Bonn (KNA) Es ist Herbst 2023, zwei Tage vor den Wahlen in der Slowakei. Auf Facebook postet ein Nutzer eine Audioaufnahme. Darauf sind die Stimmen von Michal Simecka, Vorsitzender der liberalen Partei Progressive Slowakei, und der Journalistin Monika Todova von der Tageszeitung "Dennik N" zu hören. So scheint es zumindest. Wenig später stellt sich heraus: Die Aufnahme weist Anzeichen von Audio-Manipulation durch KI auf. Im vermeintlichen Gespräch schienen sie zu diskutieren, wie Simecka mithilfe der Zeitung die Wahlen manipulieren könnte, indem er etwa Wahlstimmen der marginalisierten Roma kauft. Simecka und die "Dennik N" reagieren schnell und erklären unmittelbar, die Audioaufnahme sei eine Fälschung. Geteilt wird sie im Netz trotzdem lange ungehindert. Denn die Angreifer nutzten ein Schlupfloch innerhalb der Richtlinien des Facebook-Mutterunternehmens Meta. Als "manipulierte Medien" gelten hier lediglich gefälschte Videos. Sie können als Regelverstoß gemeldet und von Meta gesperrt werden. Audioaufnahmen sind von dieser Regelung nicht betroffen. Simeckas Partei verlor die Wahlen. Wie groß der Anteil Metas gewesen sein mag, ist unmöglich zu sagen. Trotzdem könnten der Deepfake und Metas Untätigkeit Einfluss auf die Wahlentscheidung der Slowakinnen und Slowaken gehabt hat. Der Fall zeigt, welche Risiken solche Aktionen auf Online-Plattformen haben können. Um sie zu kontrollieren, erließ die EU 2022 den Digital Services Act (DSA). Das Gesetz soll Nutzerinnen und Nutzer besser vor Gefahren im Netz schützen und Plattformen sicherer machen. Es reguliert dabei nicht, welche Inhalte online geteilt werden dürfen und welche nicht, sondern macht Vorgaben, wie Plattformen gestaltet sein müssen, um Risiken möglichst einzudämmen. Dabei geht es beispielsweise darum, wie Inhalte, die gegen nationale Gesetze verstoßen, gemeldet und gelöscht werden können. Um diese Bemühungen für mehr Sicherheit kontrollieren zu können, müssen Online-Plattformen ab einer bestimmten Nutzeranzahl jährlich Risiko-Berichte veröffentlichen. Das betrifft zum Beispiel Facebook und YouTube, aber auch Suchmaschinen wie Google oder Bing. Dafür müssen sie sogenannte "systemische Risiken" ihrer Dienste prüfen und extern prüfen lassen. Daneben müssen sie erklären, mit welchen Maßnahmen sie diese Risiken adressieren wollen. Eines der obersten Ziele des Digital Services Act: Transparenz herstellen. Doch das klappt offenbar nicht besonders gut. Seit Ende November sind die ersten Berichte online - und werfen Fragen auf. "Die Risiko-Berichte sind wenig aussagekräftig", zieht Clara Helming ein vorläufiges Fazit. Sie ist Senior Advocacy und Policy Manager bei der zivilgesellschaftlichen Organisation AlgorithmWatch. Zusammen mit Oliver Marsh, Head of Tech Research bei AlgorithmWatch, hat sie einige der Berichte gesichtet. "Sie suggerieren, dass auf den Plattformen alles in Ordnung ist, enthalten aber keine neuen Informationen, keine neuen Zahlen, sondern lediglich Aspekte, die die Unternehmen schon vorher überwacht haben." Auch seien teils Messwerte angegeben, ohne die zugrundeliegende Messmethode transparent und nachvollziehbar zu machen. Bevor die Unternehmen ihre Berichte auf ihrer Webseite veröffentlichen, übergeben sie sie an Wirtschaftsprüfungsunternehmen wie Deloitte oder EY, die ein sogenanntes Auditing vornehmen. Darin überprüfen sie die unternehmensinternen Berichte und schlagen, wenn nötig, Maßnahmen gegen systemische Risiken vor. Vor Veröffentlichung dürfen die Digitalkonzerne die Berichte dann noch einmal bearbeiten und sogar Passagen schwärzen. Die Analyse der ersten Berichte führt zu einem ernüchternden Ergebnis: Sie sind bereits jetzt veraltet, denn sie decken den Zeitraum von September 2022 bis August 2023 ab. Außerdem sind die externen Prüfungen durch die Rechnungsprüfer lückenhaft. In den Berichten über Facebook, Instagram und TikTok fehlen beispielsweise die internen Risikobewertungen der Plattformbetreiber. Die Prüfer begründen das nebulös mit "laufenden Untersuchungen der EU-Kommission", weswegen sie die Eigenbewertung der Plattformen nicht einbeziehen könnten. Zwar scheinen die Unternehmen ihre Berichte im Sinne der Transparenz in gleicher Form der Europäischen Kommission und der Öffentlichkeit zur Verfügung zu stellen, weiß Helming aus Gesprächen der Kommission, die diese regelmäßig mit zivilgesellschaftlichen Organisationen führt. "Das wirkt wie eine gute Nachricht, heißt aber auch, dass die Kommission so viel weiß wie wir und wir wissen ehrlich gesagt nicht besonders viel." Bislang hat die Kommission noch keinen formalen Leitfaden dafür entwickelt, wie Unternehmen die Risiken, die durch ihre Plattformen entstehen, konkret prüfen sollen. Zudem gibt es noch eine weitere Schwierigkeit: Der Ausdruck "systemische Risiken" ist im Gesetz sehr vage angelegt. Als "systemische Risiken" fasst der DSA unter anderem die "Verbreitung rechtswidriger Inhalte". Dazu kommen alle Inhalte, die Wahlprozesse, die öffentliche Sicherheit oder auch die öffentliche Gesundheit negativ beeinflussen. Sie können aber auch dann bestehen, wenn personenbezogene Daten nicht geschützt sind oder der Medienpluralismus bedroht ist. Plattformen können laut Gesetz diese Risiken reduzieren, indem sie Inhalte moderieren, beispielsweise Darstellungen von Gewalt in Ton und Bild sowie Hassrede. Außerdem können sie problematische Werbeinhalte herausfiltern und entsprechende Geschäftsbedingungen bei Verstößen durchsetzen. Es sei sinnvoll, die Definition nicht zu eng zu fassen, sagt Helming, um möglichst viel abzudecken. Plattformen können den Begriff so aber auch unterschiedlich auslegen. Marsh und andere Fachleute bemerken in einer Studie für AlgorithmWatch, dass es für die Definition der systemischen Risiken außerdem eine große Rolle spielt, auf welchen Kontext ein Vorfall bezogen wird. Es gebe außerdem Graubereiche, wo fraglich ist: Welche Maßnahmen, die eigentlich systemische Risiken reduzieren sollen, schränken die Meinungsfreiheit ein? So kann zum Beispiel der eingangs beschriebene Deepfake aus dem slowakischen Wahlkampf als Risiko für den demokratischen Wahlvorgang, als Verletzung der Menschenwürde, auf der anderen Seite aber auch im Sinne der freien Meinungsäußerung verstanden werden. Wie Plattformen mit solch heiklen Fällen umgehen, soll nach dem Wunsch der EU-Gesetzgeber Teil einer öffentlichen Debatte werden. Grundsätzlich können die Risikoberichte bei der Beurteilung der Plattform-Risiken helfen, so Helming: "Aber sie müssen noch viel informativer und umfassender sein." Im Moment drohe diese Einrichtung zu einem "Transparenztheater" zu werden, bei dem die Plattformen ihre Berichte eher als Marketinginstrument zur Imagepflege nutzen.