Was regelt der Digital Services Act?
Am 16.11.2022 ist die Verordnung über einen Binnenmarkt für digitale Dienste – der Digital Services Act (DSA) – in Kraft getreten. Der DSA ist ein Kernelement der EU-Digitalstrategie der EU-Kommission und steht in engem Zusammenhang mit weiteren regulatorischen Vorhaben – insbesondere dem Digital Markets Act (DMA). Zentrales Anliegen der Strategie der EU-Kommission ist die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit des europäischen Binnenmarkts im digitalen Zeitalter. Der DSA und der DMA konzentrieren sich auf die Regulierung der in der EU angebotenen digitalen Dienste und schaffen einen klaren Transparenz- und Rechenschaftsrahmen für die Anbieter:innen solcher Dienste. Während die wettbewerbsrechtlichen Regeln des DMA in erster Linie für Gatekeeper gelten, nimmt der DSA für die Durchsetzung des Grundrechts- und Verbraucherschutzes alle Vermittlungsdienste in den Blick.Diese haben nun bis zum 17.02.2024 Zeit, ihre betrieblichen Abläufe auf das vorgesehene Pflichtenprogramm umzustellen – es lohnt sich aber, schon jetzt damit zu beginnen. Doch für wen gilt der DSA genau und welcher Handlungsbedarf besteht für die betroffenen Unternehmen? Unser Beitrag gibt einen ersten Überblick.
Für wen gilt der Digital Services Act?
Der DSA richtet sich an Vermittlungsdienste, die für Nutzer:innen in der Europäischen Union angeboten werden. Begrifflich ist dies sehr weit und erfasst alle digitalen Dienste, die Verbraucher:innen einen Zugang zu Dienstleistungen, Inhalten und Waren gestatten – sprich eine Vermittlerfunktion einnehmen. Konkret nimmt der DSA damit Access-, Caching- und Hosting-Anbieter:innen in den Blick. Neben Internetzugangsdiensten (z.B. der Telekom), sind dies etwa Online-Plattformen (z.B. soziale Netzwerke), Suchmaschinen und Online-Handelsplattformen. Die Größe – d.h. die Nutzer:innenzahl – des Dienstes spielt für die Anwendung des DSA zunächst keine Rolle. Allerdings gelten die spezifischen Vorschriften über Online-Plattformen und Online-Handelsplattformen nicht für Kleinst- und Kleinunternehmen. Darüber hinaus gelten besonders strenge Regeln für sehr große Online-Plattformen und sehr große Online-Suchmaschinen (sog. Gatekeeper). Um als solche zu gelten, muss die durchschnittliche monatliche Nutzer:innenzahl bei mindestens 45 Millionen liegen und eine ausdrückliche Benennung durch die EU-Kommission stattgefunden haben. Damit sollen vor allem Big-Tech-Konzerne wie Google oder Meta angesprochen werden.
Haftung für illegale Inhalte
Der DSA gestaltet zunächst unterschiedliche Haftungsregeln für Access-, Caching und Hosting-Dienste aus. Im Grundsatz haften die Dienste-Anbieter:innen nicht für übermittelte rechtswidrige Inhalte, es bestehen jedoch Ausnahmen. Access-Provider dürfen beispielsweise die Übermittlung nicht selbst veranlasst haben oder den Adressaten des Inhalts auswählen. Caching- und Hosting-Dienste treffen darüber hinaus bestimmte Sperr- bzw. Entfernungspflichten. Hosting-Anbieter:innen haften etwa nur dann nicht, wenn sie keine tatsächliche Kenntnis von den rechtswidrigen Inhalten haben und diese nach Kenntniserlangung zügig sperren oder entfernen. Insgesamt trifft die Dienste jedoch keine Überwachungspflicht. Neu eingeführt wurde dagegen die sogenannte „Gute-Samariter-Klausel“. Sollten Anbieter:innen freiwillige Nachforschungen anstellen, können sie sich trotzdem auf die genannten Haftungserleichterungen berufen.
