News

Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten

Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.

I. Adressaten

Gemäß Art. 2 Abs. 1 DSA gilt die Verordnung für alle Anbieter von Vermittlungsdiensten, die Nutzern in der EU angeboten werden. Art. 3 lit. g DSA definiert Vermittlungsdienste als Dienstleistungen der Informationsgesellschaft zur reinen Durchleitung, in Form einer Caching-Leistung oder eines Hosting-Dienstes. Dazu zählen unter anderem VPNs, Proxy-Server, Web-Hosting-Dienste, soziale Netzwerke, digitale Marktplätze und Online-Plattformen.

II. Pflichten

Diesen Anbietern legt der DSA eine Vielzahl an Pflichten auf und unterscheidet dabei nach Art und Größe des Dienstes. Neben Anforderungen, die für alle Arten von Vermittlungsdiensten gelten, normiert der DSA gesteigerte Vorgaben für Hosting-Anbieter, Online-Plattformen und sehr großen Online-Plattformen und -Suchmaschinen mit durchschnittlich mindestens monatlich 45 Millionen aktiven Nutzern in der EU.

Hinsichtlich einer möglichen Haftung normiert der DSA für Access-, Caching- und Hosting-Dienste zunächst Haftungsprivilegien in Bezug auf sämtliche Rechtsverstöße ihrer Nutzer und orientiert sich dabei an die Regelungen der E-Commerce-Richtlinie und der Rechtsprechung des EuGH.

1. Haftungsprivilegierung

Solange die Diensteanbieter sich passiv verhalten und Inhalte beispielsweise lediglich durchleiten (Art. 4 Abs. 1 DSA) oder kurzzeitig automatisch zwischenspeichern (Art. 5 Abs. 1 DSA) und keine tatsächliche Kenntnis von der Rechtswidrigkeit der Inhalte besitzen, greift die Privilegierung.

Insofern gilt das bereits bekannte Notice-and-Takedown-Verfahren, wonach Inhalte erst bei aktiver Kenntnis zu löschen oder zu entfernen sind. Allerdings werden Diensteanbieter nach Art. 8 DSA weder zur Überwachung noch zur Forschung nach rechtswidrigen Inhalten verpflichtet.

Um freiwillige Untersuchungen oder andere Methoden der Anbieter von Vermittlungsdiensten zur Erkennung und Entfernung rechtswidriger Inhalte nicht zu konterkarieren, lassen derartige Maßnahmen die Haftungsprivilegierungen unberührt, sodass diese auch für proaktiv nachforschende Anbieter gelten (Art. 7 DSA, ErwG 26 DSA).

2. Sorgfaltspflichten

Weiterhin legt der DSA für die Anbieter von Vermittlungsdiensten verschiedene Sorgfaltspflichten fest, um ein sicheres und transparentes Online-Umfeld sicherzustellen (ErwG 40 DSA). Auch diesbezüglich wird teilweise zwischen der Art eines Vermittlungsdienstes unterschieden.

a) Sorgfaltspflichten für alle Diensteanbieter

Alle Diensteanbieter müssen gemäß Art. 11, 12 DSA die unmittelbare elektronische Kommunikation über eine zentrale Kontaktstelle für Behörden, die EU-Kommission und Nutzer ermöglichen und hierzu die erforderlichen Informationen bereitstellen. Sofern Diensteanbieter über keine Niederlassung innerhalb der EU verfügen, ist zudem ein gesetzlicher Vertreter zu benennen (Art. 13 Abs. 1 DSA).

Hinsichtlich bestehender AGB sind Diensteanbieter nunmehr dazu verpflichtet, Angaben zu Beschränkungen von Nutzerinhalten bereitzustellen, in denen unter anderem Informationen zu Verfahren, Maßnahmen oder der Moderation von Inhalten, der algorithmischen Entscheidungsfindung sowie zu Verfahrensregeln für das interne Beschwerdemanagementsystem der Plattform angegeben werden (Art. 14 Abs. 1 DSA). Diese Transparenzvorgaben sind in benutzerfreundlicher Sprache sowie in leicht zugänglicher und maschinenlesbarer Form zu erteilen, wobei dem Verständnis von minderjährigen Nutzern diesbezüglich in besonderem Maße Rechnung zu tragen ist.

