News

Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten

Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.

I. Adressaten

Gemäß Art. 2 Abs. 1 DSA gilt die Verordnung für alle Anbieter von Vermittlungsdiensten, die Nutzern in der EU angeboten werden. Art. 3 lit. g DSA definiert Vermittlungsdienste als Dienstleistungen der Informationsgesellschaft zur reinen Durchleitung, in Form einer Caching-Leistung oder eines Hosting-Dienstes. Dazu zählen unter anderem VPNs, Proxy-Server, Web-Hosting-Dienste, soziale Netzwerke, digitale Marktplätze und Online-Plattformen.

II. Pflichten

Diesen Anbietern legt der DSA eine Vielzahl an Pflichten auf und unterscheidet dabei nach Art und Größe des Dienstes. Neben Anforderungen, die für alle Arten von Vermittlungsdiensten gelten, normiert der DSA gesteigerte Vorgaben für Hosting-Anbieter, Online-Plattformen und sehr großen Online-Plattformen und -Suchmaschinen mit durchschnittlich mindestens monatlich 45 Millionen aktiven Nutzern in der EU.

Hinsichtlich einer möglichen Haftung normiert der DSA für Access-, Caching- und Hosting-Dienste zunächst Haftungsprivilegien in Bezug auf sämtliche Rechtsverstöße ihrer Nutzer und orientiert sich dabei an die Regelungen der E-Commerce-Richtlinie und der Rechtsprechung des EuGH.

1. Haftungsprivilegierung

Solange die Diensteanbieter sich passiv verhalten und Inhalte beispielsweise lediglich durchleiten (Art. 4 Abs. 1 DSA) oder kurzzeitig automatisch zwischenspeichern (Art. 5 Abs. 1 DSA) und keine tatsächliche Kenntnis von der Rechtswidrigkeit der Inhalte besitzen, greift die Privilegierung.

Insofern gilt das bereits bekannte Notice-and-Takedown-Verfahren, wonach Inhalte erst bei aktiver Kenntnis zu löschen oder zu entfernen sind. Allerdings werden Diensteanbieter nach Art. 8 DSA weder zur Überwachung noch zur Forschung nach rechtswidrigen Inhalten verpflichtet.

Um freiwillige Untersuchungen oder andere Methoden der Anbieter von Vermittlungsdiensten zur Erkennung und Entfernung rechtswidriger Inhalte nicht zu konterkarieren, lassen derartige Maßnahmen die Haftungsprivilegierungen unberührt, sodass diese auch für proaktiv nachforschende Anbieter gelten (Art. 7 DSA, ErwG 26 DSA).

2. Sorgfaltspflichten

Weiterhin legt der DSA für die Anbieter von Vermittlungsdiensten verschiedene Sorgfaltspflichten fest, um ein sicheres und transparentes Online-Umfeld sicherzustellen (ErwG 40 DSA). Auch diesbezüglich wird teilweise zwischen der Art eines Vermittlungsdienstes unterschieden.

a) Sorgfaltspflichten für alle Diensteanbieter

Alle Diensteanbieter müssen gemäß Art. 11, 12 DSA die unmittelbare elektronische Kommunikation über eine zentrale Kontaktstelle für Behörden, die EU-Kommission und Nutzer ermöglichen und hierzu die erforderlichen Informationen bereitstellen. Sofern Diensteanbieter über keine Niederlassung innerhalb der EU verfügen, ist zudem ein gesetzlicher Vertreter zu benennen (Art. 13 Abs. 1 DSA).

Hinsichtlich bestehender AGB sind Diensteanbieter nunmehr dazu verpflichtet, Angaben zu Beschränkungen von Nutzerinhalten bereitzustellen, in denen unter anderem Informationen zu Verfahren, Maßnahmen oder der Moderation von Inhalten, der algorithmischen Entscheidungsfindung sowie zu Verfahrensregeln für das interne Beschwerdemanagementsystem der Plattform angegeben werden (Art. 14 Abs. 1 DSA). Diese Transparenzvorgaben sind in benutzerfreundlicher Sprache sowie in leicht zugänglicher und maschinenlesbarer Form zu erteilen, wobei dem Verständnis von minderjährigen Nutzern diesbezüglich in besonderem Maße Rechnung zu tragen ist.

