Zurück zur Übersicht
19.12.2022Fachbeitrag

Update Datenschutz Nr. 127

Der Digital Services Act: Erste Pflichten sind schon bis Februar 2023 umzusetzen

Am 16. November 2022 ist der Digital Services Act („DSA“) als EU-Verordnung in Kraft getreten. Bereits im Februar 2024 müssen alle Pflichten aus dem DSA umgesetzt sein – manche sogar schon am 17. Februar 2023. Selbst kleinere Online-Unternehmen müssen sich also schnell mit den neuen Regeln vertraut machen und reagieren, wenn sie rechtzeitig DSA-konform sein wollen, große Online-Plattformen und -Suchmaschinen müssen sogar noch früher tätig werden. 

Kleine und mittlere Unternehmen haben sich bisher oftmals noch nicht intensiv mit den neuen Regelungen auseinandergesetzt. Da die ersten Maßnahmen aber schon in knapp zwei Monaten umgesetzt sein müssen, ist schnelles Handeln geboten – bestenfalls unter Hinzuziehung externer Hilfe, damit sie in der Kürze der Zeit keine Verstöße gegen die neue Verordnung übersehen, die zu Bußgeldern von bis zu 6 % des weltweiten Jahresumsatzes führen können.

A. Überblick

Der DSA soll die Nutzung digitaler Vermittlungsdienste komplett neu regeln und den Grundrechts- und Verbraucherschutz stärken, indem er für illegale Inhalte, die auf diesen Plattformen eingestellt werden, neue Haftungsvorschriften schafft. Zudem gibt es neue strenge Sorgfaltspflichten, deren Missachtung mit Bußgeldern geahndet werden kann. Weitere Ziele des DSA sind die Förderung von Innovation und Wachstum sowie der Wettbewerbsfähigkeit von kleinen Plattformen, KMU und Start-Ups, damit sich diese nicht den Regeln sogenannter digitaler Gatekeeper beugen müssen.

Wie auch schon unter dem Telemediengesetz (TMG) und der eCommerce-Richtlinie, die der DSA zum Teil ersetzt, haften die Anbieter digitaler Vermittlungsdienste nicht selbst, wenn ihre Nutzer illegale Inhalte einstellen bzw. illegale Waren und Dienstleistungen anbieten. Erst wenn die Anbieter Kenntnis von der Existenz und Rechtswidrigkeit solcher illegalen Inhalte erlangen, müssen sie tätig werden. Eine eigenständige Überwachungspflicht trifft die Betreiber aber auch in Zukunft nicht (Art. 8 DSA). Es ist jedoch ein sog. Notice-and-Takedown-Verfahren für digitale Inhalte bereitzustellen, über das Nutzer diese melden können und über das dann auch effektiv Abhilfe geschaffen wird. Hier ändert sich für Betreiber also grundsätzlich wenig, lediglich behördliche Lösch- und Auskunftsanordnungen richten sich nun nach einem vereinheitlichten Verfahren. Diese Haftungsprivilegierung bleibt selbst dann bestehen, wenn der Vermittlungsdienst aufgrund freiwillig durchgeführter Untersuchungen Kenntnis von illegalen Inhalten erlangt.

Bedingung der Haftungsprivilegierung für illegale Inhalte ist aber in jedem Fall, dass die angebotene Dienstleistung neutral und durch die rein technische und automatische Verarbeitung von durch die Nutzer bereitgestellte Informationen erfolgt. Sie entfällt also, wenn die Beiträge durch den Online-Vermittlungsdienst noch einmal geprüft, gefiltert oder geändert werden.

Im Falle von Verstößen drohen nicht nur Bußgelder und Schadensersatzansprüche der durch den Verstoß betroffenen Nutzer. Die Behörden erhalten auch umfassende Durchsetzungsbefugnisse, die bei wiederholten Verstößen bis zur Schließung eines Online-Dienstes reichen können.

B. Wer muss handeln?

Der DSA erstreckt sich auf alle Online-Vermittlungsdienste sowie sehr große Suchmaschinen, die im EU-Binnenmarkt angeboten werden, selbst wenn sich der Sitz des Anbieters außerhalb der EU befindet (Marktortprinzip, bekannt aus der DSGVO).

Erfasst sind grundsätzlich nur kommerzielle Dienste, die über ein Infrastruktur-Netz verfügen und für ihre Nutzerinnen und Nutzer Informationen weiterleiten oder speichern, welche von diesen zur Verfügung gestellt wurden. Hierunter fallen etwa Internetanbieter oder Domainnamen-Registrierstellen, Cloud- und Webhosting-Dienste, Online-Marktplätze, App-Stores, Social-Media-Plattformen oder Suchmaschinen. 

Dabei unterscheidet der DSA in die drei Formen „reine Durchleitung“, „Caching“ und „Hosting“. Reine Durchleitung erfolgt etwa bei Internet-Austauschknoten, drahtlosen Zugangspunkten, virtuellen privaten Netzen (VPN), DNS-Dienst und DNS-Resolver, Registrierungsstellen oder Internet-Sprachtelefonie (VoIP). Caching liegt insbesondere vor, wenn Netzwerke allein zur Bereitstellung von Inhalten betrieben werden sowie bei der Bereitstellung von Proxys und Reverse-Proxys zur Anpassung von Inhalten. Hostingdienste können Cloud-Computing-Dienste, Web-Hostingdienste, entgeltliche Referenzierungsdienste oder Dienste zum Online-Austausch von Informationen und Inhalten sein.

Besonders wichtig ist aktuell die Definition für Online-Plattformen Diese müssen schon bis zum 17. Februar 2023 ihre monatlich aktiven Nutzer ermitteln, diese Zahlen auf ihrer Website zur Verfügung stellen und an die EU-Kommission übermitteln (Art. 24 Abs. 2 DSA). Danach ist diese Meldung alle 6 Monate zu wiederholen.

Online-Plattformen sind alle Hostingdienste, die im Auftrag ihrer Nutzer Informationen speichern und öffentlich verbreiten. Hierzu gehören neben sozialen Netzwerken, App-Stores und Plattformen der kollaborativen Wirtschaft vor allem Online-Marktplätze, auf denen Verbraucher und Unternehmer zum Abschluss von Fernabsatzverträgen zusam-mengebracht werden. Auch Online-Foren können als Online-Plattform zu qualifizieren sein, nicht jedoch die Kommentare auf Online-Nachrichtendiensten. Ausdrücklich nicht erfasst sind Cloud-Computing- oder Web-Hostingdienste, bei denen die öffentliche Verbreitung von Informationen nur eine untergeordnete Nebenfunktion darstellt oder die nur als Infrastruktur dienen (also zum Beispiel bei Software as a Service).

Privilegierung kleinerer Plattformen

Kleine und kleinste Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz von unter 10 Mio. Euro sind grundsätzlich von den Pflichten für Online-Plattformen, sowie von den allgemeinen Transparenzberichtspflichten befreit. Zu letzteren gehört auch die oben genannte Pflicht zur Meldung der monatlich aktiven Nutzer. Auf Anfrage der Kommission oder der zuständigen Behörde müssen jedoch auch kleine Online-Plattformen in der Lage sein, diese Informationen zu übermitteln. Weitere Maßnahmen können kleine Unternehmen auf freiwilliger Basis übernehmen.

C. Verwechslungsgefahr? Unterschiede zum NetzDG

Bei der Lektüre des DSA fällt auf, dass viele Vorschriften aus dem DSA dem erst 2017 in Kraft getretenen NetzDG ähneln. Gerade deutsche Unternehmen sollten jetzt aber nicht auf die Idee kommen, es habe sich gar nicht so viel geändert. Tatsächlich bestehen zwischen den beiden Gesetzen wichtige Unterschiede, etwa der unterschiedliche Anwendungsbereich: Das NetzDG reguliert lediglich soziale Netzwerke während sich der DSA auf alle Online-Vermittlungsdienste (s. o.) bezieht. Auch eine Mindestanzahl an Nutzern ist für die Anwendung des DSA nicht mehr möglich. Jedes Unternehmen muss deshalb noch einmal neu prüfen, ob es unter dem DSA neue Pflichten treffen.

Auch die Definition illegaler Inhalte unterscheidet sich von den rechtswidrigen Inhalten des NetzDG: Illegale Inhalte liegen nicht nur vor, wenn sie gegen bestimmte Strafnormen verstoßen, sondern bei jedem Verstoß gegen das Recht eines Mitgliedsstaates oder der EU. Erfasst sind jedenfalls Fake-News, Hasspostings, Desinformation sowie Waren die einem Verkaufsverbot unterliegen. Im Einzelfall wird die Frage, ob es sich bei einem Beitrag um einen illegalen Inhalt handelt, ohne juristische Expertise kaum zu bewältigen sein, da sich die nationalen Gesetze in den EU-Mitgliedsstaaten teils erheblich unterscheiden.

Weitere Neurungen sind etwa die spezifische Festlegung der Anforderungen an das Beschwerdeverfahren im DSA und die Abkehr von starren Fristen zur Löschung illegaler Beiträge oder zur Bearbeitung der Beschwerden von durch Sperrungen betroffenen Nutzern. Dennoch finden sich viele Bestimmungen des NetzDG in ähnlicher Form im DSA, etwa die Pflicht zur Erstellung von Transparenzberichten oder zur Meldung von Straftaten. 

Da der DSA trotzdem über das NetzDG hinausgeht (auch im Hinblick auf Strafen und Bußgelder), sollten sich Anbieter von Online-Plattformen nicht darauf ausruhen, wenn sie die Bestimmungen aus dem NetzDG bereits geprüft und umgesetzt haben.

D. Die konkreten Umsetzungspflichten

Neben der Meldepflicht für die Nutzerzahlen von Online-Plattformen enthält der DSA umfassende Sorgfaltspflichten, deren Umfang sich nach Art und Größe der digitalen Vermittlungsdienste richtet. Ein übersichtlicher, jedoch sehr knapper Überblick findet sich bei der EU-Kommission. Wir erklären Ihnen im Folgenden genauer, was zu tun ist. Trotzdem bleibt die Umsetzung kompliziert, da beispielsweise bei Diensten, die mehrere Funktionalitäten umfassen, verschiedene Anforderungen für die verschiedenen Funktionalitäten umzusetzen sind. Der sicherste Weg ist deshalb, sich juristischen Rat zu suchen und bestenfalls gleich ein ganzes Paket zur DSA-Compliance in Anspruch zu nehmen.

I. Alle Vermittlungsdienste (Art. 11 bis 15 DSA)

Zunächst legt der DSA Sorgfaltspflichten fest, die durch alle digitalen Vermittlungsdienste umzusetzen sind, die unter die oben dargestellte Definition fallen. Ausschließlich nach Art. 11 bis 15 DSA verpflichtet sind in Zukunft vor allem intermediäre Dienste, etwa Internet-Austauschknoten, Wireless Access Points, virtuelle private Netze (VPN) und DNS. Dabei sind die folgenden Punkte umzusetzen:

  • Transparenzberichte müssen mindestens einmal im Jahr öffentlich über die Anzahl der eingegangenen behördlichen und gerichtlichen Anordnungen, die ergriffenen Maßnahmen, die Moderation von Inhalten sowie zur Moderation eingesetzte automatisierte Mittel berichten.
  • Nutzungsbedingungen: Allgemeine Geschäftsbedingungen müssen künftig die (EU-)Grundrechte aller Beteiligten gleichermaßen berücksichtigen, also bspw. auch die Kunst- und Meinungsfreiheit der Nutzerinnen und Nutzer. Zudem müssen Angaben zu der Moderation von Inhalten durch den Vermittlungsdienst gemacht werden, also zu den Leitlinien, Verfahren, Maßnahmen und Werkzeugen zur Beschränkung von Nutzer-Inhalten. Aktuell gibt es hierzu noch keine Muster und die Grundrechtsabwägung kann selbst für Juristen herausfordernd sein.
  • Kontaktstelle für Behörden und Nutzer: Alle Vermittlungsdienste müssen eine Kontaktstelle benennen und die Kontaktdaten einfach zugänglich machen. Hat der Anbieter keine Niederlassung in einem EU-Staat, muss er zusätzlich eine gesetzliche Vertretung in der EU benennen, die als Ansprechpartner für Behörden und Nutzerinnen und Nutzer dient. Dabei muss der Vermittlungsdienst insbesondere Angaben zu den Sprachen machen, die zur Kommunikation verwendet werden. Sofern diese ausdrücklich gekennzeichnet werden, sind auch Chatbots zur Kommunikation mit den Nutzern geeignet.
  • Zusammenarbeit mit den nationalen Behörden: Vermittlungsdienste müssen in der Lage sein, auf Anordnungen von Behörden und Gerichten zu rechtswidrigen Inhalten zu reagieren und diese gegebenenfalls zu sperren.
II. Hosting-Dienste (Art. 16 bis 18 DSA) 

Engere Regeln gelten hingegen für Hosting-Dienste, etwa für Cloud- und Webhostingdienstleister sowie Online-Plattformen, wobei für letztere ergänzend noch weitere Regeln gelten (s. u.). Alle Hosting-Dienste müssen folgendes umsetzen:
 
  • Meldungs- und Abhilfeverfahren für Nutzer und Dritte (Notice and Takedown): Hosting-Dienste müssen Systeme zur einfachen, benutzerfreundlichen und digitalen Meldung illegaler Inhalte vorhalten. Dabei müssen mindestens die folgenden Daten erhoben werden: Begründung, Speicherort der Information (z. B. die URL), Name und E-Mail-Adresse der/des Meldenden und die Erklärung, dass die meldende Person von der Richtigkeit der Angaben überzeugt ist. Denkbar ist etwa die Bereitstellung eines Online-Formulars. Sofern Hosting-Dienste einen von ihnen als rechtswidrig identifizierten Inhalt entfernen, müssen sie dies dem betroffenen Nutzer mitteilen und klar und spezifisch begründen. Meldungen sind „zeitnah“ zu bearbeiten, spezifische Fristen gibt es jedoch nicht.
  • Meldung von Straftaten, die auf dem Dienst begangen werden.
III. Online-Plattformen (Art. 19 bis 32 DSA)

Von den Art. 19 bis 32 DSA erfasst sind alle Vermittlungsdienste, die Verkäufer und Kunden zusammenbringen, also insbesondere Online-Marktplätze (s. o.). Für diese Online-Plattformen kommen unter dem DSA erhebliche Pflichten hinzu:
 
  • Beschwerde- und Rechtsbehelfsmechanismus: Neben dem Meldeverfahren, mit dem Nutzerinnen und Nutzer illegale Waren, Dienstleistungen oder Inhalte kennzeichnen können, müssen Plattformen auch die Möglichkeit anbieten, Entscheidungen der Plattform über entfernte illegale Inhalte anzufechten (mindestens 6 Monate lang). Ist die Anfechtung erfolgreich, muss die Plattform in der Lage sein, die fälschlich als rechtswidrig entfernten Inhalte wiederherzustellen. Über Beschwerden darf nicht automatisiert entschieden werden und es muss eine Begründung erfolgen.
  • Außergerichtliche Streitbeilegung muss im Zusammenhang mit Entscheidungen der Plattform zur Sperrung von Beiträgen möglich sein, die Nutzer sind hierüber (etwa in den Nutzungsbedingungen und im Zusammenhang mit dem Rechtsbehelfsmechanismus) zu informieren. Die Streitbeilegung erfolgt dann in der Regel innerhalb von 90 Tagen.
  • Vertrauenswürdige Hinweisgeber („trusted flaggers“): es können durch die mitgliedsstaatliche Koordinationsstelle auf Antrag vertrauenswürdige Hinweisgeber bestimmt werden, deren Meldungen illegaler Inhalte oder Waren prioritär behandelt werden. Diese Hinweisgeber müssen besondere Sachkenntnisse bzgl. der Erkennung rechtswidriger Inhalte haben, von den Plattformen unabhängig sein und jährliche Berichte bereitstellen.
  • Transparenz von Empfehlungssystemen (Vorschlagsalgorithmen): Auch die vom Empfehlungssystem verwendeten Parameter sowie Möglichkeiten, diese zu beeinflussen, sind in den AGB darzustellen.
  • Sperrung von Nutzern, die regelmäßig offensichtlich illegale Inhalte bereitstellen, nach vorheriger Warnung.
  • Transparenz von Onlinewerbung durch Kennzeichnung und Angabe der (juristischen) Person, deren Werbung angezeigt wird. Zudem ist anzugeben, wer die Werbung zahlt und warum sie dem Nutzer angezeigt wird. Daneben ist die Nutzung von Dark Patterns unzulässig, bei denen Nutzer durch gezieltes Design oder Vorschläge zu bestimmten Entscheidungen gebracht werden sollen (bspw. indem eine bestimmte Wahlmöglichkeit optisch in den Vordergrund gedrängt wird). Insbesondere die Ablehnung von Cookies darf nicht schwieriger sein als die Zustimmung.
  • Verbot von Werbung, die sich gezielt an Kinder richtet: Betreiber von Online-Plattformen sollten solche Werbung durch Richtlinien und/oder technische Einrichtungen unterbinden.
  • Transparenzberichtspflichten: Zusätzlich zu den allgemeinen Transparenzberichtspflichten ist über die Anzahl und Umsetzung von Streitigkeiten vor der Streitbeilegungsstelle, Schließungen von Nutzerkonten sowie halbjährlich über die Anzahl der monatlich aktiven Nutzer zu berichten.
  • Weitere Pflichten für Online-Plattformen zum Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen (Marktplätze): Überprüfung der Berechtigungen von Drittanbietern (Know-your-Customer) und deren Rückverfolgbarkeit. 
  • B2C-Online-Marktplätze müssen von Drittanbietern Kontakt- und Zahlungsdaten sowie einen Identitätsnachweis und ggf. die Registernummer erheben und wenn möglich überprüfen. Gelingt dies nicht, ist der Unternehmer zu sperren/zu entfernen. Compliance by Design soll Unternehmern rechtlich notwendige Verbraucherinformationen vor Vertragsschluss über den Marktplatz ermöglichen (z. B. Produktsicherheitsinformationen). Zudem müssen Verbraucherinnen und Verbraucher unter Umständen über illegale Waren und Dienstleistungen informiert werden. 
    Zusätzlich müssen Online-Handelsplätze darauf achten, nicht den Eindruck zu erwecken, sie selbst würden Vertragspartner der vermittelten Transaktion, da dann die Haftungsprivilegierung für von Nutzern eingestellte Inhalte nicht mehr greift.
IV. Sehr große Anbieter (Art. 33 bis 43 DSA) 

Für sehr große Anbieter digitaler Vermittlungsdienste und Suchmaschinen mit mehr als 45 Mio. monatlich aktiven Nutzern in der EU („very large online platforms“, VLOPs) kommen noch einmal umfassende Pflichten hinzu. Grund dafür sind die erheblichen zusätzlichen Risiken, die mit der Nutzung durch sehr viele Personen einhergehen. Aktuell sind hiervon Schätzungen zufolge aber nur rund 30 Unternehmen erfasst.
 
  • Verpflichtung zu Risikomanagement und Krisenreaktion: Um Missbrauch und systemische Risiken zu verhindern, müssen sehr große Plattformen regelmäßige Risikoanalysen durchführen. Systemische Risiken sind etwa die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung bestimmter Grundrechte, Wahlprozesse oder die öffentliche Sicherheit oder schwerwiegende nachteilige Folgen für das körperliche und geistige Wohlbefinden einer Person. Wenn erforderlich, sind die notwendigen Maßnahmen zur Risikominderung zu ergreifen. Die Risikomanagementsysteme müssen jährlich durch eine unabhängige Stelle überprüft werden. Zudem ist eine interne unabhängig geführte Compliance-Abteilung einzurichten. Bei Krisen können sehr große Anbieter durch die Kommission zu Zusammenarbeit und Abwehrmaßnahmen verpflichtet werden.
  • Empfehlungssysteme: Nutzer müssen die Möglichkeit erhalten, Empfehlungen anhand von Profiling abzulehnen, indem sie alternative Empfehlungsmechanismen auswählen.
  • Archivierung von Onlinewerbung auf sehr großen Online Plattformen und Suchmaschinen für mindestens ein Jahr.
  • Datenaustausch mit Behörden und der Forschung zur Überprüfung der Einhaltung des DSA und um die Entwicklung von Online-Risiken nachzuvollziehen.
  • Transparenzberichte müssen zudem Informationen zu den für die Moderation von Inhalten eingesetzten Personen, deren Qualifikationen und Sprachkenntnisse und Indikatoren für die Genauigkeit sowie die durchschnittlichen monatlichen Nutzerzahlen aufgeschlüsselt nach Mitgliedsstaat enthalten. 
  • Verhaltenskodizes: Die Kommission kann Verhaltenskodizes (etwa zu Online-Werbung und Barrierefreiheit) erarbeiten, um Risiken bei der Nutzung der Plattformen zu mindern.
    Große Dienste müssen diese Pflichten bereits vier Monate nachdem sie als sehr großer Dienst bestimmt wurden, umsetzen.

E. Fazit & Ausblick

Bis zum 17. Februar 2023 müssen alle(!) Online-Plattformen die Anzahl aktiver Endnutzer ihrer Plattform veröffentlichen und an die EU-Kommission melden. Eine Veröffentlichung muss danach alle 6 Monate erfolgen. Betreiber von Online-Marktplätzen und sozialen Netzwerken müssen deshalb dringend prüfen, ob sie von den Regelungen der Art. 18 ff. DSA erfasst werden und zur Meldung verpflichtet sind.

Kommt die Kommission auf dieser Grundlage zu dem Ergebnis, dass es sich um eine sehr große Plattform handelt, muss diese dann schon vier Monate nach der Benennung als solche besonders strenge Anforderungen erfüllen und die erste der sodann jährlich durchzuführenden Risikobewertungen durchführen.

Für alle anderen sind die oben dargestellten Pflichten innerhalb eines guten Jahres bis zum 17. Februar 2024 umzusetzen. Die Umsetzung sollte so schnell wie möglich beginnen, da etwa die Einführung von Meldemechanismen oder die Anpassung von Nutzungsbedingungen, die fast alle Unternehmen treffen, die Online-Vermittlungsdienste anbieten, ohne juristische Expertise kaum rechtssicher umgesetzt werden kann.

Wir unterstützen Sie hierbei gerne mit unserem Paket zur DSA-Compliance, individualisierten Nutzungsbedingungen für Vermittlungsdienste oder Formularen zur Meldung illegaler Inhalte.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg

Weitere Artikel

15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
17.10.2024
Europäische Kommission veröffentlicht FAQ zum Data Act
15.10.2024
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
30.09.2024
Künstliche Intelligenz: Diese gesetzlichen Pflichten greifen bereits ab Februar 2025
20.09.2024
Bundesregierung erlässt Einwilligungsverwaltungsverordnung – (K)ein Ende der Cookie-Banner?
11.09.2024
Verhältnis zwischen Abmahnerfordernis und plattforminternen Abhilfe- und Meldesystemen – Entscheidung des LG Köln
05.09.2024
OLG München zur Rückzahlung bei Online-Coaching-Verträgen
02.09.2024
Künstliche Intelligenz ist kein Erfinder im Sinne des Patentrechts

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.