise in mehrfacher Hinsicht Anklang bei deregulierenden Ideologien. Das Verständnis von Regulierung als „Einmischung“ in Märkte setzt eine apriorische Trennung zwischen Märkten und Regulierung voraus, was impliziert, dass erstere ohne letztere in einem natürlichen Zustand existieren würden – und dass die Standardoption Nicht-Einmischung sein sollte, außer wenn Regulierung zur Verhinderung spezifischer Schäden gerechtfertigt ist. Diese „marktnaturalistische” Sichtweise verschleiert subtilere Formen der Marktstrukturierung durch staatliche Politik (die oft aktiv die Konzentration von Reichtum und Macht begünstigen) und kann von strukturellen Reformen abhalten, indem sie den Fokus auf schrittweise Reformen zur Minderung spezifischer negativer Externalitäten von Unternehmensaktivitäten lenkt. In der Praxis geht die Regulierung von Risiken oft mit einer „Kosten-Nutzen-Analyse” einher, die umfangreiche Nachweise für die Rechtfertigung regulatorischer Eingriffe erfordert und so viele Beschränkungen für unternehmerische Aktivitäten verhindert. Schließlich findet dieser Ansatz in der Technologieregulierung auch Widerhall in vorherrschenden Narrativen, die Regulierung als einen Kompromiss zwischen Sicherheit und Innovation darstellen. Er legt nahe, dass Regierungen marktgetriebene Innovationen maximal zulassen sollten, solange negative Folgen kontrolliert werden – anstatt die zugrunde liegenden Ziele und Interessen zu hinterfragen, die darüber entscheiden, welche technologischen „Innovationen” der Privatsektor entwickelt.
Diese Tendenzen sind in den Artikeln 34–5 DSA erkennbar. Die Regulierungsziele sind auf die Verhinderung spezifischer „negativer Auswirkungen” der Aktivitäten von VLOPs ausgerichtet, was impliziert, dass diese nach Minderung dieser spezifischen Risiken ansonsten wie gewohnt weitergeführt werden können. Es erscheint wahrscheinlich, dass die Durchsetzung dieses speziellen Regulierungssystems eher am interventionistischen Ende des Spektrums liegen wird: Die Kommission hat im ersten Jahr ihres Bestehens fünf Durchsetzungsmaßnahmen eingeleitet. Jede Durchsetzung kann jedoch vor Gericht angefochten werden – von sehr finanzstarken Unternehmen mit erstklassigen Rechtsteams – und erfordert daher eine solide Beweisführung.
Zweitens bezieht sich der Begriff „Risiko“ in der sogenannten risikobasierten Regulierung nicht auf die Ziele des Systems, sondern auf die Zuweisung öffentlicher Ressourcen. Regulatorische Verpflichtungen und/oder die Aufsicht konzentrieren sich auf Unternehmen oder Aktivitäten, die als besonders risikoreich für die Ziele des Regulierungssystems angesehen werden – oft anhand standardisierter Indikatoren, die sich an dem klassischen Wahrscheinlichkeits-/Schweregrad-Ansatz orientieren. Dies überschneidet sich häufig mit Ansätzen der „reaktiven Regulierung“, bei denen die Aufsicht davon abhängt, wie konform oder kooperativ Unternehmen in der Vergangenheit waren. Wie die führende Regulierungsexpertin Julia Black betont, ist die Tatsache, dass Behörden nur über begrenzte Ressourcen verfügen und keine perfekte Compliance erreichen können, kein Alleinmerkmal risikobasierter Regulierungssysteme. Vielmehr versucht die risikobasierte Regulierung, dieses allgegenwärtige Problem ausdrücklich anzuerkennen und strukturiert zu bewältigen. Durch die Betonung einer evidenzbasierten und effizienten Nutzung staatlicher Ressourcen steht die risikobasierte Regulierung jedoch auch im Einklang mit dem Ethos der neoliberalen Ära, in der in vielen Bereichen der Regierung Ausgaben gekürzt wurden und deregulierende Ideologien vorherrschten, wonach staatliche Beschränkungen für Unternehmen nur in klar begründeten Fällen zulässig sind.
Die abgestufte Struktur der DSA, in der VLOPs aufgrund ihrer großen Nutzerbasis strengeren Verpflichtungen unterliegen, steht eindeutig im Einklang mit der risikobasierten Regulierung. Der Einfluss risikobasierter Ansätze zeigt sich jedoch auch in der Art und Weise, wie die regulatorischen Verpflichtungen für VLOPs umgesetzt werden. Mindestens eine DSC, die Irish Media Commission (CnaM), verfolgt einen explizit risikobasierten Ansatz und bewertet Unternehmen anhand formalisierter Risikofaktoren, um Prioritäten für die Überwachung und Durchsetzung festzulegen. Beamte der Kommission haben erklärt, dass sie bei der Durchsetzung der DSA einen weitgehend reaktiven Ansatz verfolgen, dem Dialog mit VLOPs und freiwilligen Verpflichtungen Vorrang einräumen und formelle Durchsetzungsmaßnahmen nur als letztes Mittel einsetzen.
Schließlich kann das Risikomanagement die Grundlage für die institutionelle Struktur von Regelungen bilden, die – wie die DSA – von Unternehmen verlangen, bestimmte Risiken für die Öffentlichkeit zu managen. Die Regulierungsbehörden spielen eine sekundäre Rolle bei der Überwachung der Angemessenheit dieser internen Risikomanagementsysteme, weshalb dieser Ansatz manchmal auch als „Metaregulierung“ bezeichnet wird. Im Endeffekt zielt er darauf ab, bestehende Unternehmenssysteme und -ressourcen – darunter insbesondere das „Enterprise Risk Management“ (ERM) und die für die Bewältigung kommerzieller Risiken entwickelten Prüfungsverfahren – zu nutzen und sie auf eine breitere Palette von politischen Zielen auszurichten.
Dieser Ansatz, der historisch mit der Finanzregulierung verbunden ist, hat sich in zahlreichen Bereichen durchgesetzt, darunter insbesondere im Datenschutz und in der Technologieregulierung sowie im Bereich Wirtschaft und Menschenrechte. „Sorgfaltspflichten“ für multinationale Unternehmen zur Bewertung und Minderung von Menschenrechts- und Nachhaltigkeitsrisiken in ihren Wertschöpfungsketten haben sich rasch zu einer „neuen globalen Orthodoxie“ entwickelt, die sich von einflussreichen Soft-Law-Standards wie den Allgemeinen Grundsätzen der Vereinten Nationen auf Rechtsordnungen in mehreren Rechtsordnungen ausgeweitet hat, darunter (im Anschluss an die Richtlinie über die Sorgfaltspflicht von Unternehmen im Bereich der Nachhaltigkeit von 2024) die EU. Die Artikel 34 bis 35 DSA können als Ergebnis einer gegenseitigen Befruchtung dieser Regulierungsansätze angesehen werden: Sie nutzen metaregulatorische Instrumente, um die Gestaltung und den Betrieb komplexer technologischer Systeme zu regulieren, definieren ihre Ziele jedoch anhand von Grundrechten und anderen abstrakten Werten.
Die Forschung zu Metaregulierung identifiziert mehrere Vorteile: Sie ist flexibler und kontextsensitiver als verbindliche branchenweite Standards und ermöglicht es Regulierungsbehörden, die technischen und finanziellen Ressourcen von Unternehmen sowie deren umfassendere Branchen- und Unternehmenskenntnisse zu nutzen. Andererseits haben Wissenschaftler darauf hingewiesen – und dies empirisch detailliert dokumentiert –, dass sie Unternehmen offensichtlichen Spielraum für eine eigennützige Auslegung von Regulierungszielen und -standards bietet und möglicherweise die Kapazitäten des öffentlichen Sektors untergräbt. Aus beiden Perspektiven stehen metaregulatorische Ansätze erneut im Einklang mit Deregulierungsagenden, die davon ausgehen, dass Regierungen sich der Expertise des privaten Sektors unterordnen sollten und dass regulatorische Verpflichtungen so gestaltet sein sollten, dass sie die Belastungen für die Wirtschaftstätigkeit minimieren.
Zusammenfassend lässt sich sagen, dass der Risikomanagementrahmen der DSA auf allen drei identifizierten Regulierungstraditionen aufbaut – was nicht verwunderlich ist, da alle drei in verschiedenen Regulierungsbereichen, einschließlich anderer Bereiche der EU-Technologieregulierung, zunehmend an Popularität gewonnen haben. Jede der drei Traditionen ist grundsätzlich mit einer Vielzahl von Regulierungszielen und -strategien vereinbar, einschließlich restriktiverer und vorsorglicher Ansätze. Allerdings zeigen sie generell den Einfluss der neoliberalen Ära der Privatisierung und Deregulierung, in der sie entstanden sind: Sie passen gut zu der Annahme, dass das Fachwissen des privaten Sektors der öffentlichen Aufsicht überlegen ist und dass Regulierungsbehörden nur im unbedingt notwendigen Umfang in die Freiheit und Gewinne von Unternehmen „eingreifen“ sollten. Wie im weiteren Verlauf dieses Artikels näher dargelegt wird, sind diese ideologischen Einflüsse auch in der DSA erkennbar.
C. Die soziale Konstruktion systemischer Risiken
Eine Kernprämisse dieses Artikels ist, dass Risiken sozial konstruiert sind. Das bedeutet nicht, dass Schäden und Gefahren nicht wirklich existieren – beispielsweise, dass VLOPs keinen Einfluss auf das psychische Wohlbefinden, den zivilgesellschaftlichen Diskurs oder Grundrechte haben –, sondern vielmehr, dass es keine „objektive” Möglichkeit gibt, solche Auswirkungen zu konzeptualisieren, zu messen und darauf zu reagieren. Aufbauend auf Foucaults Ansätzen zur Theoretisierung der Wechselbeziehung zwischen Wissen und Macht sowie auf Latour’s Perspektiven zur sozialen Konstruktion wissenschaftlicher Erkenntnisse hat die sozialkonstruktivistische Forschung gezeigt, wie die Prozesse, durch die Probleme als solche erkannt, als „Risiken” definiert, bewertet und schließlich gemindert werden, von sozialen Institutionen, materiellen Bedingungen und Machtverhältnissen geprägt sind. Darüber hinaus geht es bei der Risikobewertung nicht um Wissen um seiner selbst willen, sondern grundlegend darum, Entscheidungsprozesse zu informieren. Dementsprechend hängt die Definition von Risiken zwangsläufig von den Zielen und Werten der am Risikomanagement beteiligten Organisationen ab – und oft auch von Verhandlungen und Konflikten zwischen Akteuren mit konkurrierenden Zielen. Dies umfasst sowohl Top-down-Prozesse, in denen politische Akteure Beweise mobilisieren und für ihre bevorzugten Problemformulierungen und Prioritäten eintreten, als auch eher Bottom-up-Prozesse, in denen die alltäglichen Wissensproduktionspraktiken von Fachleuten wie Wissenschaftlern, Beratern oder Datenwissenschaftlern die Grundlage für ein gemeinsames Risikoverständnis bilden.
