News

Der kommende EU Digital Services Act – Pflicht zu Melde- und Abhilfeverfahren für Hosting-Dienste

Der vollständige Geltungsbeginn des Digital Services Act (DSA) am 17. Februar 2024 rückt stetig näher. Und mit ihm auch die Verpflichtung zahlreicher Unternehmen. Wichtig: der DSA gilt, anders als oft öffentlich wahrgenommen, nicht nur für die „Großen“. Nachfolgend wird deshalb die Pflicht von Hostingdiensteanbietern vorgestellt, die ein Melde- und Abhilfeverfahren nach dem DSA implementieren müssen.

Wer ist wann erfasst?

Grundsätzlich richtet sich der DSA an sog. „Vermittlungsdienste“, die unter den Begriff „Dienst der Informationsgesellschaft“ fallen (Art. 1 Abs. 1 lit. b) RL (EU) 2015/1535). Die Anforderungen an einen Dienst der Informationsgesellschaft müssen also stets erfüllt sein. Unter den Begriff des Vermittlungsdienstes in diesem Sinn fallen nach Art. 3 lit. g) DSA folgende Dienste:

  • „reine Durchleitungsdienstleister“ (z. B. Internet-Austauschknoten, drahtlose Zugangspunkte, virtuelle private Netze, DNS-Dienste und DNS-Resolver, Dienste von Namenregistern der Domäne oberster Stufe, Registrierungsstellen, Zertifizierungsstellen, die digitale Zertifikate ausstellen, Internet-Sprachtelefonie (VoIP) und andere interpersonelle Kommunikationsdienste, ErwG 29 DSA)
  • „Caching“-Dienstleister (z. B. alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten, ErwG 29 DSA); und
  • „Hosting“-Dienstleister (z. B. Cloud- und Webhosting-Dienste, ErwG 13 DSA; entgeltliche Referenzierungsdienste oder Dienste, die den Online-Austausch von Informationen und Inhalten ermöglichen – darunter die Speicherung und der Austausch von Dateien, ErwG 29 DSA; oder Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen).

Ob es sich bei einem Vermittlungsdienst um eine „reine Durchleitung“, eine „Caching“-Leistung oder einen „Hosting“-Dienst handelt, hängt ausschließlich von seinen technischen Funktionen ab, die sich möglicherweise im Laufe der Zeit ändern, was von Fall zu Fall geprüft werden muss. Wichtig ist außerdem, dass es sich bei der Vermittlungsleistung um eine Haupt- und nicht eine Nebenfunktion der Plattform / des Dienstes handelt.

Zur Gruppe der Hosting-Dienstleister gehören gemäß Art. 3 lit. i) DSA schließlich auch „Online-Plattformen“. Zu dieser Gruppe sollen z. B. soziale Netzwerke oder Plattformen gehören, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglichen (ErwG 13 DSA).

Hervorzuheben ist außerdem, dass der DSA immer dann für Vermittlungsdienste gilt, wenn diese „für Nutzer mit Niederlassungsort oder Sitz in der Union angeboten werden, ungeachtet des Niederlassungsortes des Anbieters dieser Vermittlungsdienste“ (Art. 2 Abs. 1 DSA). Es kommt – anders als z. B. im Fall der DSGVO – nicht mehr darauf an, wo der Vermittlungsdienst seinen Sitz hat, sondern ausschließlich darauf, ob sich die Angebote (etwa einer Webseite oder App) an Nutzer in der EU richten.

Was sind die Anforderungen an einen „Hosting“-Dienstleister?

Da die Gruppe der „Hosting“-Dienstleister voraussichtlich die zahlenmäßig größte Gruppe stellt, für die der DSA gelten wird, wird kurz darauf eingegangen, wann dessen Voraussetzungen vorliegen.

Gemäß Art. 3 lit. g) iii) DSA liegt ein „Hosting“-Dienstleister dann vor, wenn dieser von einem Nutzer bereitgestellte Informationen im Auftrag des Nutzers speichert. Die Anforderungen an das Vorliegen eines „Hosting“-Dienstleisters sind also äußerst niedrigschwellig. Anders als im Fall einer Online-Plattform (Art. 3 lit. i) DSA) ist es bei „Hosting“-Dienstleistern etwa gerade nicht erforderlich, dass über die Plattform Verträge mit Dritten abgeschlossen oder vermittelt werden.

In die Gruppe der „Hosting“-Dienstleister können also vor allem Betreiber von Apps und Websites fallen, sowohl im B2B- als auch B2C-Bereich, die ihren Kunden die Möglichkeit eröffnen, Daten zu speichern. Man denke an Plattformen mit Kundenkonten, bei denen die Kunden Bilder, Videos oder andere Daten hochladen und abspeichern können.

Zudem gilt für die gesetzlichen (Grund)Pflichten der Art. 11 - 18 DSA nicht die zum Teil vorgesehene Ausnahmeregelung für Kleinst- und Kleinunternehmen.

Pflicht des „Hosting“-Dienstleisters zur Einrichtung eines Melde- und Abhilfeverfahrens

Der „Hosting“-Dienstleister ist gemäß Art. 16 Abs. 1 S. 1 DSA verpflichtet, ein Verfahren einzurichten, nach dem Personen oder Einrichtungen dem „Hosting“-Dienstleister das Vorhandensein von Einzelinformationen in dessen Diensten melden können, die die betreffende Person oder Einrichtung als rechtswidrige Inhalte ansieht. Hiermit wird also ein Verfahren kodifiziert, wann Diensteanbieter auf potentiell rechtswidrige Inhalte aufmerksam gemacht werden und wie sie reagieren sollen.

Das Verfahren wird im restlichen Art. 16 DSA näher erläutert. Hervorgehoben werden kann z. B. Art. 16 Abs. 6 S. 1 DSA, wonach der „Hosting“-Dienstleister alle Meldungen bearbeitet, die er im Rahmen des in Art. 16 Abs. 1 DSA genannten Verfahrens erhält, und entscheidet zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen. Ebenso muss das Verfahren nach Art. 16 Abs. 1 S. 2 DSA leicht zugänglich und benutzerfreundlich sein und eine Übermittlung von Meldungen ausschließlich auf elektronischem Weg ermöglichen.

Die Vorgaben zu dem Verfahren enthalten also eine Menge unbestimmter Rechtsbegriffe, die „Hosting“-Dienstleister bei der Ausgestaltung ihres Melde- und Abhilfeverfahrens einhalten müssen. Da das Verfahren leicht zugänglich und benutzerfreundlich ausgestaltet sein soll, deutet dies darauf hin, dass die Website, auf der das Verfahren durchgeführt werden soll, ähnlich leicht zu erreichen sein muss, wie z. B. die Impressumswebsite. Oder aber es dürfte durch den „Hosting“-Dienstleister zumindest spezifisch festzulegen sein, unter welcher URL ein Meldeverfahren durch den Nutzer durchgeführt werden kann.

Laut ErwG 50 DSA soll es „möglich, aber nicht zwingend erforderlich sein, die meldende Person oder Einrichtung zu identifizieren“. Das heißt, das Meldeverfahren kann grundsätzlich auch eine Nutzer-Identifizierung vorsehen. Je nach Art der Information kann es für die Prüfung erforderlich sein, dass der Nutzer identifiziert wird. Interessanterweise heißt es dort auch ganz konkret, dass die Verpflichtung zur Schaffung eines Melde- und Abhilfeverfahrens etwa für Datenspeicher- und Weitergabedienste, Web-Hostingdienste, Werbeserver und Pastebin-Dienste gelten soll, sofern diese im konkreten Fall als Hostingdienste einzustufen sind.

Bußgelder und zuständige Behörde

Der aktuellste Referentenentwurf des Bundesverkehrsministeriums, mit dem ein DSA-Durchführungsgesetz in Deutschland geschaffen werden soll, sieht in Umsetzung der Vorgaben des DSA gemäß § 25 Abs. 4 Nr. 8 Digitale-Dienste-Gesetz (DDG) Geldbußen vor, wenn ein Meldeverfahren nach Art. 16 Abs. 1 DSA nicht, nicht richtig, nicht vollständig, nicht in der vorgeschriebenen Weise oder nicht spätestens mit Anbieten des „Hosting“-Dienstleister eingerichtet wurde.

Die Höhe dieser Geldbuße beläuft sich grundsätzlich nach § 25 Abs. 5 Nr. 1 lit. b) DDG auf bis zu 300.000 EUR. Im Fall einer juristischen Person oder Personenvereinigung mit einem Jahresumsatz von mehr als 5 Mio. EUR kann abweichend davon eine Geldbuße von bis zu 6 Prozent des Vorjahresumsatzes verhängt werden.

Für die Verhängung der Geldbußen soll nach § 25 Abs. 7 Nr. 1 DDG die Koordinierungsstelle für digitale Dienste zuständig sein, welche gemäß § 14 Abs. 1 DDG bei der Bundesnetzagentur angesiedelt sein soll.

Empfehlungen

Es sollte nicht unterschätzt werden, wie viele Unternehmen und Dienste durch den DSA adressiert werden. Daher lohnt sich in jedem Fall für Unternehmen im Onlineumfeld bereits jetzt zu prüfen, ob sie dem DSA unterliegen und wenn ja, in welcher Kategorie und mit welchen Pflichten.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

Musterverträge für internationale Geschäfte

Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.

Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien

Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:

Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig

Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?

Die 3G-Pflicht am Arbeitsplatz kommt! – Datenschutzrechtliche ToDos

Heute am Mittwoch, den 24. November 2021, ist es soweit: Die 3G-Regel (geimpft, genesen, getestet), die uns seit Monaten im täglichen Leben begleitet, gilt auch am Arbeitsplatz. Die Umsetzung der neuen Regeln werfen selbstverständlich auch einige datenschutzrechtliche Fragen auf. Anhand der FAQs zum betrieblichen Infektionsschutz des Bundesministeriums für Arbeit und Soziales (BMAS) haben wir den folgenden Beitrag zum neuen Infektionsschutzgesetz (IfSG) und die daraus resultierende 3G-Nachweispflicht am Arbeitsplatz für Sie zusammengefasst.

Webinar von Piltz Legal: Der neue § 25 TTDSG – Dos and Don'ts

Achtung: nur noch Plätze auf der Warteliste verfügbar

Piltz Legal organisiert am 22.11.2021 ein weiteres Webinar zu einem der aktuell wichtigsten datenschutzrechtlichen Themen: dem am 1.12.2021 in Kraft tretenden TTDSG. Wir freuen uns, bei diesem Webinar Frau Dr. Herbort von der Berliner Beauftragten für Datenschutz und Informationsfreiheit als Gast und Diskussionsteilnehmerin begrüßen zu dürfen.