Für die Beschränkungen von Nutzerinhalten legt der DSA zudem fest, dass diese sorgfältig, objektiv und verhältnismäßig getroffen werden sollen und die Interessen aller Beteiligten und Grundrechte der Nutzer berücksichtigen müssen (Art. 14 Abs. 4 DSA), sodass insoweit eine Inhalts- und Anwendungskontrolle in Bezug auf diese Nutzungsbeschränkungen besteht, um willkürliche Sperrungen und Löschungen von Inhalten zu verhindern. In diesem Zusammenhang schreibt Art. 15 Abs. 1 DSA einen jährlichen Transparenzbericht über das Lösch- und Sperrverhalten von Diensteanbietern vor. Für sehr große Online-Plattformen und -Suchmaschinen gilt ferner, dass ihre allgemeinen Geschäftsbedingungen in den Amtssprachen aller Mitgliedstaaten veröffentlicht werden, in denen sie ihre Dienste anbieten (Art. 14 Abs. 6 DSA).

b) Sorgfaltspflichten für Hostingdiensteanbieter

Hostingdiensteanbieter müssen nach Art. 16 Abs. 1 DSA ein Melde- und Abhilfeverfahren implementieren, worüber rechtswidrige Inhalte durch Personen und Einrichtungen gemeldet werden können. Diese Meldungen sind durch den Hostingdiensteanbieter zeitnah zu bearbeiten. Darüber hinaus ist der meldenden Person die Entscheidung über das Begehren mitzuteilen. Bei der Beschränkung von Inhalten oder des Kontos müssen Hostingdiensteanbieter gegenüber dem betroffenen Nutzer stets begründen, wieso der Inhalt als rechtswidrig eingestuft oder mit den Nutzungsvereinbarungen nicht vereinbar ist. Bei dem Verdacht von Straftaten besteht zudem eine Meldepflicht gegenüber Strafverfolgungsbehörden (Art. 18 Abs. 1 DSA).

c) Sorgfaltspflichten für Online-Plattformen

Online-Plattformen, bei denen es sich nicht um Kleinst- oder Kleinunternehmen handelt (derzeit Unternehmen mit mindestens 50 beschäftigten Personen und einem Jahresumsatz oder einer Jahresbilanz von über 10 Mio. EUR) müssen gemäß Art. 20 Abs. 1 DSA ein internes Beschwerdemanagement für ihre Nutzer einrichten, über das sich diese kostenlos unter anderem über die Beschränkung von Inhalten oder der Plattformnutzung beschweren können.

Meldungen von vertrauenswürdigen Hinweisgebern (hierzu können gemäß ErwG 61 beispielsweise Wirtschaftsverbände zählen), die über die in Art. 16 DSA genannten Mechanismen übermittelt werden, sind vorrangig zu behandeln und unverzüglich zu bearbeiten. Der Status als vertrauenswürdiger Hinweisgeber wird durch die Koordinatoren für digitale Dienste (gemäß Art. 49 Abs. 2 DSA bestimmte mitgliedstaatliche Behörden) verliehen. Voraussetzung hierfür ist eine einschlägige Sachkenntnis bezüglich der Erkennung und Meldung rechtswidriger Inhalte und die Unabhängigkeit von der Online-Plattform.