In diesem Zusammenhang konzentrieren sich klassische Definitionen von Risiko zwar auf die Vermeidung von Schäden, aber insbesondere im kommerziellen Kontext haben sie auch positive Konnotationen. Die doppelte Verpflichtung von Regierungen und Unternehmen, Risiken einzugehen, aber auch zu kontrollieren, bedeutet, dass das Risikomanagement selbst Chancen für Akteure bietet, die Risiken so konstruieren können, dass sie ihren eigenen Zielen dienen. Versicherungs-, Wirtschaftsprüfungs- und Beratungsunternehmen gestalten Risiken so, dass sie ihre Dienstleistungen besser vermarkten können. Politiker und staatliche Institutionen konstruieren Risiken, vor denen sie behaupten, die Öffentlichkeit schützen zu können, um politische Unterstützung oder institutionelle Ressourcen zu gewinnen. Während also bestehende politische und wirtschaftliche Institutionen das Verständnis und den Umgang mit Risiken prägen, kann der rechtliche und diskursive Rahmen des Risikomanagements auch bestehende institutionelle Konfigurationen verändern und neue Möglichkeiten für politische und wirtschaftliche Akteure schaffen, die Plattform-Governance zu gestalten.
Ein konkretes Beispiel: Artikel 34 Absatz 1 Buchstabe d DSA erwähnt Risiken für die öffentliche Gesundheit, das Wohlergehen und den Schutz Minderjähriger. In diesem Zusammenhang haben sich mehrere der frühen Untersuchungen und Durchsetzungsmaßnahmen der Kommission auf mutmaßliche Risiken für die psychische Gesundheit von Kindern konzentriert. Eine sozialkonstruktivistische Perspektive würde betonen, dass psychische Gesundheitsprobleme zwar sehr real sind, ihre Wahrnehmung als politisches Thema jedoch von vielen sozialen und institutionellen Faktoren abhängt. Die politische Entscheidung, dies zu einer Priorität bei der Durchsetzung der DSA zu machen, spiegelt Diskussionen und Verhandlungen zwischen Politikern, Regulierungsbehörden, VLOPs und anderen Interessengruppen (wie NGOs) auf nationaler und EU-Ebene wider. Die Wahrnehmungen und Prioritäten dieser Akteure werden wiederum von den Erkenntnissen und Diskursen über die Auswirkungen von Plattformen auf die psychische Gesundheit von Kindern beeinflusst, die von Journalisten, Wissenschaftlern und anderen Akteuren hervorgebracht werden. Einige dieser Akteure stellen Sicherheitsrisiken möglicherweise in den Zusammenhang mit der Konfrontation von Kindern mit schädlichen Inhalten – ein an sich sehr vieldeutiger Begriff, der auf vielfältige Weise verstanden werden kann und von unterschiedlichen politischen Agenden beeinflusst wird: von feministischer Kritik an Inhalten, die exklusive Schönheitsideale propagieren, bis hin zu homophober Politik, die Informationen über LGBTQIA+-Identitäten als Gefahr für Kinder darstellt. Andere verbinden mögliche Auswirkungen auf die psychische Gesundheit möglicherweise mit anderen Aspekten der Plattform-Governance, wie „süchtig machenden” Designmerkmalen und Empfehlungsalgorithmen. Wieder andere Akteure könnten diese Interpretationen anzweifeln, indem sie die Risiken für die Meinungsfreiheit und andere Werte hervorheben, die durch übertriebene Bemühungen zum Schutz von Kindern entstehen. Es gibt keinen externen Standard oder ein objektiv korrektes Verständnis der systemischen Risiken für Minderjährige, an denen diese unterschiedlichen Ansätze gemessen werden könnten. Stattdessen entstehen Risiken durch die Wechselwirkungen zwischen diesen unterschiedlichen politischen Agenden, Narrativen und Praktiken der Wissensproduktion.
In gewissem Maße gilt dies für alle Formen der Risikoregulierung. Selbst in Bereichen wie Umweltverschmutzung und Chemikalien, deren Verbindung zu „harten“ Wissenschaften und quantifizierbaren Indikatoren sie objektiver erscheinen lassen, erfordert die Definition von Risiken kontingente und kontextabhängige Entscheidungen über die Erstellung wissenschaftlicher Beweise sowie politische Entscheidungen über die Verteilung von Schäden und Vorteilen zwischen verschiedenen sozialen Gruppen – beides oft stark von der Industrie und anderen Interessengruppen beeinflusst und umstritten. Allerdings besteht zumindest ein grundlegender Konsens über die Art der damit verbundenen Schäden (Krebsraten, Nuklearunfälle). Artikel 34 lässt unendlich viel Raum für widersprüchliche Interpretationen. Einige der genannten Risikobereiche (z. B. öffentliche Sicherheit, ziviler Diskurs) sind im Wesentlichen umstrittene Konzepte, deren Bedeutung zwangsläufig von vielen anderen ideologischen Prämissen abhängt. Andere (z. B. „Verbreitung illegaler Inhalte“) mögen einfacher erscheinen. Doch selbst in diesen Fällen wird es häufig zu Konflikten zwischen verschiedenen Risikobereichen und zwischen unterschiedlichen Arten ihrer Interpretation, Messung und Priorisierung kommen, ohne dass es offensichtlich richtige Antworten gibt. Mehrere andere Aspekte des DSA-Entwurfs verstärken diese grundlegende Unklarheit noch. Dazu gehören insbesondere das Fehlen einer Definition des Begriffs „systemisch“, die langen und unvollständigen Listen von Risikofaktoren und Risikominderungsmaßnahmen sowie die umfangreichen Bestimmungen für Risikomanagementstandards, die im Laufe der Zeit entwickelt und ergänzt werden sollen.
Insgesamt scheint klar zu sein, dass die Verfasser der DSA nicht versucht haben, einen detaillierten und präskriptiven Ansatz für die Risikobewertung festzulegen, sondern vielmehr einen offenen Rahmen zu schaffen, der unterschiedliche Regulierungsziele und -prioritäten berücksichtigen und im Laufe der Zeit weiterentwickelt und präzisiert werden kann. Gründe für diesen Ansatz könnten unter anderem der Wunsch nach Flexibilität sein, um auf neue technologische und wirtschaftliche Entwicklungen sowie auf sich ändernde politische Prioritäten reagieren zu können. Pragmatischer betrachtet ist „konstruktive Mehrdeutigkeit“ oft notwendig, um einen Konsens über einen Text zu erzielen – insbesondere im komplexen Gesetzgebungsprozess der EU. Dies macht das Konzept des Risikos als „Grenzobjekt“, das unterschiedliche institutionelle Praktiken und Perspektiven miteinander verbinden kann, besonders relevant. Politische Entscheidungsträger mit unterschiedlichen oder unvereinbaren Meinungen darüber, was an der Plattform-Governance falsch ist und wie sie reformiert werden sollte, konnten sich darauf einigen, dass Plattformen Risiken bergen, die gemindert werden sollten. Diese Einigung löst jedoch nicht die Konflikte darüber, wie Plattformen reguliert werden sollten, sondern eröffnet lediglich neue Räume für anhaltende politische Auseinandersetzungen über die Konstruktion von Risiken.
Angesichts der zentralen Bedeutung des systemischen Risikomanagements für die Regulierung von VLOPs – einigen der bekanntesten, wertvollsten und mächtigsten Unternehmen der Welt – werden viele Interessengruppen mit unterschiedlichen und widersprüchlichen Agenden an den Ergebnissen dieser Auseinandersetzungen interessiert sein. Es liegt auf der Hand, dass die Fähigkeit dieser Interessengruppen, politische Agenden zu setzen, Beweise zu sammeln und einen Konsens über ihre bevorzugten Risikokonzepte zu erzielen, weitgehend die bestehenden Ungleichheiten in Bezug auf Ressourcen und politische Macht widerspiegeln wird. Das Risikoregulierungssystem der DSA ist jedoch auch ein wichtiger Bestandteil der politischen Opportunitätsstruktur, in der sich solche Konflikte abspielen werden.
Aus der obigen kurzen Übersicht wird bereits deutlich, dass die DSA den VLOPs zwar einen erheblichen Ermessensspielraum einräumt, ihnen jedoch keinen Freibrief erteilt, sondern darauf abzielt, ein Ökosystem aus Regierung, Unternehmens en und zivilgesellschaftlichen Interessengruppen zu schaffen, die alle Einfluss darauf haben, welche Themen systemische Risiken darstellen und wie VLOPs damit umgehen sollten. Dies steht im Einklang mit der wissenschaftlichen Literatur zur Risikoregulierung, die argumentiert, dass offene oder mehrdeutige Regulierungsbestimmungen wie die Artikel 34–5 gelöst werden können, wenn sich innerhalb der an der Umsetzung eines bestimmten Regulierungssystems beteiligten „Interpretationsgemeinschaften” ein gemeinsames Verständnis von Risiken herausbildet. Dies ist „innerhalb sektorspezifischer Regulierungssysteme, in denen der regulierte Sektor eine relativ eng verbundene Gemeinschaft bildet”, einfacher. Eine solche Gemeinschaft ist im Zusammenhang mit der DSA bereits sehr gut sichtbar. Konferenzen, Veranstaltungen und Konsultationen bringen regelmäßig Mitarbeiter von Regulierungsbehörden, Wissenschaftler, NGOs und Branchenexperten zusammen und bieten ihnen die Möglichkeit, sich regelmäßig zu treffen, Informationen auszutauschen und berufliche und soziale Kontakte zu knüpfen.
Wichtig ist jedoch, dass der Zugang zu diesem Ökosystem und die Teilhabe daran bei weitem nicht gleichberechtigt sind. Wissenschaftliche Untersuchungen zur sozialen Verstärkung von Risiken zeigen, dass die Politik von Interessengruppen einen entscheidenden Einfluss darauf hat, wie Menschen und Institutionen Risiken verstehen. Interessengruppen produzieren, mobilisieren und rahmen Beweise, um das Risikomanagement so zu gestalten, dass es ihren eigenen Ideologien oder Interessen dient und ihnen hilft, Unterstützung für ihre übergeordneten politischen Ziele zu gewinnen. Diese Prozesse sind durch weitreichende Ungleichheiten in Bezug auf Macht und Fachwissen geprägt. Interessengruppen, die über mehr Ressourcen, Beziehungen zu anderen einflussreichen Akteuren und Kapazitäten zur Erzeugung und Nutzung von Expertenwissen verfügen, sind besser in der Lage, einen Konsens für ihre bevorzugten Risikoframings zu erzielen. Infolgedessen werden Risiken oft so definiert und gemanagt, dass bestehende Ungleichheiten verstärkt werden.
