IT-Recht & Datenschutz

17. Februar 2024: Ab jetzt gilt der Digital Services Act (DSA)

Veröffentlicht am 18th Aug 2023

Ab sofort ist der Digital Services Act für alle digitalen Dienste anwendbar. Seit dem 17. Februar 2024 müssen Vermittlungsdienste die weitreichenden Verpflichtungen erfüllt haben. Dies ist nicht zu unterschätzen, da mitunter ein erheblicher Umsetzungsaufwand entsteht. Teilweise ist es sogar erforderlich, unternehmensintern bestimmte Rollen zu vergeben oder zu schaffen. Doch was ist eigentlich der Digital Services Act, für wen gilt er und was erwartet die betroffenen Unternehmen? 

Business planning meeting, photo of people's hands holding pens and going over papers

Durch den Digital Services Act („Gesetz über digitale Dienste“) setzt die EU einen neuen europäischen Standard für die Regulierung von Vermittlungsdiensten. Die öffentliche Berichterstattung hat sich zunächst vor allem auf Themen wie den Kampf gegen die Verbreitung von Hate Speech und Fake News in sozialen Netzwerken konzentriert. Daher werden derzeit andere weitreichende Auswirkungen oft noch vernachlässigt, so dass das Ausmaß der Regulierungsanforderungen vielen Unternehmen noch nicht deutlich wird: Der DSA nimmt nämlich alle Arten von Online-Diensten, die mit Inhalten Dritter zu tun haben, in den Blick. Der DSA befasst sich zudem auch mit viel mehr als nur der Frage rund um die Löschung von rechtswidrigen Inhalten, sondern beispielsweise auch mit Werbekennzeichnungspflichten. 

Im Folgenden wollen wir einen Überblick über die konkret betroffenen Geschäftsmodelle und die damit verbundenen Anforderungen und mögliche Sanktionen geben.

DSA in a nutshell:

  • Verordnung (EU) 2022/2065 vom 19. Oktober 2022
  • Anwendbar seit dem 17. Februar 2024
  • Für sehr große Online-Plattformen / Online-Suchmaschinen (also solchen mit mehr als durchschnittlich monatlich 45 Mio. aktiven Nutzer:innen in der Union) bereits vier Monate nach Ernennung als sehr große Online-Plattform / Online-Suchmaschine („VLOPs“/“VLOSEs“) durch die Kommission anwendbar, d.h. für die ersten 19 bisher ernannten Dienste bereits seit Ende August 2023 und für die 3 zuletzt benannten Dienste ab Ende April 2024. 
  • Relevant für Vermittlungsdienste, also alle Online-Dienste, die die Informationen Dritter durchleiten, vermitteln, speichern und/oder verbreiten (B2B, B2C, C2C, C2B). 

Beispiele: Soziale Netzwerke, Online-Marktplätze und Vergleichsportale aber auch Cloud-Dienste, Content Delivery Networks, VPNs, DNS-Dienste, Registrierungsstellen und Zertifizierungsstellen, die digitale Zertifikate ausstellen und so mancher vermeintliche Online-Shop, selbst wenn nur vereinzelte Dritte hierauf Inhalte einstellen und verbreiten können.

Was ist der DSA?

Mit dem DSA hat die EU in Gestalt einer Verordnung mit unmittelbarer Rechtswirkung in den Mitgliedstaaten ein neues Instrument für die Regulierung von Vermittlungsdiensten geschaffen. Hierdurch wird auch die über 20 Jahre alte E-Commerce Richtlinie aktualisiert. Bei diesen Diensten geht die EU von besonderen Risiken für die Gesellschaft aus, da sie Inhalte von Dritten – und nicht bloß eigene Inhalte – durchleiten, vermitteln, speichern oder verbreiten. Die EU verfolgt dabei einen abgestuften Regulierungsansatz je nach Art und Größe des Dienstes. Bekämpft werden sollen etwa die Verbreitung von rechtswidrigen Inhalten wie Hate Speech, Fake News, aber auch der Verkauf unsicherer oder gefälschter Produkte durch nicht zu identifizierende Anbieter. Der DSA adressiert dabei zum Teil auch verbraucherschützende Themen wie AGB, die Moderation der bereitgestellten Inhalte (das NetzDG ablösend), „Dark Patterns“ (siehe unsere Microsite) oder besondere Regelungen, die dem Schutz von Minderjährigen gedacht sind. 