Neue Sorgfaltspflichten für Hosting-Anbieter:innen
Um eine reibungslose digitale Kommunikation zu gewährleisten, müssen Vermittlungsdienste künftig zentrale elektronische Kontaktstellen für Behörden und Nutzer:innen bereitstellen. Daneben gelten neue Transparenzbestimmungen für die Ausgestaltung Allgemeiner Geschäftsbedingungen (AGB). Dienste müssen beispielsweise Nutzungsbeschränkungen und Angaben zu den Leitlinien ihrer Moderationsentscheidungen offenlegen. Über durchgeführte inhaltliche Moderationen muss ein jährlicher Transparenzbericht veröffentlicht werden.
Weitere Pflichten nach Art und Größe des Dienstes
Abhängig von Art und Größe des Dienstes legt der DSA zudem gestufte Sorgfaltspflichten für Hosting-Dienste, Online-Plattformen, Online-Handelsplattformen und Gatekeeper fest. Für die genannten Dienste gelten künftig umfassende Vorschriften zum Umgang mit illegalen Inhalten. Um rechtswidrige Einzelinformationen wirksam zu bekämpfen, muss ein Notice-and-take-down-Mechanismus zur Verfügung stehen, über Nutzer:innen niedrigschwellig eine Meldung abgeben zu können. Da Anbieter:innen mit der Beanstandung ausdrücklich Kenntnis über den rechtswidrigen Inhalt erlangt, sind Meldungen auch für haftungsrechtliche Fragen relevant. Darüber hinaus verpflichtet der DSA den jeweiligen Dienst, die betroffenen Nutzer:innen über seine Moderationsentscheidungen zu informieren. Erlangt der/die Anbieter:in Informationen, die den Verdacht der Begehung von Straftaten gegen Personen naheliegen, muss dies den zuständigen Strafverfolgungsbehörden gemeldet werden.
Online-Plattformen, Online-Handelsplattformen und Gatekeeper sind darüber hinaus verpflichtet, ein internes Beschwerdemanagement, sowie eine außgerichtliche Streitbeilegungsstelle einzurichten. Bei der Ausgestaltung ihrer Meldemechanismen müssen sie Meldungen von behördlich benannten „trusted-flaggers“ bevorzugt behandeln und Nutzer bei missbräuchlicher Verwendung vom Gebrauch des Meldesystems ausschließen. Mit dem Verbot von „dark patterns“ soll eine täuschungs- und manipulationsfreie Gestaltung des Dienstes gewährleistet werden. Über geschaltete Werbung und Funktionsweise der verwendeten Empfehlungssysteme (Algorithmen) müssen die Nutzer künftig engmaschig informiert werden. Auch für den Schutz Minderjähriger gelten spezifische Vorschriften – etwa Einschränkungen in der Online-Werbung. Mit verschiedenen Berichtspflichten – beispielsweise zur Nutzer:innenzahl – soll ein Mindestmaß an Transparenz seitens der Dienste sichergestellt werden.
Damit Verbraucher:innen ihre Rechte durchsetzen können, müssen Online-Handelsplattformen künftig die Nachverfolgbarkeit der nutzenden Unternehmer:innen sicherstellen. Zugleich soll diesen ihre Pflichterfüllung durch entsprechende Technikgestaltung ermöglicht werden. Durch Stichprobenkontrollen sollen rechtswidrige Produkte und Dienstleistungen bekämpft und die Verbraucher:innen diesbezüglich informiert werden.
Aufgrund ihrer Größe und Reichweite geht von Gatekeepern ein besonderes Gefahrenpotenzial für Individuen und die Gesellschaft aus. Durch den DSA sollen diese systemischen Risiken begrenzt werden. Plattformen und Suchmaschinen, die unter den Begriff des Gatekeepers fallen, müssen künftig etwa ihr spezifisches Risiko bewerten und wirksame Minderungsvorkehrungen treffen. Auch für Transparenz in der Online-Werbung und bezüglich der Auswahl von Empfehlungssystemen gelten für sie strengere Vorschriften.
Das könnte Sie auch interessieren:
- EU-Datenregulierung für Unternehmen: Ein umfassender Überblick
- dID-Richtlinie: Auswirkungen der neuen Regelungen im BGB auf das IT-Vertragsrecht
- Beschluss der Datenschutzkonferenz zu Gastaccounts im Online-Handel
- Kassenloses Bezahlen im Fokus der Datenschützer
Wer setzt den Digital Services Act durch?
Die Durchsetzung der Anforderungen aus dem DSA liegt überwiegend in der Verantwortung der Mitgliedstaaten. Einzig die Überwachung und Durchsetzung des DSA gegenüber sehr großen Online-Plattformen und -Suchmaschinen erfolgt durch die EU-Kommission. Die Beaufsichtigung der übrigen Vermittlungsdienste erfolgt durch eine oder mehrere mitgliedstaatlich benannte Behörden. Für welche konkrete behördliche Ausgestaltung sich der deutsche Gesetzgeber hierbei entscheiden wird, ist im Moment noch unklar. Für die Wahrnehmung der zentralen Aufsichtsbefugnisse muss jedenfalls eine Behörde zum Koordinator für digitale Dienste ernannt werden. Bezüglich der Aufsichtsregeln liegt dem DSA dabei ein zweigliedriges System zugrunde. Durch umfassende Untersuchungsbefugnisse, wie etwa Auskunfts- und Nachprüfungsrechte, kann der Koordinator die Einhaltung der Bestimmungen überprüft werden. Bei Verstößen oder fehlender Kooperation kann der/die Koordinator:in zudem auf eine Reihe von Durchsetzungsbefugnissen zurückgreifen. So ermöglicht der DSA – ähnlich der DSGVO – die Verhängung sehr hoher Bußgelder (bis zu 6 % des Jahresumsatzes). Daneben können sich Nutzer:innen im Falle mutmaßlicher DSA-Verstöße bei dem/der Koordinator:in beschweren und unter Umständen Schadensersatz verlangen.
Was ändert sich durch den Digital Services Act?
Einige Elemente des DSA sind dem deutschen Recht nicht gänzlich neu. Die Haftungsprivilegierungen für Vermittlungsdienste und somit zumindest die mittelbare Pflicht zur Entfernung illegaler Inhalte sind bereits aus der eCommerce-Richtlinie aus dem Jahre 2000 bekannt. Auch für die Meldung strafbarer Inhalte bestand mit dem Netzwerkdurchsetzungsgesetz bereits eine rudimentäre rechtliche Handhabe. Durch den DSA werden diese Pflichten jedoch präzisiert, erweitert und mit einem scharfen Schwert versehen. Bereits bestehende Prozesse diesbezüglich sollten deshalb nicht ungeprüft weitergeführt werden, sondern auf ihre Vereinbarkeit mit den neuen Vorschriften des DAS hin untersucht werden. Die meisten Regelungen des DSA bedeuten grundlegende Neuerungen und geben den betroffenen Unternehmen einigen Handlungsbedarf auf. So müssen sich künftig alle Hosting-Dienste mit den neuen Anforderungen an Kontaktstellen, AGB-Gestaltung und Transparenzberichtspflichten auseinandersetzen. Für Online-Plattformen und Online-Handelsplattformen gelten die ergänzenden Vorschriften. Um die Einhaltung dieser Vorgaben zu gewährleisten, wird in den meisten Fällen die Implementierung vollständig neuer Prozesse notwendig sein.
Ausblick und Fazit
Der DSA nimmt vor allem Hosting-Anbieter:innen, mittlere bis große Online-Plattformen und Online-Handelsplätze, sowie Gatekeeper in den Blick. Für die Umsetzung der Anforderung haben die betroffenen Unternehmen bis zum Ablauf der vorgesehenen Übergangsfrist bis zum 17.02.2024 Zeit. Gatekeeper müssen die Anforderungen unter Umständen jedoch schon vor dem Ablauf dieser Übergangsfrist umsetzen (vgl. Art. 92 DSA). In Deutschland steht aktuell die Umsetzung des DSA, insbesondere die Auswahl des Koordinators für digitale Dienste, im Fokus. Die mitgliedstaatliche Ausgestaltung soll im Laufe des Jahres durch ein Bundesgesetz erfolgen. Die wesentlichen Anforderungen an Unternehmen stehen jedoch jetzt schon fest. Vor dem Hintergrund möglicher Sanktionen sollten sich Unternehmen bereits jetzt damit beschäftigen, welche Regeln des DSA für sie Anwendung finden. Bestehende Prozesse sollten geprüft und angepasst werden. Besonderer Beratungsbedarf besteht insofern vor allem bei der Umsetzung der neu eingeführten Sorgfaltspflichten.
Wir sorgen dafür, dass Sie die neuen Compliance-Anforderungen des DSA erfüllen