Für die Beschränkungen von Nutzerinhalten legt der DSA zudem fest, dass diese sorgfältig, objektiv und verhältnismäßig getroffen werden sollen und die Interessen aller Beteiligten und Grundrechte der Nutzer berücksichtigen müssen (Art. 14 Abs. 4 DSA), sodass insoweit eine Inhalts- und Anwendungskontrolle in Bezug auf diese Nutzungsbeschränkungen besteht, um willkürliche Sperrungen und Löschungen von Inhalten zu verhindern. In diesem Zusammenhang schreibt Art. 15 Abs. 1 DSA einen jährlichen Transparenzbericht über das Lösch- und Sperrverhalten von Diensteanbietern vor. Für sehr große Online-Plattformen und -Suchmaschinen gilt ferner, dass ihre allgemeinen Geschäftsbedingungen in den Amtssprachen aller Mitgliedstaaten veröffentlicht werden, in denen sie ihre Dienste anbieten (Art. 14 Abs. 6 DSA).

b) Sorgfaltspflichten für Hostingdiensteanbieter

Hostingdiensteanbieter müssen nach Art. 16 Abs. 1 DSA ein Melde- und Abhilfeverfahren implementieren, worüber rechtswidrige Inhalte durch Personen und Einrichtungen gemeldet werden können. Diese Meldungen sind durch den Hostingdiensteanbieter zeitnah zu bearbeiten. Darüber hinaus ist der meldenden Person die Entscheidung über das Begehren mitzuteilen. Bei der Beschränkung von Inhalten oder des Kontos müssen Hostingdiensteanbieter gegenüber dem betroffenen Nutzer stets begründen, wieso der Inhalt als rechtswidrig eingestuft oder mit den Nutzungsvereinbarungen nicht vereinbar ist. Bei dem Verdacht von Straftaten besteht zudem eine Meldepflicht gegenüber Strafverfolgungsbehörden (Art. 18 Abs. 1 DSA).

c) Sorgfaltspflichten für Online-Plattformen

Online-Plattformen, bei denen es sich nicht um Kleinst- oder Kleinunternehmen handelt (derzeit Unternehmen mit mindestens 50 beschäftigten Personen und einem Jahresumsatz oder einer Jahresbilanz von über 10 Mio. EUR) müssen gemäß Art. 20 Abs. 1 DSA ein internes Beschwerdemanagement für ihre Nutzer einrichten, über das sich diese kostenlos unter anderem über die Beschränkung von Inhalten oder der Plattformnutzung beschweren können.

Meldungen von vertrauenswürdigen Hinweisgebern (hierzu können gemäß ErwG 61 beispielsweise Wirtschaftsverbände zählen), die über die in Art. 16 DSA genannten Mechanismen übermittelt werden, sind vorrangig zu behandeln und unverzüglich zu bearbeiten. Der Status als vertrauenswürdiger Hinweisgeber wird durch die Koordinatoren für digitale Dienste (gemäß Art. 49 Abs. 2 DSA bestimmte mitgliedstaatliche Behörden) verliehen. Voraussetzung hierfür ist eine einschlägige Sachkenntnis bezüglich der Erkennung und Meldung rechtswidriger Inhalte und die Unabhängigkeit von der Online-Plattform.

Für Online-Plattformen gilt zudem das Verbot von sogenannten „Dark Patterns“. Benutzeroberflächen dürfen demnach nicht so konzipiert sein, dass Nutzer getäuscht, manipuliert oder sonst in ihren Entscheidungen beeinträchtigt werden (Art. 25 Abs. 1 DSA). Hierfür werden Beispiele angeführt, wie das Hervorheben bestimmter Auswahlmöglichkeiten, das wiederholte Auffordern zum Treffen einer Auswahl oder der Umstand, dass die Beendigung eines Dienstes schwieriger ist als das Verfahren zur Anmeldung. Allerdings ist in diesem Zusammenhang zu beachten, dass das Verbot von Dark Patterns gemäß Art. 25 Abs. 2 DSA nicht für Praktiken anwendbar sind, die bereits unter die DSGVO oder die UGP-Richtlinie fallen. Auf die Gestaltung von Cookie-Bannern werden sich die Vorgaben in Art. 25 Abs. 1 DSA jedoch auswirken, da das Setzen von Cookies durch die E-Privacy-Richtlinie bzw. dem TTDSG als entsprechenden Umsetzungsakt in Deutschland geregelt wird, auf das sich das Verbot von Dark Patterns nach Art. 25 Abs. 2 gerade nicht bezieht.

Im Hinblick auf die Kenntlichmachung von Werbeinhalten gelten neue Kennzeichnungs- und Transparenzpflichten für Online-Plattformen. Gemäß Art. 26 Abs. 1 DSA sollen Nutzer bei jeder einzelnen Werbung erkennen können, dass es sich um eine solche handelt, wer die werbende Person ist, wer für die Werbung bezahlt und nach welchen Parametern die Werbeadressaten bestimmt werden. Weiterhin gilt gemäß Art. 27 Abs. 1 DSA eine Transparenzpflicht für Empfehlungssysteme, anhand derer Informationen für Nutzer dargestellt werden.

d) Sorgfaltspflichten für sehr große Online-Plattformen und -Suchmaschinen

Für sehr große Online-Plattformen und -Suchmaschinen bestimmt der DSA erweiterte Pflichten. Beispielsweise müssen sie jährlich eine Risikoanalyse im Hinblick auf die Nutzung ihrer Dienste durchführen (Art. 34 Abs. 1 DSA) und Maßnahmen zur Risikominimierung ergreifen (Art. 35 Abs. 1 DSA), wie etwa durch Anpassung der Funktionsweise ihrer Dienste oder ihrer Prüfverfahren von Inhalten.

Weiterhin unterliegen Anbieter sehr großer Online-Plattformen und -Suchmaschinen einer unabhängigen jährlichen Prüfung, bei der die Einhaltung ihrer Pflichten bewertet wird (Art. 37 Abs. 1 DSA). Die prüfenden Stellen fertigen diesbezüglich einen Bericht an, der an die EU-Kommission übersendet wird (Art. 42 Abs. 4 lit. c DSA).

III. Bestimmung der Nutzerzahlen

Um feststellen zu können, in welche Kategorie eine Online-Plattform oder -Suchmaschine fällt, ist die Bestimmung der Nutzerzahlen von elementarer Bedeutung. Die entsprechenden Regelungen im DSA bilden insoweit ein Kernstück des Regelwerks, was unter anderem auch daran ersichtlich wird, dass diese Vorschriften bereits mit dem Inkrafttreten des DSA am 16. November 2022 gelten und insofern bereits jetzt umgesetzt werden müssen. Das betrifft insbesondere die in Art. 24 Abs. 2 DSA genannte Pflicht zur Veröffentlichung von Informationen über die durchschnittliche monatliche Zahl ihrer aktiven Nutzer in der EU, die unabhängig von der Größe jeden Diensteanbieter trifft.

Diese Anzahl der monatlich aktiven Nutzer ist nach dem DSA maßgeblich für die Bestimmung der Plattformgröße und damit auch zur Bestimmung der Anbieterkategorie.

Gemäß Art. 3 lit. b DSA ist der Nutzer jede natürliche oder juristische Person, die einen Vermittlungsdienst in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Aktiv sind solche Nutzer, die mit einer Online-Plattform in Kontakt getreten sind, indem sie entweder die Plattform um die Bereitstellung von Informationen gebeten haben oder mit Informationen konfrontiert wurden, die von der Online-Plattform bereitgestellt und über ihre Online-Schnittstelle verbreitet worden sind.

Die durchschnittliche Anzahl von Nutzern wird anhand einer Zeitspanne von sechs Monaten berechnet. Zur Präzisierung dieser weit gefassten Definition finden sich in ErwG 77 DSA einige Anhaltspunkte, wonach die Nutzung einer Online-Plattform die Interaktion mit Informationen durch Anklicken, Kommentieren, Verlinken, Teilen, Kaufen oder Durchführen von Transaktionen auf der Plattform umfasst, jedoch nicht darauf beschränkt ist.

Zusammengefasst bedeutet dies, dass jeder Nutzer, der mit einer Plattform interagiert, unter den Begriff des aktiven Nutzers fällt. Hingegen fallen solche Nutzer nicht unter den Begriff, die zum Beispiel nur zufällig auf den Link zu einer Plattform klicken. Zudem ließe sich auch argumentieren, dass Nutzer, die keine Inhalte Dritter aufrufen oder ansehen, ebenfalls nicht in den Anwendungsbereich des DSA fallen. Denn Zweck der Verordnung ist die Bekämpfung der Verbreitung illegaler Inhalte und Desinformation (vgl. ErwG 9 DSA). Bei einem fehlenden Aufruf des Inhalts kann jedoch keine Verbreitung stattfinden, sodass insoweit der Schutzzweck der Verordnung nicht tangiert wäre.

Unklarheit besteht bisweilen allerdings noch hinsichtlich der konkreten Berechnung der monatlich aktiven Nutzer. Gemäß Art. 33 Abs. 3 DSA kann die Europäische Kommission delegierte Rechtsakte zur Festlegung einer Berechnungsmethode erlassen. Allerdings fehlt es bislang an solchen Vorgaben. Gleichwohl sind die entsprechenden Diensteanbieter bereits nach Art. 24 Abs. 2 DSA dazu verpflichtet, genaue Angaben zu der durchschnittlichen monatlichen Anzahl ihrer aktiven Nutzer bereitzustellen, sodass derzeit noch Rechtsunsicherheit besteht, welche Diensteanbieter nun tatsächlich als sehr große Online-Plattformen oder -Suchmaschinen gelten.

Hinzu kommt, dass der DSA keine zusätzliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten enthält und Diensteanbieter auch nicht zur Durchführung eines Online-Trackings verpflichtet, was zudem mit datenschutzrechtlichen Regelungen nur schwer vereinbar sein dürfte.

In der Praxis führt dies zu einigen Problemen. So wird beispielsweise ein Nutzer bei der Verwendung von mehreren Geräten von einem Vermittlungsdienst auch mehrmals gezählt, solange keine Software zur Besucherverfolgung eingesetzt wird. Die gleiche Problematik besteht für den Fall, dass mehrere Nutzer über dasselbe Gerät auf den Vermittlungsdienst zugreifen. Online-Plattformen, die EU-weit verfügbar sind und denselben Dienst über unterschiedliche Domains anbieten, werden vermutlich ebenfalls Probleme haben, die genaue Anzahl ihrer Nutzer zu identifizieren. Unklar ist auch, inwiefern Nutzer bei der Zählung zu berücksichtigen sind, die ihren Zugriffsstandort über ein VPN verschleiern.

Nicht weniger komplex wird die Berechnung durch den Umstand, dass der DSA zwischen Kern- und Zusatzdiensten unterscheidet (vgl. ErwG 13 DSA). Beispielsweise wird ein Kommentarbereich in bestimmten Fallkonstellationen nur als Zusatz zum Hauptdienst gesehen. Die verschiedenen Teile eines Dienstes mit ihren oft unterschiedlichen Schnittstellen und Werkzeugen laufen jedoch meist über ein gemeinsames Nutzerkonto. Fraglich ist auch, ob eingebettete Plattform-Inhalte auf Drittseiten bereits zu einer Interaktion zwischen Online-Plattform und Nutzer führen, wenn letzterer den eingebetteten Inhalt ausschließlich auf der Drittseite betrachtet. Insofern bleibt unklar, wie diese Problematiken im Rahmen der Berechnung aufzulösen sind.

Lediglich eine Berechnungsmethode, die eine Analyse auf Grundlage einer Kombination aus mehreren Identifier- und Tracking-Tools umfasst, ermöglicht genaue Ergebnisse, würde allerdings mit Sicherheit zusätzliche Datenverarbeitungen erfordern, was wiederum in Konflikt mit den geltenden datenschutzrechtlichen Bestimmungen treten könnte. Folglich scheint es zum jetzigen Zeitpunkt kaum möglich, dass die Plattformen akkurate Zahlen bereitstellen. Bis zur Vorgabe einer genauen Berechnungsmethode durch die EU-Kommission haben Diensteanbieter daher keine andere Wahl, als sich auf die herkömmlichen Methoden zur Bestimmung der Nutzerzahl zu verlassen und damit zu versuchen, möglichst genaue Zahlen zu veröffentlichen.

IV. Sanktionen und Inkrafttreten

Die Vorgaben des DSA setzen die Koordinatoren für digitale Dienste um, worunter autonome Behörden der Mitgliedstaaten fallen, die mit entsprechenden Ermittlungs- und Durchsetzungsbefugnissen ausgestattet werden.

Weiterhin wird ein Europäisches Gremium für digitale Dienste eingerichtet, das die Kommission und die Mitgliedstaaten bei der Umsetzung des DSA, insbesondere im Hinblick auf die Harmonisierung unterstützt. Die Kommission kann in Bezug auf sehr große Online-Plattformen und -Suchmaschinen Untersuchungen durchführen und Bußgelder verhängen. Letztere können sich gemäß Art. 74 Abs. 1 DSA u.a. bei einem Pflichtverstoß bis zu einem Höchstbetrag von 6 % des im Vorjahr erzielten weltweiten Gesamtjahresumsatzes belaufen. Unter anderem bei der Bereitstellung von unrichtigen, unvollständigen oder irreführenden Informationen, bei der Versäumnis einer Antwort oder der Nichtduldung einer Nachprüfung sollen Geldbußen von bis zu 1 % des weltweit erzielten Vorjahresumsatzes verhängt werden. Gemäß Art. 52 Abs. 3 DSA können Mitgliedstaaten diese Bußgelder auch gegenüber allen sonstigen von der Verordnung genannten Diensteanbietern verhängen. Darüber hinaus können Nutzer Schadensersatz geltend machen, wenn der Diensteanbieter eine nutzerbezogene Pflicht verletzt (Art. 54 DSA). Hierbei sind allerdings die europarechtlichen und nationalen Rechtsvorgaben in Bezug auf Schadensersatzansprüche zu beachten.

V. Handlungsempfehlungen

Unternehmen und Anbieter, die in den Anwendungsbereich des DSA fallen, sollten bereits jetzt die Vorgaben aus den bereits geltenden Normen des DSA umsetzen. Dies umfasst vor allem die Benennung der durchschnittlichen monatlichen Zahl der aktiven Nutzer in der EU durch Online-Plattformen.

Weiterhin sollte mit einer schrittweisen Umsetzung der restlichen Anforderungen des DSA begonnen werden. Auch wenn die Verordnung insoweit erst ab dem 17. Februar 2024 gilt, kommt auf die Anbieter von Vermittlungsdiensten ein erheblicher Verwaltungsaufwand zu, dem so zeitnah wie möglich begegnet werden sollte.

Update: Am 1. Februar 2023 hat die EU-Kommission Leitlinien zur Identifizierung und Zählung der aktiven Nutzer herausgegeben.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig

EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?

Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.

LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.

Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).

Neuer Associate: Piltz Legal erweitert das Datenschutzteam

Piltz Legal heißt Daniel Kühl herzlich Willkommen im Team.

Daniel Kühl ist seit 2014 zugelassener Rechtsanwalt und hat sich mit dem Inkrafttreten der DSGVO den beruflichen Schwerpunkt auf den Datenschutz gelegt. Mittlerweile ist er zertifizierter Datenschutzbeauftragter (GDDcert EU) und FOM-zertifizierter „Data Protection Risk Manager“.

In den letzten Jahren hat er als externer Datenschutzberater verschiedenste Klienten, insbesondere aus dem Bereich der Energiewirtschaft, Wohnungswirtschaft und Wohlfahrtsverbände, aber auch Museen im Datenschutz beraten.

Wir freuen uns, dass wir mit Daniel Kühl einen weiteren erfahrenen Datenschutzrechtler für die Kanzlei gewinnen konnten und freuen uns sehr auf die Zusammenarbeit.

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.

Der FOCUS zeichnet Piltz Legal erneut als eine der TOP - Wirtschaftschaftskanzleien aus

Im aktuellen Heft des FOCUS wurde Piltz Legal wieder als eine der TOP-Wirtschaftkanzleien 2023 im Bereich Datenschutz ausgezeichnet.