Digital Fairness by Design

MMR 2025, 81   Das Legislativpuzzle der europäischen Digitalregulierung scheint noch immer nicht vollständig. Während in den USA unter Donald Trump eine Deregulierung zu erwarten ist (Heinze KIR 2024, 149), soll in der EU nach insbesondere Digital Services Act (DSA), Digital Markets Act (DMA), Data Act (DA), Data Governance Act (DGA), KI-Verordnung (KI-VO), European Media Freedom Act (EMFA), Political Advertising Regulation (PAR) und P2B-Verordnung nun wohl ein weiteres Puzzlestück hinzutreten, womöglich gar als Verordnung: Die Rede ist von einem „Digital Fairness Act“ (DFA) bzw. „Gesetz über digitale Fairness“ (dabei ist der DFA vom gleichlautenden bundestaatlichen Gesetz New Yorks (Assembly Bill A3308) abzugrenzen). Es handelt sich um spezifisches Verbraucherschutzrecht für digitale Kontexte. Die Prognose, dass über den DFA in den kommenden Wochen und Monaten - auch in der MMR - viel zu lesen sein wird, erscheint nicht allzu gewagt.

Worum geht es also? Bereits 2022 lancierte die EU-Kommission einen entsprechenden „Digital Fairness - Fitness Check“ für den Kernbestand des europäischen Verbraucherschutzrechts. Mit diesem griffig-markigen Legislativ-Sprech ist eine Evaluation diverser EU-Richtlinien gemeint, namentlich der UGP-RL (RL 2005/29/EG), der Verbraucherrechte-RL (RL 2011/83/EU) und der Klauselrichtlinie (RL 93/13/EWG). Nach einer Feedbackschleife und einer öffentlichen Konsultation liegen die Ergebnisse des Fitness Checks seit Anfang November 2024 vor (SWD(2024)230 final; SWD(2024) 231 final). Die Kommission identifiziert in ihrer (in quantitativer Hinsicht) üppigen Ausarbeitung diverse Nachbesserungsbedarfe, schweigt aber hinsichtlich der Fragen, ob besagte drei Richtlinien über eine neue Version der Modernisierungs-RL (RL 2019/2161/EU) lediglich reformiert, jene Sekundärrechtsakte bei dieser Gelegenheit in drei Verordnungen überführt (vgl. Busch/Fletcher, CERRE Issue Paper, Shaping the Future of European Consumer Protection: Towards A Digital Fairness Act?, December 2024, S. 11) oder der DFA wirklich als eine neue und eigenständige Verordnung greifen soll (für Letzteres: Busch RDi 11/2024, III: „Geradezu revolutionär“; Namys?owska EuCML 2024, 255 (257); bereits erwogen von Kas/Micklitz/Helberger u.a. [BEUC 2024], Digital Fairness for Consumers, abrufbar unter: https://www.beuc.eu/reports/digital-fairness-consumers; dazu Micklitz/Helberger/Kas u.a. EuCML 2024, 24). Zurückhaltend ist die Kommission außerdem noch hinsichtlich der Ausformulierung konkreter Lösungsvorschläge.

Der Fitness Check moniert nun, besagte Verbraucher-Richtlinien seien in manchen digitalen Lebenssachverhalten nur begrenzt effektiv. Es bestünden ferner bestimmte Schutzlücken, bei denen wiederum das Risiko gegeben sei, dass die mitgliedstaatlichen Gesetzgeber sie auf der nationalen Ebene zu schließen versuchten, was wiederum eine Rechtsfragmentierung und damit Rechtsunsicherheit zur Folge hätte. Deshalb erscheine es angezeigt, einen supranationalen Ansatz zu wählen, der eine kohärente Rechtsanwendung innerhalb des digitalen Binnenmarkts und somit eine wirksamere Einhaltung und Durchsetzung des - außerdem zu vereinfachenden - EU-Verbraucherrechts ermöglicht. Dabei entbehrt es nicht einer gewissen Ironie, dass es doch zuletzt gerade auch der EU-Gesetzgeber war, der mit immer neuen, beinahe stakkatoartig vorgestellten Legislativvorschlägen zur Rechtsfragmentierung beigetragen hat (Miúsáceniác/Tereszkiewicz EuCML 2024, 229 (231); vgl. auch Durovic EuCML 2024, 249 (255)). So müssen Verbraucher, Anbieter und Betreiber von KI-Systemen, Plattformbetreiber usw zwar bei vorhandenem EU-Recht in Form der Verordnung in der Tat weniger den nationalen Besonderheiten Rechnungen tragen; sie haben aber regelmäßig auf der supranationalen Ebene erst einmal diejenigen diversen Regelungen aus den verschiedenen Sekundärrechtsakten zusammenzusuchen, die auf ihren konkreten Fall überhaupt Anwendung finden. Hinzu kommt dann nicht selten noch der diffizile Abstimmungsbedarf der einzelnen EU-Rechtsakte untereinander, zumal gerade das Beispiel des DFA demonstriert, dass neben harte Markt- (zB DMA) und Produktregulierung (zB KI-VO) nun digitales Verbraucherschutzrecht tritt, sodass sich durchaus Diskrepanzen in der übergreifenden teleologischen Stoßrichtung ergeben. Soweit das klassische Verbraucherrecht bislang über Richtlinienvorgaben in nationales Recht umgesetzt wurde, ist es schließlich gerade dieser Ansatz, der selbst beim Vollharmonisierungsgebot gewisse Fragmentierungen nach sich gezogen hat (Busch/Fletcher, CERRE Issue Paper, Shaping the Future of European Consumer Protection: Towards A Digital Fairness Act?, December 2024, S. 10).

Ferner, so die Kommission, seien besonders schädliche Unternehmenspraktiken zu unterbinden bzw. zu regulieren. Explizit nennt das Papier insbesondere Dark Patterns, suchterzeugend kreierte (addictive design) digitale Dienste (vor allem Apps und Games), ausbeuterisches personalisiertes Targeting, einschließlich solches, das sich die Schwächen bestimmter Verbrauchergruppen zunutze macht, Schwierigkeiten bei der Verwaltung und Kündigung digitaler Abonnements und als problematisch ausgemachtes Verhalten von „werbenden“ Influencern in den sozialen Medien. Beinahe sämtliche dieser als neuralgisch ausgemachten Phänomene werden vor dem Hintergrund sich stetig verbessernder Ausprägungen von Künstlicher Intelligenz, die zu Lasten von Verbrauchern missbräuchlich eingesetzt werden kann, als zunehmend problematisch bewertet. Dabei ist es mitnichten so, dass alle der vorstehenden Aspekte bislang gänzlich unreguliert wären. Dies mag zwar insbesondere für suchterzeugende Designs gelten, die etwa in der Ermöglichung von Endlos-Scrolling und im automatischen Abspielen von kurzen Clips nacheinander (Autoplay) gesehen werden können.

Demgegenüber adressiert der DSA aber etwa in seinem Art. 25 DSA (Kaesling NJW 2024, 1609) Dark Patterns ebenso wie Art. 10 Abs. 2 lit. f und Art. 5 Abs. 1 lit. a, lit. b KI-VO (Steinrötter/Markert RDi 2024, 400 (405)). Auch das überkommene Lauterkeitsrecht vermag hier zu helfen (dazu eingehend Steinrötter/Schauer WRP 2024, 873). Es verbleiben aber gewisse Grauzonen, denen sich der DFA offenbar annehmen soll.

Die algorithmische Personalisierung und deren unzulängliche Erfassung durch das Recht werden länger problematisiert (etwa Denga ZfDR 2022, 229; Ebers, MMR 2018, 423; Taeger DSB 2024, 138). Außerdem sind bestehende Do-not-Track-Mechanismen schwer überprüf- und durchsetzbar. Hinsichtlich des hochgranularen Trackings von Personen und darauf basierender Profilbildung sieht Art. 28 DSA bislang immerhin schon einen Schutz für Minderjährige vor. Dies könnte verallgemeinert und auf andere Personen erstreckt werden. Da sich Minderjährige kategorisch als besonders vulnerable Nutzergruppe darstellen, erscheint es überdies denkbar, dass der DFA insofern sogar eine weitere Schutzschicht hinzufügt. Dafür gäbe es Vorbilder, etwa den California Age-Appropriate Design Code Act oder den United Kingdom's Age-Appropriate Design Code.

Wie genau der DFA die iRd Fitness Checks identifizierten Unzulänglichkeiten abzustellen gedenkt, ist allerdings noch weithin offen. Ein vergleichsweise konkreter Vorschlag liegt u.a. darin, sich im Online-Kontext von der normativen Figur des durchschnittlichen Verbrauchers zu verabschieden und an dessen Stelle den digital (temporär) vulnerablen Verbraucher zu setzen (SWD(2024)230 final, 194). Hier dürfte naheliegender Weise rechtspolitische Kritik ansetzen, die dem DFA Paternalismus vorwirft (vgl. Nikiforov, Digital Fairness Act: If and How?, Brussels Privacy Hub Blog Post, October 2024, S. 6 f.). Erste konkretere Regelungsoptionen vermag demgegenüber die Rechtswissenschaft beizusteuern (zur Regulierung von Abo-Modellen: Busch/Twigg-Flesner EuCML 2024, 234; zu Aspekten der Transparenz: Namys?owska EuCML 2024, 255). Bisweilen liest man außerdem, dass der Rechtsakt das existente EU-Digitalrecht mittels Fairness by Design und by Default ergänzen und effektuieren müsse (so Forderungen des Verbraucherzentrale Bundesverbandes (vzbv); abrufbar unter: https://www.vzbv.de/digitale-fairness). Es geht dabei offenbar darum, Vulnerabilitäten bereits auf der Design-Ebene zu berücksichtigen. Das klingt für die (rechts)politische Ebene gut; juristisch handhabbar und bewertbar sind solche vagen Schlagworte einstweilen aber nicht. Hier bedarf es also ebenfalls noch weitergehender Konturierung.

Kommen wir zum eingangs gewählten Bild des Legislativpuzzles zurück: Schon bisher gleicht das Auffinden der einschlägigen Regeln einer mitunter enervierenden Suche nach den passenden Puzzleteilen. Nun kommt also womöglich ein weiteres Teil hinzu. Anstatt immer mehr Puzzlestücke parat zu stellen, die die Rechtsanwender sowie die - unterschiedlichsten! - Aufsichtsbehörden zu sichten und in ein Gesamtbild einzusortieren haben, sollte der EU-Gesetzgeber überlegen, ob er nicht jedenfalls diejenigen der bestehenden Sekundärrechtsakte in einen übergreifenden European Platform Act überführt, die klar plattformspezifisch ausgerichtet sind (diese Idee bereits für die EU-Datenregulierung aufwerfend: Hennemann, abrufbar unter: https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/ein-datengesetzbuch-fuer-alles). Damit könnte er dem - teilweise ohnehin hausgemachten - Problem der Rechtsfragmentierung entgegenwirken.

Geholfen wäre den Rechtsanwenderinnen und Rechtsanwendern allerdings auch schon mit klareren Aussagen zum Zusammen- und Widerspiel der einzelnen Instrumente der EU-Digitalregulierung. Auch und gerade im Verhältnis zum Verbraucherschutzrecht behilft sich der EU-Gesetzgeber mit nichtssagenden „without prejudice to“-Formulierungen (zB Art. 2 Nr. 9 KI-VO). Es bedürfte aber einer aussagekräftigen supranationalen Konkurrenzlehre für das EU-Digitalrecht (so bereits Steinrötter GRUR 2023, 216). Diese beträfe nicht allein die Abgrenzung der sachlichen Anwendungsbereiche der Sekundärrechtsakte voneinander und die Klarstellung diesbezüglicher pauschaler Vorrangstellungen, sondern das Ineinandergreifen und die Auflösung von Redundanzen im Einzelnen. Ein plastisches Beispiel ist die Frage, ob eine digitalrechtliche Vorschrift sich in concreto als datenschutzrechtlicher Legitimationssatz iSv Art. 6 Abs. 1 lit. c DS-GVO eignet. Derlei Rechtsanwendungserleichterungen wären dann zugleich übrigens für alle Beteiligten „Fairness by Design“ im allerbesten Sinne.

Potsdam, im Februar 2025