In den folgenden Abschnitten werden daher die politischen Implikationen des Regulierungsansatzes genauer analysiert und bestehende Forschungsergebnisse zu zwei besonderen Aspekten der Risikoregulierung zusammengefasst: den diskursiven Effekten der Darstellung sozialer und politischer Themen als zu bewältigende Risiken und dem institutionellen Ansatz der Risikovorsorgepflichten von Unternehmen.
3. Risiko, Diskurs und Politik
Kritische Literatur zu den verschiedenen Formen der Risikoregulierung, die in Abschnitt 2(b) erörtert wurden, hat verschiedene Wege aufgezeigt, wie der konzeptionelle Rahmen des Risikomanagements den politischen Diskurs strukturiert – indem er prägt, wie Probleme formuliert werden, welche Lösungen als realisierbar angesehen werden und welche Arten von Wissen und Argumenten als maßgeblich gelten. In diesem Abschnitt werden drei allgemeine Kritikpunkte aufgezeigt, die für die DSA besonders relevant erscheinen. Erstens verstärkt der Risikodiskurs Grenzen – zwischen verschiedenen Themen auf der Regulierungsagenda, aber auch durch den vollständigen Ausschluss einiger Themen. Zweitens privilegiert der Risikodiskurs technokratisches Fachwissen gegenüber anderen Formen des Wissens. Und schließlich, da Risiken als objektive Schäden verstanden werden – im Gegensatz zu Verteilungsentscheidungen, die einigen schaden und anderen nützen –, entpolitisiert der Risikodiskurs Konflikte zwischen konkurrierenden Ideologien und materiellen Interessen. Diese drei Tendenzen helfen zu erklären, warum trotz der inhärenten Mehrdeutigkeit des Begriffs „Risiko“ die Regulierung von Risiken allzu oft dazu neigt, „bestehende Ressourcenverteilungen zu bestätigen“.
A. Grenzverfestigung
Der kritische Rechnungslegungswissenschaftler Michael Power weist darauf hin, dass die Risikoregulierung im Wesentlichen vom „Grenzen bewahrenden Modell” des Unternehmensrisikomanagements (ERM) inspiriert ist. Diese internen Unternehmensprozesse, auf denen die DSA nun aufzubauen versucht, konzentrieren sich auf genau definierte Probleme, interne Entscheidungsprozesse und überprüfbare Messgrößen und Dokumentationen – anstatt schwierigere Fragen zu stellen, etwa nach den unvorhersehbaren Wechselwirkungen zwischen den internen Systemen von Unternehmen und ihrem externen Umfeld oder danach, ob ihre übergeordneten Ziele und Handlungslogiken dem öffentlichen Interesse dienen. Ähnliche Kritik wird regelmäßig in der Literatur zu ESG, Nachhaltigkeitsberichterstattung und Klimasorgfaltspflicht geäußert und könnte auch auf die DSA angewendet werden.
Im Kontext der DSA könnten beispielsweise die Tendenzen des ERM zur Abgrenzung durch die Forderungen vieler Interessengruppen nach branchenüblichen Kennzahlen und Benchmarks für bestimmte Risiken noch verstärkt werden. Dies mag sicherlich Vorteile haben (z. B. die Erleichterung von Vergleichen zwischen verschiedenen Unternehmen und im Zeitverlauf), dürfte jedoch kaum dazu beitragen, komplexe Wechselwirkungen zwischen Risiken und Abhilfemaßnahmen in verschiedenen Bereichen zu berücksichtigen, die kontextsensitive Ansätze erfordern würden, die schwerer zu quantifizieren oder zu standardisieren sind. Empirische Untersuchungen zur Plattform-Governance betonen, dass Schäden häufig aus komplexen Wechselwirkungen zwischen Plattformen, ihren Nutzergruppen und der Gesamtwirtschaft sowie den digitalen und medialen Ökosystemen resultieren. So übersehen standardisierte Messgrößen für algorithmische Verzerrungen bei der Moderation von Inhalten, dass fehlerhafte Moderationsentscheidungen für Nutzer in wirtschaftlich prekären oder schutzbedürftigen Situationen unverhältnismäßig schädlich sind. Formalisierte, standardisierte Risikobewertungsverfahren sind ungeeignet, um solche kontextabhängigen unterschiedlichen Auswirkungen zu erfassen.
Eine individuelle Risikobewertung kann auch Konflikte und Spannungen zwischen den verschiedenen in Artikel 34 Absatz 1 genannten Zielen verschleiern und es den Plattformbetreibern erschweren, zu erkennen, dass Risikominderungsmaßnahmen selbst schädlich sein können. So schränkt beispielsweise die Minderung von Risiken durch die Entfernung schädlicher Inhalte zwangsläufig die Meinungsfreiheit der Nutzer und (angesichts der gut dokumentierten Verzerrungen in Moderationswerkzeugen) den gleichberechtigten Zugang zu Plattformen ein. Artikel 35 Absatz 1 DSA trägt dem in gewissem Umfang Rechnung, indem er vorsieht, dass VLOP, die Risikominderungsmaßnahmen wählen, deren Auswirkungen auf die Grundrechte berücksichtigen sollten. Da jedoch kaum Leitlinien dazu vorliegen, wie solche Auswirkungen ermittelt und bewertet werden sollen oder wie potenzielle Konflikte gelöst werden sollen, ist unklar, ob diese Bestimmung konkrete Auswirkungen haben wird.
Zweitens verpflichtet die DSA jeden VLOP, die mit seinen eigenen Plattformen verbundenen Risiken zu bewerten und zu mindern. Die Koordinierung zwischen den Unternehmen wird durch einige andere Aspekte der DSA, insbesondere durch Verhaltenskodizes, in gewissem Umfang gefördert. Die Risikomanagementverfahren zur Dokumentation und Bewertung der Einhaltung konzentrieren sich jedoch auf die Praktiken einzelner Unternehmen. Dies könnte dazu führen, dass Fragen im Zusammenhang mit den kumulativen Auswirkungen der Aktivitäten vieler Unternehmen oder Geschäftspraktiken, die innerhalb eines Unternehmens gerechtfertigt erscheinen, auf Ebene der gesamten Branche jedoch problematischer sind, nicht berücksichtigt werden. Beispielsweise verbieten die meisten großen Plattformen aus verschiedenen kommerziellen und regulatorischen Gründen Inhalte, die als sexuell explizit oder übermäßig anzüglich gelten. Viele Wissenschaftler und Aktivisten halten dies für eine übermäßige Einschränkung der Meinungsfreiheit von Erwachsenen und für besonders schädlich für bestimmte schutzbedürftige und marginalisierte Gruppen, wie Sexarbeiter und LGBTQIA+-Personen (insbesondere, weil solche Richtlinien in der Regel übermäßig restriktiv und diskriminierend durchgesetzt werden). Jeder einzelne VLOP könnte zu dem Schluss kommen, dass solche Risiken durch Vorteile in Bereichen wie Kindersicherheit und Datenschutz aufgewogen werden; tatsächlich könnte das Verbot sexueller Inhalte als positive Compliance-Maßnahme dargestellt werden, die darauf abzielt, Risiken in diesen Bereichen zu mindern. Dabei wird jedoch eine wohl wichtigere Frage außer Acht gelassen: Welche Auswirkungen hat es auf die Meinungsfreiheit im Allgemeinen und auf die von diesen Richtlinien besonders betroffenen Gruppen, wenn Menschen auf allen großen Online-Plattformen keine sexuellen Inhalte veröffentlichen und mit ihnen interagieren können?
Power weist auch darauf hin, dass ERM-Prozesse darauf ausgelegt sind, Risiken für die kommerziellen Interessen von Unternehmen zu adressieren, die „mehr oder weniger einen exogenen Input in das Modell darstellen, mit der Folge, dass es schwierig ist, einen solchen Rahmen zur Infragestellung der Ziele selbst heranzuziehen“. Vorschriften wie die DSA versuchen, diese Prozesse auf ein breiteres Spektrum von Zielen des öffentlichen Interesses auszurichten. Sie basieren jedoch auf denselben Unternehmenssystemen und weisen dieselben strukturellen Einschränkungen auf: Da sie die Frage stellen, wie ein bestimmtes Unternehmen Risiken im Rahmen seiner Geschäftstätigkeit besser managen kann, lassen sie Fragen außer Acht, ob diese Aktivitäten an sich problematisch sind. Dies ermöglicht es fossilen Brennstoffunternehmen, in ihren ESG- und Due-Diligence-Berichten hervorzuheben, dass sie die bei der Gewinnung fossiler Brennstoffe verursachten Emissionen reduzieren, ohne zu erwähnen, dass diese Geschäftstätigkeit als solche mit einer wirksamen Klimapolitik unvereinbar ist.
Obwohl sie eine weniger existenzielle Bedrohung für die Gesellschaft darstellen, halten viele Menschen auch das Geschäftsmodell der heute führenden Suchmaschinen und sozialen Medienplattformen – die Aggregation großer Datenmengen über Nutzer, um ihnen personalisierte Werbung anzuzeigen – für grundsätzlich sozial destruktiv. Dies könnte daran liegen, dass sie die Privatsphäre gefährden, dass sie spaltende oder sensationslüsterne Inhalte fördern und/oder dass die Kuratierung von Inhalten auf der Grundlage ihres kommerziellen Werts für Werbetreibende von Natur aus ausgrenzend ist und andere wichtige Ziele und Werte der Medienregulierung außer Acht lässt. Ähnliches lässt sich über dominante E-Commerce-Plattformen sagen, deren Geschäftsmodelle darauf ausgerichtet sind, die Verbraucherausgaben unabhängig von ihren sozialen und ökologischen Auswirkungen zu maximieren.
Unabhängig von der Stichhaltigkeit einzelner Argumente in diesem Sinne werfen sie eindeutig wichtige Fragen auf, die viele der in Artikel 34 Absatz 1 genannten Werte berühren, wie Grundrechte, Medienpluralismus und das Wohlergehen der Nutzer. Der Rahmen für systemische Risiken der DSA bietet jedoch wenig Spielraum, um solche Fragen anzugehen. Erstens ist es offensichtlich, dass kein VLOP zu dem Schluss kommen dürfte, dass er Risiken durch die Einstellung seines Kerngeschäfts mindern sollte. Auch für Regulierungsbehörden, Prüfer oder andere Interessenträger wäre es schwierig, dies zu argumentieren: Die implizite Prämisse der Risikoregulierung ist, dass Unternehmen ihre Tätigkeiten fortsetzen können und sollten, solange bestimmte damit verbundene Risiken angegangen werden. Zweitens könnte man vernünftigerweise argumentieren, dass das Geschäftsmodell der Überwachungswerbung an sich nicht inakzeptabel ist, dass aber Werte wie Medienpluralismus oder Meinungsfreiheit inakzeptabel untergraben werden, wenn alle großen Medienplattformen das gleiche Geschäftsmodell haben und es nur wenige vergleichbare Alternativen gibt. Solche Fragen liegen auch außerhalb des Geltungsbereichs der Artikel 34 bis 35, die ausschließlich einzelne VLOPs zur Bewertung der Auswirkungen ihrer eigenen Dienste verpflichten. Schließlich schränkt diese Abgrenzung auch die Rolle der Regulierungsbehörden ein, die für die Überwachung der Einhaltung der Artikel 34 bis 35 durch einzelne VLOPs zuständig sind, d. h. für die Gewährleistung eines „verantwortungsvolleren und sorgfältigeren“ Unternehmensverhaltens innerhalb der bestehenden Marktstrukturen, anstatt diese grundlegend zu reformieren.
