Pressemitteilung

DSA: Erste Risikobewertungsberichte über systemische Risiken von großen Online-Plattformen lassen viele Fragen offen

Foto von Maximalfocus auf Unsplash

Berlin, 29. November 2024AlgorithmWatch hat einige der ersten Risikobewertungsberichte von großen Online-Plattformen geprüft, die unter dem Digital Services Act (DSA) verpflichtend sind und diese Woche erstmals veröffentlicht wurden. Die Berichte sind jedoch schon jetzt veraltet, zeigen nicht die relevanten Informationen und verfehlen damit das Ziel, systemische Risiken realistisch bewerten zu können. Von zehn veröffentlichten Berichten hat AlgorithmWatch acht einer ersten Untersuchung unterzogen und wird weitere Berichte analysieren.

Die erste Untersuchung der Berichte ergibt:

1. Die Berichte sind bereits veraltet: Der DSA sieht vor, dass die Plattformen einmal jährlich über die Risiken des jeweils vergangenen Jahres berichten müssen. Somit beziehen sich die nun veröffentlichten Berichte auf das Jahr 2023. Damit sind sie schon nicht mehr aktuell und bilden diesjährige Entwicklungen oder EU-Maßnahmen nicht ab.

2. Die Risikobewertung erfolgt oberflächlich: Die Plattformbetreiber bleiben oberflächlich und vage über die Maßnahmen der Risikobewertung und deren Ergebnisse. Die Bewertungen bieten daher nicht annähernd genügend Details, um eine externe Prüfung durch die Zivilgesellschaft vorzunehmen. Die Risikobewertung suggeriert somit Transparenz, vermittelt aber nur wenig brauchbare Informationen.

3. Es ist unklar, ob Betroffene einbezogen wurden: Der DSA schreibt explizit vor, dass Vertreter*innen von Gruppen, die potenziell von den Risiken der Plattformen betroffen sein können, in die Risikobewertung einbezogen werden sollen. Aus den untersuchten Berichten wird nicht deutlich, ob dies geschehen ist.

4. Die externen Prüfungen sind lückenhaft: Ein externes Auditing soll die interne Risikobewertung der Plattform-Anbieter zusätzlich stützen. Dieses Auditing führen typischerweise Rechnungsprüfungs-Unternehmen durch.  Doch die Audit-Berichte sind unvollständig. In den Berichten über Facebook, Instagram und TikTok fehlen die internen Risikobewertungen der Plattformbetreiber. Als Begründung führen die Auditer “laufende Untersuchungen der EU-Kommission“ an und dass sie die Eigenbewertung der Plattformen daher nicht sinnvoll einbeziehen können. Für die Plattform X ergibt das Audit hingegen bereits deutlichen Nachbesserungsbedarf. So bemängeln die Auditer von X, dass die Plattform ihnen wichtige Informationen zur Risiko-Bewertung nicht zur Verfügung gestellt hat,  etwa zum Empfehlungs-Algorithmen und zum Werbebuchungssystem.

Clara Helming, Senior Advocacy und Policy Manager bei AlgorithmWatch, kritisiert: “Die ersten Risikoberichte suggerieren, dass auf den Plattformen alles in Ordnung ist. Alle, die auf Social Media unterwegs sind, wissen, dass das nicht die ganze Wahrheit ist. Grundsätzlich können uns diese Berichte bei der Beurteilung der Plattform-Risiken helfen, aber sie müssen noch viel informativer und umfassender sein.“

Oliver Marsh, Head of Tech Research bei AlgorithmWatch, ergänzt: „Die großen Plattform-Anbieter legen Forschenden immer wieder Steine in den Weg und machen es damit schwer bis unmöglich, die Risiken, die von ihren Diensten ausgehen, zu untersuchen. Die externe Erforschung dieser Risiken durch Zivilgesellschaft und Wissenschaft ist jedoch absolut zentral, um die Plattformen zur Verantwortung zu ziehen.“

Der DSA ist seit 2022 in Kraft und verpflichtet sehr große Internet-Plattformen und -Dienste mit mindestens 45 Millionen Nutzenden in der EU, jährliche Berichte über Risiken und deren Verhinderung zu veröffentlichen. Die Berichte bestehen aus einer internen Analyse der Plattformbetreiber und einem externen Auditing durch Dritt-Unternehmen, die von den Plattformen beauftragt werden. Üblicherweise übernehmen Rechnungsprüfungsunternehmen das Auditing. Diese Woche wurden erstmals seit Inkrafttreten des DSA solche Berichte veröffentlicht.

Der DSA schreibt nicht im Detail vor, wie die Risikobewertung und Berichtslegung vorzunehmen ist. Auch der Begriff “systemisches Risiko” ist im Gesetzestext sehr breit definiert und kann daher auch von den Plattformen verschieden ausgelegt werden. Den Plattformen steht es außerdem frei, die Berichte redaktionell zu bearbeiten. AlgorithmWatch hat Vorschläge formuliert, diesen Prozess zu optimieren und hat zusammen mit anderen digitalpolitischen Organisationen zu mehr Transparenz bei der Risikobewertung und beim Auditing unter dem DSA aufgerufen.


Glossar:

DSA: Der Digital Services Act (DSA) ist ein EU-Gesetz, das große Internet Plattformen wie Facebook, TikTok oder YouTube zwingt, mehr zu unternehmen, um die Verbreitung illegaler Inhalte und andere Risiken für die Gesellschaft zu unterbinden. Verletzen die Plattformen das Gesetz, drohen ihnen Geldstrafen in Höhe von bis zu sechs Prozent ihres weltweiten Jahresumsatzes.

VLOPs und VLOSEs: Der DSA unterscheidet “sehr große Plattformen“ (Very Large Online Platforms, VLOPs) und „sehr große Suchmaschinen“ (Very Large Online Search Engines, VLOSEs). Als „sehr groß” gelten Plattformen und Dienste mit mehr als 45 Millionen monatlichen Nutzer*innen in der EU. Zu den VLOPs gehören zum Beispiel Facebook, Instagram, TikTok, X und LinkedIn, außerdem Amazon, Temu und booking.com, große Pornografie-Plattformen und auch Wikipedia. Messenger wie Signal oder WhatsApp sind ausgenommen. Aktuell gibt es nur zwei VLOSEs und das sind Google und Bing. Eine vollständige Übersicht gibt es hier:
https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses

Risiko und Risikobewertung: Der Begriff “systemisches Risiko” ist mit dem DSA neu eingeführt worden und umfasst Risiken für den politischen Diskurs, für Grundrechte und die Verbreitung von illegalen Inhalten. Weder die Bedeutung von “systemisch” noch von “Risiko” ist derzeit eindeutig definiert. AlgorithmWatch hat diese Ungenauigkeit bereits kritisiert: https://algorithmwatch.org/en/researching-systemic-risks-under-the-digital-services-act/