Allgemein lässt sich der DSA in drei Regelungsbereiche gliedern: 

  • Ein Regime mit Voraussetzungen für Haftungsfreistellungen im Falle von rechtswidrigen Inhalten Dritter (im Kern Übernahme der Bestandsregelungen aus der E-Commerce Richtlinie; kein selbstständiges Haftungsregime, denn die Frage, ob Inhalte rechtswidrig sind oder wer unter welchen Umständen dafür haftet, richtet sich grundsätzlich nach nationalem Recht bzw. anderen unionsrechtlichen Vorgaben), 
  • die Statuierung von Sorgfaltspflichten, sowie 
  • Durchführungs- und Durchsetzungsbefugnisse für die EU-Kommission und nationale Behörden („Koordinatoren für digitale Dienste“ bzw. „Digital Services Coordinators“, kurz: „DSCs“); in Deutschland wird diese Rolle voraussichtlich eine bei der Bundesnetzagentur angegliederte „Koordinierungsstelle für digitale Dienste“ übernehmen, aber auch der/die Bundesdatenschutzbeauftragte und die Bundeszentrale für Kinder- und Jugendmedienschutz sind derzeit im Gespräch, um spezifische Anforderungen nach dem DSA zu überwachen.

Der DSA ist dabei nicht nur für europäische Unternehmen relevant: Es gilt das Marktortprinzip, sodass es unerheblich ist, ob der Diensteanbieter innerhalb oder außerhalb der EU niedergelassen ist, solange er sich an Nutzer:innen in der Union richtet. 

Welche Geschäftsmodelle sind betroffen?

Der DSA richtet sich an „Vermittlungsdienste“ und hat damit einen nicht zu unterschätzenden weiten Anwendungsbereich. Er erfasst namentlich „Dienste der reinen Durchleitung“, „Caching“-Dienste und „Hosting-Dienste“ (inkl. Online-Plattformen und Online-Marktplätze) sowie Online-Suchmaschinen. Der DSA hat dabei Definitionen der E-Commerce Richtlinie übernommen.

  • Vermittlungsdienste der reinen Durchleitung übermitteln von Nutzer:innen bereitgestellte Informationen in ein Kommunikationsnetzwerk oder eröffnen den Zugang zu einem solchen, ohne in Verbindung zu der übermittelten Information zu stehen. Erfasst werden Internet-Austauschknoten (z.B. DE-CIX), drahtlose Zugangspunkte, virtuelle private Netze (VPNs), DNS-Dienste und DNS-Resolver, Dienste von Namenregistern der Domäne oberster Stufe („top-level domain name registries“), Registrierungsstellen, Zertifizierungsstellen, die digitale Zertifikate ausstellen und jedenfalls in Bezug auf die Haftungsausschlüsse auch Internet-Sprachtelefonie (VoIP) und andere interpersonelle Kommunikationsdienste. Hierunter fallen auch WLAN- und VPN-Anbieter. 
  • Caching-Dienste übermitteln ebenfalls Informationen, die von Nutzer:innen in einem Kommunikationsnetz bereitgestellt werden. In Abgrenzung zur „reinen Durchleitung“ findet in dieser Fallgruppe aber eine automatisierte, zeitlich begrenzte Zwischenspeicherung der übermittelten Informationen statt. Dies jedoch nur, weil die Zwischenspeicherung aufgrund von Effizienzgesichtspunkten notwendig ist. Typische Beispiele sind der Betrieb von Netzwerken zur Bereitstellung von Inhalten („Content Delivery Networks“), Reverse-Proxys oder Proxys zur Anpassung von Inhalten. 
  • Hosting-Diensteanbieter stellen Nutzer:innen eine Infrastruktur für die Speicherung ihrer Daten zur Verfügung. Beispiele sind Cloud-Computing-Dienste, Web-Hosting-Dienste, entgeltliche Referenzierungsdienste oder Dienste, die den Online-Austausch von Informationen und Inhalten ermöglichen (darunter die Speicherung und der Austausch von Dateien). 
  • Online-Plattformen sind eine Unterkategorie der Hosting-Dienste und setzen neben der Speicherung von Drittinformationen voraus, dass die Informationen im Auftrag der Nutzer:innen öffentlich, also für eine potenziell unbegrenzte Zahl an Personen, verbreitet werden. Hierbei ist zu beachten, dass eine „öffentliche Verbreitung“ auch vorliegen kann, wenn zwar eine Registrierung erforderlich ist, diese jedoch automatisch oder ohne menschliche Prüfung erfolgt (ein unternehmensinternes Intranet fällt also nicht darunter, dafür aber Plattformen, bei denen sich jede/r registrieren kann). Die Kategorie erfasst soziale Netzwerke oder die noch mit weiteren DSA-Pflichten versehenen Online-Marktplätze. Letztere zeichnen sich dadurch aus, dass es Unternehmern ermöglicht wird, Fernabsatzverträge mit Verbraucher:innen schließen zu können (d.h. nur B2C-Marktplätze). Reine Nebentätigkeiten, die die Speicherung und Veröffentlichung von Drittinformationen umfassen (z. B. der Betrieb des Kommentarbereichs einer Online-Zeitung), führen noch nicht dazu, dass ein Dienst zur Online-Plattform wird. Dieses Merkmal ist allerdings eng auszulegen und muss sich auf die technische Funktionalität als „Nebensächlichkeit“ beziehen, die kommerzielle Bedeutung spielt hier eine höchstens untergeordnete Rolle.
  • Online-Suchmaschinen ermöglichen Nutzer:innen, in Form eines Stichwortes, einer Spracheingabe, einer Wortgruppe oder einer anderen Eingabe, Anfragen einzugeben, um prinzipiell auf allen Websites eine Suche zu einem beliebigen Thema vorzunehmen und Ergebnisse angezeigt zu bekommen (horizontale Suchmaschinen). Dabei ist das Format des Endprodukts irrelevant, solange die Informationen in Zusammenhang zu dem angeforderten Inhalt stehen (erfasst sind also auch vertikale Suchergebnisse wie etwa eine Online-Bildersuche). 

Was sind VLOPs?

Der DSA normiert zusätzliche Pflichten, die ausschließlich für sog. „sehr große Online-Plattformen“ (very large online platforms - „VLOPs“) oder sehr große Online-Suchmaschinen (very large online search engines – „VLOSEs“) gelten. Maßgeblich dafür ist das Erreichen von monatlich durchschnittlich mindestens 45 Mio. aktiven Nutzer:innen in der Union. Diese Einordnung erfolgt durch Beschluss der EU-Kommission auf Basis von Zahlen, die sämtliche Online-Plattformen und Online-Suchmaschinen bis zum 17. Februar 2023 auf ihrem Dienst veröffentlichen mussten. Ende April 2023 hat die Kommission die erste Designationswelle veröffentlicht, darunter Soziale Netzwerke, Online-Marktplätze, App-Stores und Suchmaschinen. 

Neben einer jährlich zu entrichtenden Aufsichtsgebühr, die die Kosten der Kommission für die Rechtsdurchsetzung decken sollen, müssen die sehr großen Dienste insbesondere eine Risikoanalyse durchführen und unterliegen zusätzlichen Verpflichtungen, etwa bezüglich der AGB, Minderjährigenschutz, der Transparenz der Online-Werbung und der Einrichtung einer Compliance-Abteilung. Die Pflichten des DSA treffen die VLOPs und VLOSEs bereits vier Monate nach ihrer Benennung, in Bezug auf die erste Welle also seit Ende August 2023 und für die zweite Welle ab Ende April 2024.

Warum hat der DSA so erhebliche Auswirkungen? 

Neben neuen Transparenzpflichten (beispielsweise zu Empfehlungssystemen, Werbung, Anbieterinformationen bei Online-Marktplätzen etc.) gibt es insbesondere Vorgaben zu Moderationsprozessen, also dem Umgang mit nach nationalem Recht als rechtswidrig zu beurteilenden Inhalten, aber auch solchen, die nach den eigenen Vorgaben des Anbieters auf dem Dienst verboten sein sollen. Diese Moderationsprozesse werden genau geregelt und müssen detailliert in den AGB beschrieben werden. Der Aufwand hinsichtlich der Umsetzung des Moderationsprozesses ist nicht zu unterschätzen, selbst für die Plattformen, die bereits dem NetzDG oder der französischen Variante hiervon unterfielen (die nationalen Gesetze werden durch den DSA verdrängt, das NetzDG wird es also nicht mehr geben). Online-Plattformen werden von weitergehenden Pflichten getroffen und müssen bspw. ein Beschwerdemanagement-System einführen, aber auch besonderen Anforderungen an Werbung sowie Empfehlungssystemen genügen und in besonderem Maße den Minderjährigenschutz beachten. Auch hier ist eine frühzeitige Befassung mit den Rechten und Pflichten elementar, da der Implementierungsaufwand enorm ist. Der DSA erfordert nicht nur Anpassungen der AGB, sondern hat auch weitreichende Folgen für die Benutzeroberfläche, die die Entwickler-Teams oft monatelang beschäftigt halten. Zudem müssen interne Prozesse umgestellt und ggf. neue unternehmensinterne Rollen geschaffen werden.

Zudem hat der DSA, aufbauend auf der E-Commerce Richtlinie, die Haftungsprivilegien bei rechtswidrigen Drittinhalten harmonisiert und insbesondere EuGH-Rechtsprechung zur E-Commerce Richtlinie kodifiziert. Im Kern gilt weiterhin: Hosting-Dienste (einschließlich Online-Plattformen und Online-Marktplätze) haften nur dann für rechtswidrige Drittinhalte, sofern sie tatsächliche Kenntnis von einer rechtswidrigen Tätigkeit oder rechtswidrigen Inhalten haben oder sobald sie diese Kenntnis oder dieses Bewusstsein erlangen und nicht „zügig“ tätig werden, um den Zugang zu den rechtswidrigen Inhalten zu sperren oder diese zu entfernen.

Was sind die Konsequenzen bei einer Verletzung der neuen Vorschriften?

Die Mitgliedstaaten sind grundsätzlich verantwortlich für die Überwachung, Durchsetzung und Sanktionierung (durch die jeweiligen „Koordinatoren für digitale Dienste“). Eine Ausnahme hiervon bilden die VLOPs und VLOSEs, die von der EU-Kommission überwacht werden. Insbesondere ist zu beachten, dass gegen die Anbieter Geldbußen und Zwangsgelder verhängt werden und Nutzer:innen nach dem anwendbaren nationalen oder sonstigem Unionsrecht Schadensersatz verlangen können. Dabei beträgt der Höchstbetrag für Geldbußen 6 % des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtjahresumsatzes, also noch einmal mehr als etwa bei der DSGVO. Die in Deutschland geltenden Sanktionen werden im noch zu erlassenden „Digitale-Dienste-Gesetz“ (DDG) geregelt.

 

Hier finden Sie den Insight auf Englisch.

Social Media
Interested in hearing more from Osborne Clarke?
Register now for more insights, news and events from across Osborne Clarke
Jetzt anmelden
Related articles
Datenschutzrechtliche Herausforderungen beim Einsatz von KI-Diensten
06/02/2024 3 mins
Befürchtung vor Datenmissbrauch kann bereits Schaden darstellen: EuGH ebnet Weg für Massenklagen nach IT-Incidents
20/12/2023 11 mins
EuGH zu Deutsche Wohnen: DSGVO-Bußgelder setzen Verschulden voraus – Behörden müssen ihre Bußgeldpraxis ändern
06/12/2023 8 mins
Quick Bites: NIS-2 kommt – Wie können sich Unternehmen vorbereiten?
22/08/2023 3 mins

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Sprechen Sie uns an

Interested in hearing more from Osborne Clarke?
Register now for more insights, news and events from across Osborne Clarke
Jetzt anmelden