B. Technokratie
Wie in Abschnitt 2(c) dargelegt, ist das Risikomanagement eng mit Praktiken der Wissensproduktion verbunden, die die Identifizierung und Bewertung von Risiken ermöglichen. Entscheidend dabei sind auch „Autorisierungspraktiken“, die bestimmte Formen von Wissen und Bewertungstechniken als gültiger erachten als andere. Ein durchgängiges Thema in der Literatur zum Risikomanagement und zur Risikoregulierung ist, dass sie technisches Wissen, wissenschaftliche Erkenntnisse und fachliche Expertise gegenüber anderen Arten des Verständnisses politischer Fragen privilegieren. Infolgedessen ermächtigt die Risikoregulierung in der Regel Berufsgruppen, die privilegierten Zugang zu wissenschaftlichem und technischem Fachwissen haben, im Namen aller anderen zu entscheiden, wie Risiken zu bewerten und zu managen sind. Soweit andere Akteure versuchen, diese Entscheidungen anzufechten, werden sie dazu angehalten, dieselben diskursiven Rahmenbedingungen und Beweisformen zu verwenden, die diese elitären Akteure als maßgeblich erachten.
In Bereichen wie dem Chemikalien- und Umweltrecht wurden bei der Risikoregulierung traditionell quantitative Messgrößen und „harte“ wissenschaftliche Beweise bevorzugt. Mit der Ausweitung der Risikoregulierung auf weniger quantifizierbare und explizit normativere Bereiche hat sie sich auch für ein breiteres Spektrum an Bewertungsmethoden und Beweisformen geöffnet. Wichtig ist jedoch, dass diese Ansätze nach wie vor dazu neigen, technisches Fachwissen der Elite zu privilegieren. Ein gutes Beispiel hierfür ist die Sorgfaltspflicht von Unternehmen im Bereich der Menschenrechte (und deren Ableger im DSA-Konzept der systemischen Risiken für Grundrechte). Die Sorgfaltspflichten umfassen nicht nur offensichtlich nicht quantifizierbare normative Standards, sondern sehen ausdrücklich vor, über technisches oder wissenschaftliches Wissen hinauszugehen, insbesondere durch die „Einbeziehung von Interessengruppen“ aus den betroffenen Gemeinschaften. Die Formulierung solcher Fragen in Menschenrechtsbegriffen – also in der Sprache eines technisch komplexen Rechts- und Institutionsbereichs, in dem autoritative Aussagen auf Fachwissen über eine Vielzahl von Verträgen, Rechtsprechung und Auslegungspraktiken beruhen – privilegiert jedoch nach wie vor Fachleute und Interessengruppen, die über die Ressourcen verfügen, um juristisches Fachwissen einzusetzen.
Diese Tendenzen werden durch die verschiedenen Mechanismen der DSA zur Aushandlung und Klärung von Risiken und Minderungsmaßnahmen noch verstärkt, die offenbar von konsensorientierten Prozessen unter der Leitung von technischen und fachlichen Experten (Prüfer, Berater, Branchenexperten, Wissenschaftler usw.) ausgehen und nicht von politischen Auseinandersetzungen. Bestimmungen zur Konsultation der Zivilgesellschaft könnten mehr Möglichkeiten für die Diskussion der zugrunde liegenden politischen Ziele und Werte bieten. Solche Konsultationen sind jedoch als „ “ konzipiert, bei denen „Beweise“ für objektive oder offensichtliche Risiken gesammelt werden, anstatt zu hinterfragen, wie Risiken überhaupt definiert werden. So empfiehlt beispielsweise Erwägungsgrund 90, dass VLOPs Organisationen konsultieren sollten, die „die am stärksten von den Risiken betroffenen Gruppen“ vertreten – wobei die im Wesentlichen umstrittenen und wertgeladenen Prozesse, die mit der Bestimmung der „Risiken“ und der von ihnen betroffenen Personen verbunden sind, verschleiert werden. Da das Risikomanagementsystem der DSA letztlich auf technischen Prozessen und Expertenbewertungen (Risikobewertungen, Auditberichte usw.) basiert, dürfte es für Akteure der Zivilgesellschaft einfacher sein, Einfluss auf politische Debatten zu nehmen, wenn sie ihre Interventionen ebenfalls auf technisches Fachwissen statt auf ideologische Differenzen stützen können.
C. Entpolitisierung
Dies führt zur dritten Gruppe von Kritikpunkten, die insbesondere im Bereich der Technologieregulierung eine wichtige Rolle spielen: Der Risikodiskurs entpolitisiert und verschleiert Konflikte darüber, wie Technologien gestaltet, genutzt und betrieben werden sollten. Dies ergibt sich weitgehend aus den beiden vorangegangenen Punkten. Einerseits ermöglicht die Privilegierung technokratischer Expertise Regulierungsbehörden, Unternehmen und anderen mächtigen Akteuren, ihre bevorzugten Risikokonstruktionen als objektiv oder unpolitisch darzustellen, was es anderen Akteuren erschwert, ihre politischen Agenden anzufechten. Andererseits werden viele strukturelle politische Fragen und Reformen, die politisch umstrittener sind, aus den Regulierungsdebatten ausgeklammert.
Viele Maßnahmen zur Risikoregulierung, darunter auch die DSA, lassen die Frage nach den Risiken für wen außer Acht und formulieren Risiken stattdessen als Schäden für eine amorphe, einheitliche „Öffentlichkeit” (wie in Artikel 34 Absatz 1 in Bezug auf die öffentliche Gesundheit, Sicherheit usw.). Das Vertrauen auf „objektive“ technische Beweise und Messgrößen kann „politische Entscheidungen als neutrales Streben nach Nutzenmaximierung ohne Gewinner und Verlierer darstellen“. Wie oben erwähnt, sind jedoch mit dem Risikomanagement zwangsläufig Verteilungs- und Ideologiekonflikte verbunden. So gibt es beispielsweise keine unpolitische Möglichkeit, eine Maßnahme zur Risikominderung zu bewerten, die die Sichtbarkeit politischer Desinformation verringert, aber auch unabhängige politische Nachrichten und Kommentare unterdrückt.
Bezeichnenderweise ignoriert die DSA solche Konflikte weitgehend. Artikel 35 Absatz 1 verlangt, dass Abhilfemaßnahmen „angemessen, verhältnismäßig und wirksam“ sein müssen. Was diese Kriterien konkret bedeuten, hängt grundlegend vom verfolgten Ziel ab: Solange kein Konsens darüber besteht, was mit Risikominderungsmaßnahmen erreicht werden soll, lässt sich nicht beurteilen, was wirksam oder angemessen ist. Die DSA bietet hier wenig Orientierung, da die in den Artikeln 34 bis 35 aufgeführten Bereiche wohl bewusst ein breites Spektrum konkurrierender Ziele abdecken. Der Verweis auf die Verhältnismäßigkeit – ein klassischer Rahmen für die Bewertung und Bewältigung von Konflikten zwischen Menschenrechten – könnte zusammen mit dem Verweis (ebenfalls in Artikel 35 Absatz 1) auf die Berücksichtigung der Auswirkungen von Minderungsmaßnahmen auf die Grundrechte für die Beilegung von Meinungsverschiedenheiten relevanter sein. Diese Normen formulieren Konflikte jedoch weiterhin in Form abstrakter und universeller Werte, die im Interesse der Gesellschaft als Ganzes „angemessen“ abzuwägen sind.
Dadurch werden nicht nur Fragen darüber ausgeklammert, wer durch Risiken geschädigt wird, sondern auch Fragen darüber, wer von riskanten Aktivitäten profitiert und ob diese überhaupt durchgeführt werden sollten. Wie in Abschnitt 2(b) dargelegt, steht die Risikoregulierung im Allgemeinen im Einklang mit deregulierenden Ideologien, die davon ausgehen, dass regulatorische Eingriffe aufgrund ihrer Kosten für die „Innovation“ – die in politischen Debatten oft als uneingeschränktes Gut dargestellt wird – auf ein Minimum beschränkt werden sollten. Damit werden „wichtigere Fragen nach dem richtigen Sinn, den Bedingungen, Grenzen und Zielen wissenschaftlicher und technologischer Innovation“ umgangen. Laufende Debatten zu Themen wie politische Meinungsfreiheit und Protest, Umweltauswirkungen digitaler Infrastruktur und der gesellschaftliche (Un-)Nutzen generativer KI machen deutlich, dass die Geschäftstätigkeit von VLOPs wichtige Verteilungs- und Ideologiekonflikte mit sich bringt: Wer erhält Zugang zu (Online-)Medien, welche Technologien kommen der Gesellschaft zugute und wie sollten begrenzte Ressourcen genutzt werden? Solche Fragen berühren eindeutig die in Artikel 34 Absatz 1 genannten Werte, wie Grundrechte und öffentliche Sicherheit. Eine trockene und technokratische Formulierung der Plattform-Governance in Begriffen des Risikomanagements lässt jedoch wenig Raum für eine offene Diskussion dieser Fragen.
4. Risiko und institutionelle Macht
Die Entpolitisierung von Konflikten darüber, wie Risiken zu verstehen und zu bewältigen sind, bedeutet nicht, dass sie nicht irgendwie gelöst werden. Artikel 34 kann nicht alles auf einmal bedeuten. Was er letztendlich in der Praxis bedeutet, wird von den an der Umsetzung der DSA beteiligten Institutionen bestimmt werden – vor allem von VLOPs und Regulierungsbehörden, aber auch andere private Akteure wie Auditoren und zivilgesellschaftliche Organisationen werden Einfluss haben. Daher ist es wichtig, nicht nur zu analysieren, wie die DSA politische Fragen diskursiv rahmt, sondern auch zu berücksichtigen, wie die Risikopolitik von den Institutionen gestaltet wird, die sie in die Praxis umsetzen.
Diese beiden Aspekte sind jedoch eng miteinander verbunden. Es besteht eine offensichtliche Komplementarität zwischen der diskursiven Darstellung politischer Fragen als apolitische technische Probleme und der Übertragung ihrer Bewältigung an private Unternehmen, professionelle Prüfer und unabhängige Experten. In dieser Hinsicht stützt sich die DSA, wie in Abschnitt 2(b) dargelegt, auf „metaregulatorische“ Ansätze, die in anderen Bereichen wie der Finanz- und Umweltregulierung sowie im Bereich Wirtschaft und Menschenrechte bereits etabliert sind. Eine entsprechend langjährige Forschung hat die Nachteile dieses Ansatzes aufgezeigt – insbesondere seine Tendenz, Macht an Unternehmen zu verlagern, die oft in der Lage sind, Risiken und Maßnahmen zu deren Minderung in einer Weise zu definieren, die ihren eigenen Interessen dient.