Für Online-Plattformen gilt zudem das Verbot von sogenannten „Dark Patterns“. Benutzeroberflächen dürfen demnach nicht so konzipiert sein, dass Nutzer getäuscht, manipuliert oder sonst in ihren Entscheidungen beeinträchtigt werden (Art. 25 Abs. 1 DSA). Hierfür werden Beispiele angeführt, wie das Hervorheben bestimmter Auswahlmöglichkeiten, das wiederholte Auffordern zum Treffen einer Auswahl oder der Umstand, dass die Beendigung eines Dienstes schwieriger ist als das Verfahren zur Anmeldung. Allerdings ist in diesem Zusammenhang zu beachten, dass das Verbot von Dark Patterns gemäß Art. 25 Abs. 2 DSA nicht für Praktiken anwendbar sind, die bereits unter die DSGVO oder die UGP-Richtlinie fallen. Auf die Gestaltung von Cookie-Bannern werden sich die Vorgaben in Art. 25 Abs. 1 DSA jedoch auswirken, da das Setzen von Cookies durch die E-Privacy-Richtlinie bzw. dem TTDSG als entsprechenden Umsetzungsakt in Deutschland geregelt wird, auf das sich das Verbot von Dark Patterns nach Art. 25 Abs. 2 gerade nicht bezieht.

Im Hinblick auf die Kenntlichmachung von Werbeinhalten gelten neue Kennzeichnungs- und Transparenzpflichten für Online-Plattformen. Gemäß Art. 26 Abs. 1 DSA sollen Nutzer bei jeder einzelnen Werbung erkennen können, dass es sich um eine solche handelt, wer die werbende Person ist, wer für die Werbung bezahlt und nach welchen Parametern die Werbeadressaten bestimmt werden. Weiterhin gilt gemäß Art. 27 Abs. 1 DSA eine Transparenzpflicht für Empfehlungssysteme, anhand derer Informationen für Nutzer dargestellt werden.

d) Sorgfaltspflichten für sehr große Online-Plattformen und -Suchmaschinen

Für sehr große Online-Plattformen und -Suchmaschinen bestimmt der DSA erweiterte Pflichten. Beispielsweise müssen sie jährlich eine Risikoanalyse im Hinblick auf die Nutzung ihrer Dienste durchführen (Art. 34 Abs. 1 DSA) und Maßnahmen zur Risikominimierung ergreifen (Art. 35 Abs. 1 DSA), wie etwa durch Anpassung der Funktionsweise ihrer Dienste oder ihrer Prüfverfahren von Inhalten.

Weiterhin unterliegen Anbieter sehr großer Online-Plattformen und -Suchmaschinen einer unabhängigen jährlichen Prüfung, bei der die Einhaltung ihrer Pflichten bewertet wird (Art. 37 Abs. 1 DSA). Die prüfenden Stellen fertigen diesbezüglich einen Bericht an, der an die EU-Kommission übersendet wird (Art. 42 Abs. 4 lit. c DSA).

III. Bestimmung der Nutzerzahlen

Um feststellen zu können, in welche Kategorie eine Online-Plattform oder -Suchmaschine fällt, ist die Bestimmung der Nutzerzahlen von elementarer Bedeutung. Die entsprechenden Regelungen im DSA bilden insoweit ein Kernstück des Regelwerks, was unter anderem auch daran ersichtlich wird, dass diese Vorschriften bereits mit dem Inkrafttreten des DSA am 16. November 2022 gelten und insofern bereits jetzt umgesetzt werden müssen. Das betrifft insbesondere die in Art. 24 Abs. 2 DSA genannte Pflicht zur Veröffentlichung von Informationen über die durchschnittliche monatliche Zahl ihrer aktiven Nutzer in der EU, die unabhängig von der Größe jeden Diensteanbieter trifft.

Diese Anzahl der monatlich aktiven Nutzer ist nach dem DSA maßgeblich für die Bestimmung der Plattformgröße und damit auch zur Bestimmung der Anbieterkategorie.

Gemäß Art. 3 lit. b DSA ist der Nutzer jede natürliche oder juristische Person, die einen Vermittlungsdienst in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Aktiv sind solche Nutzer, die mit einer Online-Plattform in Kontakt getreten sind, indem sie entweder die Plattform um die Bereitstellung von Informationen gebeten haben oder mit Informationen konfrontiert wurden, die von der Online-Plattform bereitgestellt und über ihre Online-Schnittstelle verbreitet worden sind.

Die durchschnittliche Anzahl von Nutzern wird anhand einer Zeitspanne von sechs Monaten berechnet. Zur Präzisierung dieser weit gefassten Definition finden sich in ErwG 77 DSA einige Anhaltspunkte, wonach die Nutzung einer Online-Plattform die Interaktion mit Informationen durch Anklicken, Kommentieren, Verlinken, Teilen, Kaufen oder Durchführen von Transaktionen auf der Plattform umfasst, jedoch nicht darauf beschränkt ist.

Zusammengefasst bedeutet dies, dass jeder Nutzer, der mit einer Plattform interagiert, unter den Begriff des aktiven Nutzers fällt. Hingegen fallen solche Nutzer nicht unter den Begriff, die zum Beispiel nur zufällig auf den Link zu einer Plattform klicken. Zudem ließe sich auch argumentieren, dass Nutzer, die keine Inhalte Dritter aufrufen oder ansehen, ebenfalls nicht in den Anwendungsbereich des DSA fallen. Denn Zweck der Verordnung ist die Bekämpfung der Verbreitung illegaler Inhalte und Desinformation (vgl. ErwG 9 DSA). Bei einem fehlenden Aufruf des Inhalts kann jedoch keine Verbreitung stattfinden, sodass insoweit der Schutzzweck der Verordnung nicht tangiert wäre.

Unklarheit besteht bisweilen allerdings noch hinsichtlich der konkreten Berechnung der monatlich aktiven Nutzer. Gemäß Art. 33 Abs. 3 DSA kann die Europäische Kommission delegierte Rechtsakte zur Festlegung einer Berechnungsmethode erlassen. Allerdings fehlt es bislang an solchen Vorgaben. Gleichwohl sind die entsprechenden Diensteanbieter bereits nach Art. 24 Abs. 2 DSA dazu verpflichtet, genaue Angaben zu der durchschnittlichen monatlichen Anzahl ihrer aktiven Nutzer bereitzustellen, sodass derzeit noch Rechtsunsicherheit besteht, welche Diensteanbieter nun tatsächlich als sehr große Online-Plattformen oder -Suchmaschinen gelten.

Hinzu kommt, dass der DSA keine zusätzliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten enthält und Diensteanbieter auch nicht zur Durchführung eines Online-Trackings verpflichtet, was zudem mit datenschutzrechtlichen Regelungen nur schwer vereinbar sein dürfte.

In der Praxis führt dies zu einigen Problemen. So wird beispielsweise ein Nutzer bei der Verwendung von mehreren Geräten von einem Vermittlungsdienst auch mehrmals gezählt, solange keine Software zur Besucherverfolgung eingesetzt wird. Die gleiche Problematik besteht für den Fall, dass mehrere Nutzer über dasselbe Gerät auf den Vermittlungsdienst zugreifen. Online-Plattformen, die EU-weit verfügbar sind und denselben Dienst über unterschiedliche Domains anbieten, werden vermutlich ebenfalls Probleme haben, die genaue Anzahl ihrer Nutzer zu identifizieren. Unklar ist auch, inwiefern Nutzer bei der Zählung zu berücksichtigen sind, die ihren Zugriffsstandort über ein VPN verschleiern.

Nicht weniger komplex wird die Berechnung durch den Umstand, dass der DSA zwischen Kern- und Zusatzdiensten unterscheidet (vgl. ErwG 13 DSA). Beispielsweise wird ein Kommentarbereich in bestimmten Fallkonstellationen nur als Zusatz zum Hauptdienst gesehen. Die verschiedenen Teile eines Dienstes mit ihren oft unterschiedlichen Schnittstellen und Werkzeugen laufen jedoch meist über ein gemeinsames Nutzerkonto. Fraglich ist auch, ob eingebettete Plattform-Inhalte auf Drittseiten bereits zu einer Interaktion zwischen Online-Plattform und Nutzer führen, wenn letzterer den eingebetteten Inhalt ausschließlich auf der Drittseite betrachtet. Insofern bleibt unklar, wie diese Problematiken im Rahmen der Berechnung aufzulösen sind.

Lediglich eine Berechnungsmethode, die eine Analyse auf Grundlage einer Kombination aus mehreren Identifier- und Tracking-Tools umfasst, ermöglicht genaue Ergebnisse, würde allerdings mit Sicherheit zusätzliche Datenverarbeitungen erfordern, was wiederum in Konflikt mit den geltenden datenschutzrechtlichen Bestimmungen treten könnte. Folglich scheint es zum jetzigen Zeitpunkt kaum möglich, dass die Plattformen akkurate Zahlen bereitstellen. Bis zur Vorgabe einer genauen Berechnungsmethode durch die EU-Kommission haben Diensteanbieter daher keine andere Wahl, als sich auf die herkömmlichen Methoden zur Bestimmung der Nutzerzahl zu verlassen und damit zu versuchen, möglichst genaue Zahlen zu veröffentlichen.

IV. Sanktionen und Inkrafttreten

Die Vorgaben des DSA setzen die Koordinatoren für digitale Dienste um, worunter autonome Behörden der Mitgliedstaaten fallen, die mit entsprechenden Ermittlungs- und Durchsetzungsbefugnissen ausgestattet werden.

Weiterhin wird ein Europäisches Gremium für digitale Dienste eingerichtet, das die Kommission und die Mitgliedstaaten bei der Umsetzung des DSA, insbesondere im Hinblick auf die Harmonisierung unterstützt. Die Kommission kann in Bezug auf sehr große Online-Plattformen und -Suchmaschinen Untersuchungen durchführen und Bußgelder verhängen. Letztere können sich gemäß Art. 74 Abs. 1 DSA u.a. bei einem Pflichtverstoß bis zu einem Höchstbetrag von 6 % des im Vorjahr erzielten weltweiten Gesamtjahresumsatzes belaufen. Unter anderem bei der Bereitstellung von unrichtigen, unvollständigen oder irreführenden Informationen, bei der Versäumnis einer Antwort oder der Nichtduldung einer Nachprüfung sollen Geldbußen von bis zu 1 % des weltweit erzielten Vorjahresumsatzes verhängt werden. Gemäß Art. 52 Abs. 3 DSA können Mitgliedstaaten diese Bußgelder auch gegenüber allen sonstigen von der Verordnung genannten Diensteanbietern verhängen. Darüber hinaus können Nutzer Schadensersatz geltend machen, wenn der Diensteanbieter eine nutzerbezogene Pflicht verletzt (Art. 54 DSA). Hierbei sind allerdings die europarechtlichen und nationalen Rechtsvorgaben in Bezug auf Schadensersatzansprüche zu beachten.

V. Handlungsempfehlungen

Unternehmen und Anbieter, die in den Anwendungsbereich des DSA fallen, sollten bereits jetzt die Vorgaben aus den bereits geltenden Normen des DSA umsetzen. Dies umfasst vor allem die Benennung der durchschnittlichen monatlichen Zahl der aktiven Nutzer in der EU durch Online-Plattformen.

Weiterhin sollte mit einer schrittweisen Umsetzung der restlichen Anforderungen des DSA begonnen werden. Auch wenn die Verordnung insoweit erst ab dem 17. Februar 2024 gilt, kommt auf die Anbieter von Vermittlungsdiensten ein erheblicher Verwaltungsaufwand zu, dem so zeitnah wie möglich begegnet werden sollte.

Update: Am 1. Februar 2023 hat die EU-Kommission Leitlinien zur Identifizierung und Zählung der aktiven Nutzer herausgegeben.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

DSK zum datenschutzkonformen KI-Einsatz

Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet