DeusterDevelopment
← Zurück zur Übersicht

Warum globale Technik keine lokalen Regeln mag

Globale Software wirkt oft so, als könne sie überall gleich funktionieren. In der Praxis scheitert sie selten an Technik – sondern an lokalen Regeln, unterschiedlichen Behördenwegen und widersprüchlichen Pflichten. Dieser Beitrag erklärt, warum „ein System für alle“ in Europa und weltweit schnell zu „vielen Varianten desselben Systems“ wird, und warum das Systeme lauter, teurer und fehleranfälliger macht.

Warum globale Technik keine lokalen Regeln mag

Globale Technik liebt Wiederholbarkeit.

Ein Codepfad. Ein Release. Ein Betriebskonzept. Ein Incident-Playbook.

Lokale Regeln lieben Ausnahmen.

Ein Sonderfall. Eine nationale Behörde. Eine zusätzliche Frist. Ein anderes Verständnis zu derselben Definition.

Dies ist kein moralisches Thema. Es ist ein Systemproblem.

In der EU gibt es Regeln, welche ausdrücklich zur Harmonisierung dienen sollen, zum Beispiel die DSGVO (GDPR). Trotzdem bleibt der Alltag für Betreiber häufigerweise fragmentiert, und zwar weil:

  • Gesetze zur Ergänzung oder Konkretisierung von nationalen
  • Aufsichtsbehörden priorisieren unterschiedlich
  • Auslegung und Durchsetzung nicht überall die gleichen sind

Die DSGVO ist hierfür ein gutes Beispiel: Sie ist als EU-Verordnung direkt anwendbar, aber die Praxis wird stark von Interpretation und Durchsetzung geprägt.

Das Gesetz über digitale Dienste (DSA) betrifft Online-Dienste in der EU und legt differenzierte Pflichten fest, abhängig von Funktion und Umfang. Für sehr große Plattformen gelten zusätzliche Anforderungen laut.

Tatsächlich heißt dies:

  • du musst Prozesse erstellen, die formale Anforderungen erfüllen
  • du brauchst auf jeden Fall klare Zuständigkeiten (Compliance, Legal, Trust & Safety, Incident Response)
  • man wird in eine Aufsichtslogik verwickelt, die sich je nach Nation unterschiedlich darstellt

Auch wenn das Gesetz „einheitlich“ ist, ist die Umsetzung organisatorisch nie trivial. Die Umsetzung ist insofern nie trivial.

Ein häufiges Problem ist nicht „zu wenig Klarheit“. Es ist zu viel gleichzeitig.

Beispiel: DSA-Pflichten (z.B. Transparenz, Forschungsschnittstellen) berühren den Datenschutz (DSGVO). Hierzu existieren mittlerweile sogar spezifische Richtlinien zur Verbindung DSA/GDPR.

Das zugrunde liegende Schema zählt:

  • Ein Erlass verlangt größere Deutlichkeit.
  • Auch ein anderes Gesetz fordert mehr an Begrenzung.
  • Technik soll eben dies zur gleichen Zeit liefern.

Das führt selten zu einer Eleganz. Es führt zu Zusatzschichten.

Die digitale Identität ist quasi der Traum von jedem großen System: eindeutige Nutzer, weniger Betrugsfälle, sauberere Prozesse.

Durch eIDAS 2.0 wurde der Rahmen weiterentwickelt. Dies ist eine Änderung der eIDAS-Verordnung für europäische digitale Identität/Wallets. Die Anpassung ist als EU-Verordnung festgelegt worden.

Aber Identität ist immerhin lokal:

  • nationale Ausweisdokumente
  • nationale Register
  • nationale Ausgabestellen
  • Logik für nationale Sicherheitsaspekte und Zertifizierungsaspekte

Ergebnis: Ein europäischer Rahmen schafft Richtung , doch Implementierung bleibt politisch und administrativ kleinteilig.

Der EU-AI-Act ist ein weiteres Beispiel. Es geht um globale Technik unter lokalen Regeln.

Die EU beschreibt bezüglich den regulatorischen Rahmen und den gestuften Ansatz (u.a. Risikoklassen). Auch die Umsetzung geschieht nicht mit einem Mal, sondern erfolgt in verschiedenen Phasen.

Für Betreiber bedeutet das:

  • du brauchst an Klassifizierung, Dokumentation, Nachweise
  • Updates erfordern von dir sichere Prozesse
  • du brauchst Release- und Rollback-Logik, die in Bezug auf „rechtlich sauber“ bleibt

Technik wird hier eben nicht besser, weil sie mehr kann, sondern eben weil sie mehr belegen muss.

Wenn lokale Regeln mit Systemen global interagieren, resultieren gewöhnliche Auswirkungen:

  • Feature-Splits: Eine Funktion ist nur in einigen Ländern vorhanden
  • Policy-Splits: Funktion identisch, Parameter/Fristen/Prozesse verschieden
  • Data-Splits: Die Datenhaltung unterscheidet sich. Die Datenflüsse unterscheiden sich ebenfalls.
  • UX-Splits: Nutzer erleben Unterschiede. Diese Unterschiede können sie nicht verstehen.

Das ist teuer, aber vor allem auch riskant. Das gilt es zu bedenken. Mehr Varianten bedeuten mehr Fehlerflächen im System.

Globale Technik wird oft durch die lokalen Regeln beschränkt.

  • erklärungsbedürftiger (mit mehr Hinweisen, mehr Policies, mehr Zustimmungen)
  • schwerer zu warten (mehr an Sonderfällen, mehr an Tests, mehr an Releases)
  • anfälliger (durch mehr Integration, durch mehr Prozessstellen, durch mehr Abhängigkeiten)

Das führt ferner zurück zu einem simplen Punkt:

Nicht jeder Sonderfall liegt im Falschen. Doch jede Ausnahme raubt Gelassenheit.

Globale Technik scheitert selten an fehlenden Ideen, vielmehr an der Summe lokaler Ausnahmen.

Was im Beitrag als Fakt genutzt wird

  1. Der Digital Services Act (DSA) gilt für Online-Dienste in der EU und sieht abgestufte Pflichten vor; für „Very Large Online Platforms/Search Engines“ gelten strengere Regeln.
  2. Es gibt explizite Datenschutz-Bezüge und Diskussionen zur Schnittstelle DSA ↔ DSGVO (GDPR), inkl. Leitlinien/Interpretationsbedarf.
  3. eIDAS wurde 2024 durch eine EU-Verordnung geändert (eIDAS 2.0 / EU Digital Identity-Rahmen).
  4. Die EU hat einen regulatorischen Rahmen für den AI Act und eine gestufte, zeitlich gestreckte Umsetzung; die EU-Kommission hat wiederholt betont, dass der Zeitplan weiterläuft.

DSA – Überblick:

DSA – VLOPs/VLOSEs (45 Mio. Schwelle):

EDPB-Leitlinien zur Schnittstelle DSA/GDPR (PDF):

GDPR „six years in“ (Diskussion Harmonisierung vs. Praxis, PDF):

eIDAS 2.0 (EU-Verordnung im EUR-Lex):

EU-Kommission – EU Digital Identity Wallet / Rahmen:

AI Act – EU-Kommission (Überblick, Status):

Reuters: EU hält am AI-Act-Zeitplan fest (Einordnung der Umsetzungsphasen):