A. Ein im Wesentlichen fehlgeleitetes Projekt?
Die schärfste Kritik lautet, dass Risikomanagement und Sorgfaltspflichten von Unternehmen grundsätzlich keine geeigneten Antworten auf wirtschaftliche Ungerechtigkeit, Umweltzerstörung und Menschenrechtsverletzungen sind, da sie innerhalb der bestehenden rechtlichen und wirtschaftlichen Strukturen des Unternehmenskapitalismus funktionieren und somit die für die Bewältigung dieser Probleme notwendigen strukturellen Reformen von vornherein ausschließen. Es lässt sich argumentieren, dass Risikomanagementpflichten solche strukturellen Veränderungen nicht nur ignorieren, sondern sogar aktiv untergraben, indem sie Unternehmen legitimieren und ihnen helfen, interventionistischere Regulierungsvorschläge abzuwehren.
Diese Argumente sind sicherlich (und vielleicht sogar besonders) relevant für die VLOPs, die durch den systemischen Risikorahmen der DSA reguliert werden. Eine wachsende Zahl von Wissenschaftlern argumentiert, dass ihre Geschäftsmodelle angesichts von Faktoren wie ihrer strukturellen Abhängigkeit von Niedriglohnarbeit und einer stark umweltbelastenden und ressourcenintensiven digitalen Infrastruktur grundlegend wirtschaftlich ungerecht und umweltschädlich sind. Offensichtlich stehen Fragen der globalen Gerechtigkeit und Nachhaltigkeit nicht im Mittelpunkt der DSA. Aber selbst wenn man sich ausschließlich auf das Kernprojekt der DSA konzentriert, nämlich die Regulierung der Governance von nutzergenerierten Inhalten, wurde – wie in Abschnitt 3(a) erörtert – argumentiert, dass Geschäftsmodelle, die sich um Überwachungswerbung, Maximierung der Nutzerinteraktion und kommerzielle Kuratierung von Inhalten drehen, von Natur aus sozial schädlich sind. Auf dieser Grundlage könnte auch argumentiert werden, dass das Risikomanagementsystem der DSA diese schädlichen Geschäftsmodelle stabilisiert und legitimiert, auf Kosten radikalerer Regulierungsbemühungen, die auf die Etablierung alternativer Modelle der Plattform-Governance abzielen.
Ich stehe solchen Argumenten grundsätzlich positiv gegenüber. Sie gelten jedoch nicht nur für das Risikomanagement, sondern für jeden Ansatz, der sich auf die Regulierung statt auf den Abbau von Unternehmensplattformen konzentriert. Das bedeutet nicht, dass alle Ansätze der ersten Kategorie gleich sind oder keiner weiteren Analyse bedürfen. Regulierung, die die Macht von Unternehmens en nicht direkt angreift, kann diese dennoch sinnvoll einschränken oder Möglichkeiten für eine Auseinandersetzung schaffen. Die folgenden Unterabschnitte sollen daher den spezifischen Regulierungsansatz der DSA reflektieren und eine kritische Bewertung ihres Ansatzes zur Risikoregulierung vornehmen, die unabhängig von der Meinung des Lesers zu den oben diskutierten radikaleren Kritikpunkten überzeugend sein sollte.
B. Unternehmensvereinnahmung
Unter Berücksichtigung der Macht verschiedener Akteure, das Risikomanagement zu beeinflussen, hat die Wissenschaft im Bereich der Risikoregulierung insbesondere das Problem der Unternehmensvereinnahmung hervorgehoben. Angesichts der deregulierenden Ausrichtung der Risikoregulierung im Allgemeinen und des Ermessensspielraums, der Unternehmen in metaregulatorischen Regimen wie der DSA eingeräumt wird, ist es offensichtlich, dass Risiken und Maßnahmen zu ihrer Minderung in einer Weise definiert werden können, die den Interessen der Unternehmen entspricht – insbesondere, wenn es sich um so mächtige und ressourcenreiche Unternehmen wie die meisten VLOPs handelt.
Erstens können Compliance-Teams Risiken bewusst und strategisch so konstruieren, dass sie den kommerziellen Interessen des Unternehmens dienen. Angesichts des enormen Anwendungsbereichs der Artikel 34–5 DSA müssen bei der Risikobewertung zwangsläufig eine begrenzte Anzahl von „Risiken” aus einer nahezu unendlichen Anzahl potenziell relevanter Themen ausgewählt und priorisiert werden, um dann zu entscheiden, wie diese Risiken definiert und gemessen werden sollen, und schließlich mögliche Abhilfemaßnahmen zu identifizieren und auszuwählen. Es liegt auf der Hand, dass bei diesen Entscheidungen nicht alle Optionen aus kommerzieller Sicht gleich attraktiv sind: Einige sind kostspieliger oder beeinträchtigen den Geschäftsbetrieb stärker als andere. In dieser Situation haben VLOPs natürlich einen Anreiz, sich für die kostengünstigsten Optionen zu entscheiden. Es gibt auch viel Spielraum, um Kosten zu minimieren, indem bestehende Geschäftspraktiken (oder geringfügige Änderungen daran) als Maßnahmen zur Minderung von DSA-Risiken umgestaltet werden. Beispielsweise könnten bestehende „Brand Safety“-Tools, die entwickelt wurden, um „nicht familienfreundliche“ Inhalte zu unterdrücken, die für Werbekunden unattraktiv sind, als Tools zur Bekämpfung von Risiken für die Sicherheit von Kindern umgestaltet werden.
Zweitens können Compliance-Prozesse in gewinnorientierten Unternehmen selbst dann, wenn die Compliance-Mitarbeiter aufrichtig motiviert sind, regulierungsrechtliche Ziele im öffentlichen Interesse zu verfolgen, nicht vollständig von kommerziellen Erwägungen isoliert werden. Vertreter von VLOPs haben ausdrücklich erklärt, dass sie DSA-Risikomanagementprozesse maximal skalierbar und effizient gestalten und auf bestehenden ERM- und Menschenrechts-Due-Diligence-Prozessen aufbauen möchten, die im Wesentlichen darauf ausgelegt sind, kommerzielle und Reputationsrisiken zu mindern. Die auf DSA- spezialisierte Beratungsfirma Tremau hat vorgeschlagen, dass VLOPs DSA-Risikobewertungen als Investitionen betrachten sollten, die auch für geschäftliche Ziele wie die Verbesserung der Kundenzufriedenheit genutzt werden können. Diese Bewertungen werden zwangsläufig auch auf internen Datenbanken und Analysetools beruhen, die ursprünglich für geschäftliche Zwecke entwickelt wurden. Selbst wenn Compliance-Abteilungen von Unternehmen nicht bewusst und strategisch versuchen, Kosten zu minimieren, wird das systemische Risikomanagement daher zwangsläufig von Daten, Ressourcen und Entscheidungsprozessen geleitet, die auf kommerzielle Ziele ausgerichtet sind.
Compliance-Abteilungen werden nur über begrenzte personelle und finanzielle Ressourcen verfügen (journalistische Recherchen und Indiskretionen deuten sogar darauf hin, dass selbst die „Trust and Safety”-Teams der größten VLOPs chronisch unterbesetzt sind). Außerdem könnte es für sie schwierig sein, andere Teams, deren Leistungskennzahlen auf Umsatz und anderen kommerziellen Zielen basieren, davon zu überzeugen, Ressourcen für die Einhaltung von Vorschriften und die Risikominderung bereitzustellen. Diese Einschränkungen würden Compliance-Mitarbeiter in der Regel dazu veranlassen, sich auf oberflächliche und weniger disruptive Maßnahmen zur Risikominderung zu konzentrieren, beispielsweise die Umformulierung von Inhaltsrichtlinien, anstatt automatisierte Moderationssysteme zu verbessern, was mehr Arbeit von hochbezahlten und gefragten Software-Ingenieuren erfordern würde.
Insbesondere Artikel 41 DSA verpflichtet VLOPs zur Einrichtung einer unabhängigen Compliance-Abteilung, die strukturell von anderen Managementfunktionen getrennt ist. Dies hat den Vorteil, dass Risikobewertungen (gewissermaßen) von kommerziellen Zielen abgekoppelt werden. Allerdings könnte es VLOPs auch erleichtern, Compliance-Mitarbeiter strukturell auszugrenzen, sodass ihre Tätigkeiten (Risikobewertung, Herausgabe von Leitlinien usw.) den Regulierungsbehörden und anderen Akteuren signalisieren, dass das Unternehmen Compliance ernst nimmt, aber wenig Einfluss auf die Tätigkeiten anderer Abteilungen haben.
Tatsächlich haben Regulierungs- und sozialrechtliche Wissenschaftler häufig eine Tendenz beobachtet, dass interne Risikomanagementprozesse zu einer „Abhak-Übung” oder „kosmetischer Compliance” verkommen: Unternehmen konzentrieren sich auf die Umsetzung von Verfahren, die den Regulierungsbehörden und anderen Interessengruppen Compliance signalisieren, aber nur wenig substanzielle Veränderungen bewirken. Dies ist besonders häufig in Regulierungsrahmen wie der DSA der Fall, die Unternehmen Verfahren vorschreiben (Risikobewertung und -minderung, Veröffentlichung von Berichten, Beauftragung und Reaktion auf Audits), anstatt substanzielle Veränderungen zu verlangen. Dies fördert häufig das, was Power als „sekundäres Risikomanagement“ bezeichnet: Unternehmen konzentrieren sich darauf, Risiken für sich selbst zu vermeiden, wenn ihre Risikomanagementsysteme als unzureichend angesehen werden, indem sie sicherstellen, dass andere Akteure sehen, dass sie angemessene Verfahren befolgen, anstatt sich auf die „primären“ Risiken zu konzentrieren, für deren Management sie eigentlich verantwortlich sind.
Die sozialrechtliche Forschung hebt auch mehrere andere Merkmale von Regulierungssystemen hervor, die eine kosmetische Compliance begünstigen: vage oder mehrdeutige Rechtsvorschriften, eine Vielzahl von regulatorischen Leitlinien und Standards aus unterschiedlichen Quellen sowie mangelnde Transparenz. All diese Merkmale sind in der DSA erkennbar. So wird beispielsweise die vage und offene Formulierung der Artikel 34–5 die externe Rechenschaftspflicht erschweren. Wie oben betont, ist es ein Kernmerkmal dieses Regulierungsrahmens, dass VLOPs zwischen einer Vielzahl möglicher Risikorahmen, Bewertungsmetriken und Minderungsmaßnahmen wählen müssen; diese Entscheidungen können eigennützig sein, ohne rechtlich ungerechtfertigt zu sein. Darüber hinaus kann jede Durchsetzungsentscheidung, die die bevorzugte Auslegung der Artikel 34–5 durch VLOPs für rechtlich unzulässig hält, rechtlich angefochten werden, und finanzstarke Großunternehmen haben in solchen Gerichtsverfahren in der Regel einen strukturellen Vorteil. Allein schon die Möglichkeit solcher Rechtsstreitigkeiten könnte die Kommission dazu veranlassen, sich auf „sichere“ Auslegungen der Artikel 34–5 zu konzentrieren und radikalere Änderungen der Geschäftspraktiken zu vermeiden – zumal, wie in Abschnitt 3 dargelegt, ein solcher inkrementeller Ansatz durch den diskursiven Rahmen des Risikomanagements generell gefördert wird.
Bemerkenswert ist auch die mangelnde Transparenz im Bereich des Risikomanagements. VLOPs müssen lediglich innerhalb von drei Monaten nach Erhalt des Auditberichts (was ein Jahr nach der ursprünglichen Risikobewertung sein kann) zusammenfassende Berichte veröffentlichen, in denen sie ihre Risikobewertungen, Auditberichte und Reaktionen auf das Audit zusammenfassen. Zivilgesellschaftliche Organisationen haben wiederholt betont, dass die Undurchsichtigkeit der Risikobewertungen sie nicht nur daran hindert, bestimmte Aspekte des Risikomanagements von VLOPs zu hinterfragen und zu kritisieren, sondern auch ganz allgemein daran, zu verstehen, welche Arten von Risiken und Risikominderungsmaßnahmen diskutiert werden und wo sie ihre eigenen Ressourcen konzentrieren sollten. Diese Verzögerung erhöht auch die Macht der VLOPs, die Agenda für nachfolgende politische Debatten zu bestimmen, da ihre Risikobewertungen Probleme aufzeigen, Problemstellungen formulieren und Lösungen vorschlagen, auf die andere Interessengruppen später reagieren müssen.
In diesem Sinne argumentiert ein wichtiger Teil der Literatur zur Unternehmensvereinnahmung, dass Unternehmen nicht nur interne Risikomanagementprozesse in eigennütziger Weise angehen können, sondern auch Einfluss darauf nehmen können, wie Regulierungsbehörden und externe Interessengruppen das Regulierungssystem verstehen. Die Soziologinnen Lauren Edelman und Ari Ezra Waldman bezeichnen diese als „rechtliche Endogenität“ und beschreiben, wie die Auslegung von Vorschriften durch die Präferenzen der regulierten Unternehmen geprägt wird. Andere Wissenschaftler haben den Einfluss regulierter Unternehmen auf Regulierungsbehörden und breitere politische Debatten im Sinne einer „diskursiven Vereinnahmung” oder „kulturellen Vereinnahmung” diskutiert.
Dieser Einfluss kann über verschiedene Mechanismen wirken. Technisches Fachwissen, umfangreiche Ressourcen und eine herausragende Stellung bei Branchenveranstaltungen und politischen Diskussionen können es großen Unternehmen ermöglichen, weithin anerkannte Best Practices zu etablieren, die die Erwartungen anderer Akteure an ein „angemessenes“ Risikomanagement beeinflussen. Durch Lobbyarbeit und Interessenvertretung können sie auch direkt Einfluss auf die Prioritäten und die Wahrnehmung politischer Themen durch die Regulierungsbehörden nehmen. Schließlich können sich andere Akteure auf ihr technisches Wissen und ihre Instrumente stützen, um Risiken zu verstehen. So werden sich beispielsweise im Rahmen der DSA externe Forschungsarbeiten und Compliance-Bewertungen durch Regulierungsbehörden, Wirtschaftsprüfer und unabhängige Forscher weitgehend auf die eigenen Berichte, Datenbanken und APIs der VLOPs stützen und somit von deren bevorzugten Messgrößen und Problemstellungen beeinflusst sein.
Viele der in diesem Abschnitt diskutierten Merkmale der DSA scheinen bewusste und vertretbare regulatorische Entscheidungen zu sein. Wie in Abschnitt 2(c) erwähnt, können flexible Standards und Verfahren gegenüber präskriptiven Vorschriften besser an sich ändernde regulatorische Rahmenbedingungen und Prioritäten angepasst werden und es einer Expertengemeinschaft ermöglichen, im Laufe der Zeit ein gemeinsames Verständnis von angemessenem Risikomanagement auszuhandeln. Die Gefahr besteht jedoch darin, dass diese gemeinsamen Verständnisse aufgrund der primären Verantwortung der VLOPs für die Definition und das Management von Risiken sowie aufgrund ihrer finanziellen und technischen Ressourcen letztlich von den Perspektiven und Präferenzen der Branche dominiert werden.
C. Risiko und staatliche Macht
Ein Großteil der in Abschnitt 4(b) diskutierten Literatur legt implizit oder explizit nahe, dass die Alternative eine stärkere Einbeziehung staatlicher Institutionen sein sollte – verstanden als Vertreter öffentlicher Interessen oder zumindest als gegenüber diesen stärker rechenschaftspflichtig als Unternehmen. Vorschläge zur Vermeidung von Unternehmensvereinnahmung beinhalten häufig eine stärkere Einbeziehung der Regulierungsbehörden in das Risikomanagement und eine Stärkung ihrer Kapazitäten zur Überwachung von Unternehmen und zur Festlegung substanzieller Standards. Radikalere Vorschläge zur Einschränkung der Macht von Unternehmen könnten sich auf die Festlegung regulatorischer „rote Linien“ konzentrieren, die bestimmte Aktivitäten eindeutig verbieten oder vorschreiben.
Bislang scheint die Durchsetzungsstrategie der Kommission für die DSA von beiden Ansätzen inspiriert zu sein. Einerseits hat die Kommission für digitale Dienste (DSA) (wie andere Regulierungsbehörden in wichtigen Mitgliedstaaten, z. B. die irische CnaM) ein großes DSA-Durchsetzungsteam aufgebaut und behauptet, in regelmäßigem, kontinuierlichem Dialog mit VLOPs über Risikomanagement und andere DSA-Verpflichtungen zu stehen. Andererseits hat sie auch begonnen, relativ präskriptive offizielle Leitlinien zu bestimmten Risiken (z. B. Kindersicherheit) herauszugeben. Aus der Perspektive der oben diskutierten wissenschaftlichen Literatur könnten diese Bemühungen als Stärkung der Fähigkeit öffentlicher Institutionen gewertet werden, das Risikomanagement im Einklang mit dem öffentlichen Interesse zu gestalten. Tatsächlich sind sie jedoch häufig auf Bedenken der Zivilgesellschaft gestoßen, dass staatliche Institutionen einen übermäßigen Einfluss auf die Meinungsfreiheit im Internet ausüben könnten. Angesichts der Bedeutung von Soft-Law-Standards und inoffiziellen Leitlinien im Rahmen der DSA sowie der Betonung der Kommission auf den Dialog mit VLOPs und freiwilligen Verpflichtungen gibt es Bedenken, dass staatliche Akteure die Meinungsäußerung im Internet regulieren, indem sie VLOPs informell dazu ermutigen, Risiken auf bestimmte Weise zu managen, anstatt öffentliche und anfechtbare rechtliche Verfahren anzuwenden.
Dies weist auf eine Lücke in der bestehenden Literatur zur Risikoregulierung hin und ist ein wichtiges Thema für die weitere Forschung zur DSA: Was bedeutet es, wenn Regulierungsinstrumente und -techniken, die traditionell in Bereichen wie Chemikalien, Umweltschäden oder Finanzstabilität eingesetzt werden, zur Regulierung von Medien und Kommunikation eingesetzt werden? Viele (wenn auch keineswegs alle) der durch die DSA regulierten VLOPs sind soziale Medien und Suchmaschinen. Diese Plattformen nehmen eine zentrale Stellung in den heutigen Medien- und Informationsökosystemen ein und üben einen erheblichen Einfluss auf Bereiche wie die Produktion und Verbreitung von Nachrichtenjournalismus, die Organisation von Aktivismus und Protesten sowie die alltäglichen politischen Diskussionen aus. Daher wird allgemein anerkannt, dass präskriptive staatliche Regulierung – insbesondere wenn sie sich auf die Moderation von Nutzerinhalten durch Plattformen bezieht – mit hoher Wahrscheinlichkeit in einer Weise eingesetzt wird, die politische Freiheiten einschränkt, abweichende Meinungen unterdrückt und/oder politisch unpopuläre Minderheiten ins Visier nimmt. Die Bewältigung dieses Spannungsfelds zwischen unkontrollierter Unternehmensmacht und übermäßiger staatlicher Kontrolle ist seit langem ein zentrales Problem des Medienrechts. Allerdings hat das Risikomanagement in der Medienregulierung historisch gesehen keine herausragende Rolle gespielt. Umgekehrt kann die Literatur zur Risikoregulierung in anderen Bereichen die besonderen Dynamiken im Kontext der Plattformregulierung möglicherweise nicht vollständig beleuchten.
Erstens wirft die Regulierung von Online-Medieninhalten im Gegensatz zu Bereichen wie der Umwelt- oder Finanzregulierung zwangsläufig komplexe Fragen im Zusammenhang mit der Meinungsfreiheit, dem Zugang zu Informationen und anderen bürgerlichen Freiheiten auf. Wichtig ist, dass regulatorische Verpflichtungen (oder Anreize) zwar anfällig dafür sind, gezielt gegen politisch unliebsame Äußerungen eingesetzt zu werden, dies jedoch nicht die einzige problematische Form der Ausübung staatlicher Macht ist. Selbst wenn staatlich vorgeschriebene Inhaltsbeschränkungen auf (vermeintlich) echte Schäden wie Hassreden abzielen, ist es wahrscheinlich, dass sie marginalisierte soziale Gruppen und politische Perspektiven unverhältnismäßig stark beeinträchtigen. Wenn Plattformen beispielsweise versuchen, die Erwartungen der Kommission hinsichtlich der Minderung von Risiken im Zusammenhang mit bestimmten Arten illegaler Inhalte zu erfüllen, indem sie automatisierte Moderationssoftware entwickeln oder anpassen, um mehr solcher Inhalte zu entfernen, wird dies zwangsläufig auch die Rate von „False Positives“ erhöhen – die aufgrund struktureller Verzerrungen innerhalb staatlicher Institutionen und Plattformunternehmen tendenziell marginalisierte soziale Gruppen unverhältnismäßig stark betreffen.
Zweitens betrifft die Regulierung von Online-Inhalten im Vergleich zu den anderen genannten Regulierungsbereichen in stärkerem Maße stark sicherheitsrelevante Politikbereiche wie Desinformation, sogenannte „terroristische“ Inhalte und Kindersicherheit. Polizei, Sicherheits- und Strafverfolgungsbehörden sind ebenfalls an der Plattform-Governance und der Durchsetzung von Vorschriften beteiligt: Sie stellen beispielsweise Listen „extremistischer“ Organisationen zur Verfügung, deren Inhalte entfernt werden sollen, oder melden Inhalte zur Entfernung an Plattformen – oft aufgrund mutmaßlicher Rechtswidrigkeit, aber auch oft einfach aufgrund der Tatsache, dass sie gegen die internen Inhaltsrichtlinien der Unternehmen verstoßen. Diese Beteiligung wird auch in der DSA anerkannt und weiter institutionalisiert. So können beispielsweise Strafverfolgungsbehörden als „vertrauenswürdige Melder“ zertifiziert werden, deren Meldungen an Plattformen vorrangig behandelt werden müssen.
Wie in anderen sicherheitspolitischen Bereichen verlagern die „Risiko”-Framing und die Delegation des Risikomanagements an VLOPs die Entscheidungsgewalt nicht nur auf Unternehmen, sondern auch auf Exekutivorgane. Es liegt auf der Hand, dass präskriptive Rechtsvorschriften, die die Meinungsäußerung und die Medien einschränken, auch für politischen Missbrauch anfällig sind (wie die jüngsten europaweiten Razzien gegen die Pro-Palästina- und Klimabewegungen deutlich gezeigt haben). Die Festlegung und Auslegung solcher Beschränkungen erfolgt jedoch in hohem Maße durch Gerichte und Gesetzgeber, deren Entscheidungen zumindest relativ transparent und anfechtbar sind (wie die umfangreiche Dokumentation, öffentliche Kritik und rechtliche Anfechtungen der oben genannten Razzien zeigen). Im Gegensatz dazu verlagert die Darstellung der Regulierung von Online-Inhalten als technische Probleme, die von Experten des privaten Sektors gelöst werden müssen, die Macht von Gerichten und Gesetzgebern auf die Regulierungsbehörden, die die internen Risikomanagementprozesse von Unternehmen überwachen, die selbst undurchsichtig und schwer anzufechten sind.
Diese regulatorische Aufsicht mag sich formal eher auf Verfahren als auf inhaltliche Standards konzentrieren, aber durch die Entwicklung von Best Practices für das Risikomanagement und (implizite oder explizite) Androhung von Durchsetzungsmaßnahmen können Regulierungsbehörden VLOPs wirksam unter Druck setzen, Inhalte zu beschränken, die sie als schädlich erachten. Vor dem Hintergrund der zunehmenden regulatorischen Aufmerksamkeit für die mutmaßlichen Auswirkungen von Plattformen auf die psychische Gesundheit von Kindern (siehe Abschnitt 2(c)) haben beispielsweise mehrere VLOPs kürzlich ein neues Instrument eingeführt, um die Identifizierung und Moderation von Inhalten zu koordinieren, die als potenziell schädlich für Kinder angesehen werden, beispielsweise weil sie zu Selbstverletzung auffordern. Dies ist bemerkenswert, da sie im Allgemeinen nicht gesetzlich verpflichtet sind, solche Inhalte zu entfernen. Diese Entwicklung verdeutlicht somit sowohl die „Funktionsausweitung“ von Moderationsinstrumenten über ihren ursprünglichen Zweck hinaus als auch die Möglichkeit für Regierungen, die Konstruktion systemischer Risiken zu nutzen, um Plattformen zu einer Regulierung von Nutzerinhalten zu bewegen, die über ihre strengen gesetzlichen Verpflichtungen hinausgeht. In Erklärungen der Kommission wurde auch öffentlich angedeutet, dass eine wirksame Risikominderung die unverzügliche Entfernung von Inhalten umfassen sollte, die von Strafverfolgungsbehörden gemeldet werden. In der Praxis könnten Risikomanagementverpflichtungen somit einen weiteren Anreiz für VLOPs darstellen, den Forderungen der Strafverfolgungsbehörden nachzukommen – selbst wenn diese keine Rechtswidrigkeit geltend machen, sondern lediglich Verstöße gegen die Nutzungsbedingungen der Plattformen oder wenn ihre Begründungen nicht überzeugend sind – und könnten dadurch die Entfernung von Inhalten erleichtern, die formelle rechtliche Verfahren umgehen. In diesem Zusammenhang haben zivilgesellschaftliche Gruppen begründete Bedenken geäußert, dass Regierungen, Regulierungsbehörden und die Polizei die Verpflichtungen zur Risikominderung nutzen könnten, um Plattformen unter Druck zu setzen, politische Meinungsäußerungen und Aktivismus zu unterbinden.
Daher erscheint es unvollständig, die systemischen Risiken der DSA nur im Hinblick auf Deregulierungsagenden und Unternehmensmacht zu theoretisieren, wie dies in diesem Artikel bisher überwiegend geschehen ist – empirisch, weil die Rolle staatlicher Institutionen bei der Konstruktion von Risiken nicht ausreichend berücksichtigt wird, aber auch normativ, da alternative Regulierungsansätze aufgezeigt werden, die staatlichen Stellen noch mehr Befugnisse zur Regulierung von Online-Inhalten einräumen. Die Ausweitung der Risikoregulierung auf die Plattform-Governance erfordert weitere Untersuchungen zu den Schnittstellen zwischen staatlicher und unternehmerischer Macht bei der Konstruktion und Steuerung von Risiken.
Wichtig ist, dass es ein Fehler wäre, die beiden als gegensätzliche Pole eines Spektrums zu konzipieren, sodass mehr staatliche Intervention weniger Unternehmensbeeinflussung bedeutet und umgekehrt. Die politischen Ziele und bevorzugten Risikokonstruktionen von Regulierungsbehörden und Politikern können manchmal im Widerspruch zu denen von VLOPs stehen, aber oft auch übereinstimmen. Insbesondere werden VLOPs, wie in Abschnitt 4(b) dargelegt, im Allgemeinen einen Anreiz haben, Risiken im Hinblick auf ihre „ “ so zu konstruieren, dass sie relativ geringe Investitionen und Störungen des Geschäftsbetriebs erfordern. Wenn staatliche Akteure Risiken so konstruieren wollen, dass der Schwerpunkt auf der Überwachung und Kontrolle politischer Äußerungen liegt, sind diese Ziele weitgehend miteinander vereinbar. Beiden wird gedient, wenn Risiken in Form von schädlichen Inhalten und Nutzeraktivitäten konstruiert werden, die identifiziert und unterbunden werden müssen, was durch relativ geringfügige Anpassungen der bestehenden Moderationssysteme erreicht werden kann, und nicht in Form von strukturellen Problemen bei der Gestaltung und Steuerung von Plattformen. Aus dieser Perspektive ist der grenzbestimmende, technokratische und entpolitisierende Charakter des Risikodiskurses sowohl für VLOPs als auch für Regierungen von Vorteil: Er kann die Überwachung und Kontrolle „riskanter” Nutzeraktivitäten legitimieren und gleichzeitig die Aufmerksamkeit von struktureller Kritik an der Unternehmensführung von Plattformen ablenken, die in keinem ihrer Interessen läge.
D. Kritische sicherheitspolitische Perspektiven auf Risiken
In diesem Zusammenhang könnte ein vielversprechender Ansatz für die künftige Untersuchung der Politik systemischer Risiken in der DSA darin bestehen, auf die umfangreiche und theoretisch fundierte Literatur zum Risikomanagement als Form politischer Macht in Bereichen wie kritischen Sicherheitsstudien und Kriminologie zurückzugreifen. Aus Platzgründen kann hier nur sehr kurz auf diese Literatur eingegangen werden. Einige Punkte deuten jedoch auf potenziell fruchtbare Verbindungen zur Forschung zu Risikoregulierung und Unternehmensrisikomanagement in der DSA hin.
Erstens sind, ähnlich wie die in diesem Beitrag herangezogene soziologische und STS-Literatur zur Risikoregulierung, auch die wissenschaftlichen Arbeiten zum Risikomanagement in den Bereichen Sicherheit, Terrorismusbekämpfung und Strafverfolgung stark von sozialkonstruktivistischen Risikoverständnissen geprägt (insbesondere von Foucaults Perspektiven auf Risiko als Form der Gouvernementalität). Auf dieser Grundlage liefert sie Erkenntnisse darüber, wie Politiker und staatliche Institutionen Risiken diskursiv konstruieren, um staatliche Repression zu rechtfertigen, bürgerliche Freiheiten einzuschränken und stigmatisierte Minderheiten ins Visier zu nehmen. Es gibt bereits Beispiele dafür, dass Risiken im Zusammenhang mit dem DSA auf diese Weise mobilisiert werden. Es bedarf weiterer Untersuchungen dazu, wie Regulierungsbehörden, Politiker, Fachleute und andere Interessengruppen bestimmte soziale Gruppen oder Aktivitäten im Rahmen des DSA diskursiv als „riskant” konstruieren.
Zweitens haben wissenschaftliche Untersuchungen zu Risiken in der Sicherheitsforschung zwar effektiv aufgezeigt, wie staatliche Institutionen wie Polizei, Terrorismusbekämpfung und Grenzbehörden ihre Macht durch Risikomanagement ausüben, aber sie konzentrieren sich bei weitem nicht ausschließlich auf staatliche Institutionen – stattdessen betonen sie eher, wie Risiken durch heterogene Netzwerke konstruiert werden, an denen verschiedene staatliche Institutionen, politische Akteure, internationale und supranationale Organisationen sowie private Akteure beteiligt sind. So stellen private Unternehmen nicht nur Software und Analysewerkzeuge zur Verfügung, die staatliche Institutionen zur Bewältigung von Sicherheitsrisiken einsetzen, sondern können auch ihre eigenen Risikomanagementstandards durchsetzen und in politische Diskussionen eingreifen, um bestimmte Risikodarstellungen und Narrative zu fördern. Dies unterstreicht, dass die Macht von Staat und Unternehmen zur Konstruktion von Risiken nicht zwangsläufig in einem Spannungsverhältnis stehen. Weitere Forschungen könnten Erkenntnisse aus der Sicherheitsforschung mit Erkenntnissen aus der Risikoregulierungsforschung integrieren, um besser analysieren zu können, wie Wissen und Diskurse über systemische Risiken der DSA von Netzwerken von Akteuren und Institutionen aus dem öffentlichen und privaten Sektor gemeinsam produziert werden.
In dieser Hinsicht könnten bestehende Forschungsarbeiten, die Sicherheitsstudien und soziologische Rechtsanalysen integrieren, wertvolle methodische und theoretische Anhaltspunkte liefern. Solche Forschungsarbeiten haben empirische und oft multisite- oder mixed-methods-basierte Untersuchungen durchgeführt, um zu untersuchen, wie Risikomanagement in der Praxis funktioniert und wie Rechtsnormen, Technologien und institutionelle Praktiken miteinander in Wechselwirkung stehen und sich gegenseitig beeinflussen. Insbesondere angesichts der äußerst vagen und offenen Formulierung der Artikel 34–5 DSA und der Vielzahl staatlicher, unternehmerischer und nichtstaatlicher Akteure, die potenziell an der Gestaltung des Risikomanagements beteiligt sein könnten, sind empirische Untersuchungen mit einem methodisch eklektischen Ansatz, die sich auf die soziotechnischen Praktiken konzentrieren, durch die rechtliche Standards umgesetzt und konkretisiert werden, von entscheidender Bedeutung, um zu verstehen, wie sich der Rahmen für systemische Risiken der DSA in der Praxis auswirkt und welche politischen Implikationen er hat.
Drittens hat die kritische Sicherheitsforschung insbesondere den Einsatz algorithmischer Risikobewertungstechnologien in Kontexten wie Grenzkontrollen und Terrorismusbekämpfung untersucht. Hier lassen sich Parallelen zu den automatisierten Filtertools ziehen, die heute in der kommerziellen Moderation von Inhalten allgegenwärtig sind. Angesichts der offensichtlichen Fokussierung der Regulierungsbehörden auf die Entfernung schädlicher Inhalte als wichtige Maßnahme zur Risikominderung dürfte die Ausweitung und Feinabstimmung der automatisierten Moderation eine zentrale Rolle bei den Compliance-Bemühungen von VLOPs spielen. Im Großen und Ganzen können diese Tools durch den Abgleich mit bestehenden Datenbanken verbotener Inhalte, die oft branchenweit geteilt werden, oder durch den Einsatz von maschinellem Lernen zur Auswertung von Signalen aus den Inhalten und ihren Metadaten funktionieren, um die Gesamtwahrscheinlichkeit zu schätzen, dass die Inhalte gegen eine bestimmte Regel verstoßen. Damit gibt es klare Parallelen zu Risikobewertungstools, die bei Grenzkontrollen eingesetzt werden – diese können sich auf relativ einfache Listen verbotener oder risikobehafteter Passagiere stützen, aber auch auf modernere algorithmische Technologien zurückgreifen und Daten aus verschiedenen Quellen integrieren, um undurchsichtige aggregierte Risikobewertungen zu erstellen. Sicherheitswissenschaftliche Studien zur algorithmischen Risikosteuerung könnten dazu beitragen, die Machtverhältnisse, politischen Agenden und das Verständnis von Risiken, die durch automatisierte Moderationswerkzeuge kodiert und reproduziert werden, zu beleuchten – und umgekehrt, wie die Funktionsweise dieser Werkzeuge und die von ihnen produzierten Daten die Wahrnehmung von Risiken prägen.
Allerdings gibt es wichtige Unterschiede zwischen diesen beiden Kontexten. Die Forschung zu Grenzkontrollen und staatlicher Überwachung hat sich meist darauf konzentriert, wie Risikobewertungstechnologien Menschen mit Risiken belegen und so die Ausübung von Macht auf hochgradig individualisierte und selektive Weise ermöglichen: beispielsweise indem „risikobehaftete“ Personen von der Reise ausgeschlossen werden, während andere sich frei bewegen können. Eine offene Frage ist, wie Theorien zur (algorithmischen) Risikosteuerung in Sicherheitsstudien möglicherweise überdacht oder weiterentwickelt werden müssen, um sie auf einen regulatorischen Kontext anzuwenden, in dem sie zur Regulierung groß angelegter Geschäftsabläufe und nicht einzelner Aktivitäten und Bewegungen eingesetzt werden. Die DSA könnte auch als Versuch verstanden werden, riskante Online-Verhaltensweisen oder -Muster zu überwachen und zu regulieren (indirekt durch Risikominderungsverpflichtungen für VLOPs). Dies erinnert an Forschungen im Bereich Sicherheits- und Überwachungsstudien, die Deleuzes Konzept des „Dividuals“ herangezogen haben, um zu zeigen, dass algorithmische Risikomanagement-Tools nicht (nur) durch die Verfolgung identifizierter Personen steuern, sondern durch fragmentarische, sich ständig ändernde statistische Darstellungen von Merkmalen oder Verhaltensweisen, die zu einem bestimmten Zeitpunkt als relevant erachtet werden. Dies könnte ein fruchtbarer Ansatz sein, um systemisches Risikomanagement zu verstehen und zu kritisieren – als Versuch sowohl von Staaten als auch von VLOPs, die Online-Kommunikation zu kontrollieren, indem sie die algorithmische Regulierung bestimmter Interaktionen auf der Ebene des Plattformnetzwerks modulieren, anstatt Gesetze gegen einzelne Nutzer durchzusetzen. Es könnte auch nützlich sein, auf wissenschaftliche Erkenntnisse zur Terrorismusbekämpfung und zu Sicherheitsrisiken in der Finanzregulierung zurückzugreifen, die sich ebenfalls an der Schnittstelle zwischen der Regulierung von Menschen und ihren Bewegungen und der Regulierung multinationaler Unternehmen ansiedeln lassen.
Schließlich haben wissenschaftliche Arbeiten sowohl zum Risikomanagement in Unternehmen als auch zur Risikosteuerung in Sicherheitsstudien gezeigt, dass die Diskurse, Techniken und Institutionen des Risikomanagements zwar tendenziell so eingesetzt werden, dass sie den Interessen mächtiger Staaten und Unternehmen dienen, dass es sich dabei jedoch nicht um einseitige Top-down-Prozesse handelt, sondern dass sie auch Möglichkeiten zur Politisierung und Infragestellung vorherrschender Risikoverständnisse bieten. In diesem Zusammenhang fordern wissenschaftliche Arbeiten zur Risikoregulierung häufig eine stärker institutionalisierte Einbeziehung betroffener Gemeinschaften, zivilgesellschaftlicher Organisationen und anderer externer Interessengruppen, um das Risikomanagement zu demokratisieren und vorherrschende Rahmenbedingungen in Frage zu stellen. Solche Forderungen nach einer Beteiligung von Interessengruppen sind auch im Zusammenhang mit der Regulierung von Plattformen sowohl in der Wissenschaft als auch bei Akteuren aus der Industrie weit verbreitet, wo sie oft als notwendiges Korrektiv für übermäßige staatliche und unternehmerische Macht dargestellt werden.
In dieser Literatur werden jedoch die Beteiligung und Beratung verschiedener Interessengruppen oft in einem Rahmen dargestellt, der die Entpolitisierungstendenzen des Risikodiskurses eher verstärkt als in Frage stellt: als eine Möglichkeit, die Interessen aller zu berücksichtigen, insbesondere die Interessen der schwächsten und am stärksten marginalisierten Gruppen. Solche Darstellungen übersehen die erheblichen Ungleichgewichte in Bezug auf Macht und Ressourcen, die dazu führen, dass bestimmte Interessengruppen – in der Regel gut organisierte und finanzierte Interessengruppen, die privilegierten Zugang zu Expertenkreisen und politischen Entscheidungsträgern haben – weitaus besser in der Lage sind, sich für ihre bevorzugte Risikowahrnehmung einzusetzen als andere. Zukünftige Forschungen, die untersuchen, wie zivilgesellschaftliche Gruppen und andere Akteure dominante Vorstellungen von systemischen Risiken in der DSA hinterfragen, könnten auch von der Literatur zu kritischen Sicherheitsstudien profitieren, die tendenziell mehr Gewicht darauf legt, wie etablierte Institutionen und Machtdynamiken die Konstruktion und Auseinandersetzung mit Risiken strukturieren.
5. Schlussfolgerung
Auf den ersten Blick könnte die lange Liste der äußerst weit gefassten Risikobereiche in Artikel 34 Absatz 1 vermuten lassen, dass systemische Risiken im Sinne der DSA alles und jedes bedeuten können. Tatsächlich zeigt jedoch die in diesem Artikel vorgestellte sozialkonstruktivistische Analyse, dass die Bestimmungen der DSA zu systemischen Risiken weniger offen oder kontingent sind, als es den Anschein hat. Wie Borges‘ Werk uns erinnert, existieren Texte nicht in einem Vakuum: Sie werden von bestimmten Menschen an bestimmten Orten und in bestimmten Kontexten mit bestimmten Zielen interpretiert, die sie innerhalb vorgegebener Grenzen zu verfolgen versuchen. Die Regulierung von Risiken wird immer von bereits bestehenden Institutionen, Normen, Ressourcenverteilungen und Machtverhältnissen geprägt. In der Praxis bedeutet dies in den meisten Fällen, dass Risiken so konstruiert werden, dass sie mächtigen Interessen zugutekommen.
Indem dieser Artikel die Regulierungsstrategie der DSA in den größeren historischen Kontext der kritischen Forschung zur Risikoregulierung einordnet, zeigt er, wie sie mit einem neoliberalen, deregulierenden Ethos im Einklang steht, das auf der Prämisse basiert, dass Regulierung nur in dem Maße in die Freiheit und Gewinne von Unternehmen eingreifen sollten, wie dies durch konkrete Gefahren für das öffentliche Interesse gerechtfertigt ist. Insbesondere zwei Kernmerkmale des systemischen Risikomanagementsystems – seine Einordnung vielfältiger und wertbeladener politischer Fragen als Risiken, die durch technisches Fachwissen zu bewältigen sind, und seine metaregulatorische Struktur, die die Hauptverantwortung für die Definition, Priorisierung und Minderung von Risiken an die regulierten Unternehmen delegiert – werden tendenziell den Status quo verstärken, in dem die Plattform-Governance von den kommerziellen Interessen der „Big Tech“ dominiert wird.
Gleichzeitig hat dieser Artikel anhand von Beispielen aus der bisherigen Umsetzung der DSA aufgezeigt, wie die Risikoregulierung im Kontext von Online-Plattformen und -Medien einige neue und spezifische Probleme mit sich bringen kann. Insbesondere die herausragende Rolle von Strafverfolgungsbehörden und Sicherheitsdiskursen deutet darauf hin, dass staatliche Akteure darauf drängen könnten, Risiken so zu konstruieren und zu steuern, dass eine verstärkte Überwachung und Kontrolle der Nutzerkommunikation einhergeht. Dies kann manchmal im Widerspruch zu den Interessen von VLOPs stehen; ihre unterschiedlichen, aber sich überschneidenden Interessen können jedoch auch zusammenwirken und zu einem gemeinsamen Risikoverständnis führen, das sowohl private Gewinne als auch staatliche Sicherheitsziele fördert. Dieses Potenzial ist bereits im Zusammenhang mit dem DSA erkennbar, da Regulierungsbehörden und Unternehmen offenbar ein Verständnis von systemischen Risiken und Maßnahmen zu deren Minderung bevorzugen, das sich auf die Überwachung und Kontrolle von Nutzerinhalten konzentriert. Diese jüngste Entwicklung in der langen Geschichte der Risikoregulierung erfordert kritischere normative und empirische Untersuchungen dazu, wie Risiken im Kontext der Plattform-Governance konstruiert und diskutiert werden.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Rachel Griffin in: European Law Open, Cambridge University Press, 2025
https://doi.org/10.1017/elo.2025.17
https://creativecommons.org/licenses/by/4.0
Effektives Risikomanagement
Wir unterstützen Sie bei allen Aufgaben rund um die Themen Risikomanagement und Internes Kontrollsystem (IKS) als integraler Bestandteil des Risikomanagements.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch