Der Digital Services Act I
Der Digital Services Act (DSA; deutscher Titel: „Gesetz über digitale Dienste“) ist ein neuer Rechtsakt der EU, der große Auswirkungen auf Unternehmen der EU mit sich bringt, da eine Vielzahl von neuen gesetzlichen Pflichten eingeführt wird. Schwerpunkt ist die Bekämpfung rechtswidriger Inhalte im Internet. Die Verordnung wird sich aber auch auf andere Rechtsbereiche, wie das Datenschutzrecht, Urheberrecht und digitale Vertragsrecht auswirken.
Was ist der Digital Services Act?
Die finale Fassung des Digital Services Act wurde am 27.10.2022 verabschiedet, nur zwei Jahre nach dem ersten Entwurf der EU-Kommission. Die neue Verordnung bildet einen Grundpfeiler der sog. Digital-Strategie der EU, mit der der europäische digitale Binnenmarkt modernisiert und transparenter ausgestaltet werden soll. Der Digital Services Act enthält eine Vielzahl von teilweise neuartigen Regelungen für „Anbieter von Vermittlungsdiensten“. Dabei werden nicht nur die „Big Player“ verpflichtet, sondern auch kleine und mittelständische Unternehmen (KMU).
Einige Normen des Digital Services Act gelten bereits seit dem 16.11.2022, während die Verordnung in ihrer Gesamtheit erst am 17.2.2024 Geltungskraft in der EU erlangt. Es handelt sich bei dem Digital Services Act um eine EU-Verordnung, so dass im Gegensatz zu Richtlinien kein nationaler Umsetzungsakt erforderlich ist und der Rechtsakt unmittelbar in den Mitgliedstaaten Anwendung findet.
Wer ist verpflichtet? Umfang der Vermittlungsdienste:
Der Anwendungsbereich der neuen Verordnung bezieht sich auf die als Vermittlungsdienste bezeichneten Unternehmen (Art. 1 Abs. 1 DSA). Darunter fallen:
- Accessdienste, z. B. Telefondienstleister wie AOL und die Deutsche Telekom oder Internetzugangsdienste wie T-Online und Vodafone (Art. 3 g) i) DSA),
- Cachingdienste, z. B. CDN-Anbieter wie Leaseweb oder Fastly (Art. 3 g) ii) DSA),
- Hostingdienste, z. B. Webhostinganbieter wie Jimdo und Online-Marktplätze wie Etsy oder Ebay (Art. 3 g) iii) DSA),
- Online-Plattformen, z. B. soziale Netzwerke wie Facebook und Tik Tok (Art. 3 i) DSA) und
- Online-Suchmaschinen, z. B. Google oder DuckDuckGo (Art. 3 j) DSA).
Als Zwischenergebnis lässt sich daher festhalten, dass der Begriff der Vermittlungsdienste sehr weit greift, eine Vielzahl an verschiedenen Unternehmenstypen umfasst und sich im Ergebnis nicht nur die großen Tech-Unternehmen auf die neuen Regelungen einstellen müssen.
Neue Pflichten für Vermittlungsdienste hinsichtlich rechtswidriger Inhalte
Kern der Regelungen des Digital Services Act sind Bestimmungen über rechtswidrige Inhalte, die im digitalen Raum übermittelt werden und die Moderation dieser Inhalte durch die Dienste, durch die sie übermittelt werden. Erfasst werden also die Unternehmen, die als Intermediäre digital Daten übermitteln, zwischenspeichern oder auf die Übermittlung einwirken. Die Rechtswidrigkeit von Inhalten kann sich daraus ergeben, dass sie gegen Rechtsvorschriften aus den EU-Mitgliedsstaaten oder Rechtsakte der EU verstoßen, aber auch bei Verstößen gegen die Nutzungsbedingungen des jeweiligen Vermittlungsdienstes. Zur Vorbeugung und Bekämpfung gegen die Ausbreitung rechtswidriger Inhalte im Internet stellt der Digital Services Act Regeln auf, wann die Vermittlungsdienste für die auf ihren Seiten veröffentlichten Inhalte haften, was sie tun müssen, um die Übermittlung und Verbreitung zu verhindern und was passiert, wenn die Vermittlungsdienste ihren Pflichten nicht nachkommen (vgl. Art. 1 Abs. 2 DSA).
Zentral sind Haftungsprivilegien, die die Vermittlungsdienste in einem bestimmten Rahmen von der Haftung für rechtswidrige Inhalte befreien: Soweit die Unternehmen Inhalte lediglich „passiv“ übermitteln, ohne konkret Kenntnis zu nehmen oder zu verändern, sieht der Digital Services Act Haftungsfreistellungen für die Inhalteübermittlung vor. Das gilt für Unternehmen, die Access-, Caching- oder Hostingdienste bereitstellen (Art. 4 bis 6 DSA). Ob ein passives oder aktives Vermitteln von Inhalten vorliegt, ist für die Unternehmen daher entscheidend, da hiervon abhängt, ob sie für Rechtsverstöße von durch sie übermittelte Inhalte juristisch verantwortlich sind. Das bloße Durchleiten bzw. Zwischenspeichern von Inhalten durch Access- und Cachingdienste stellt ein solches passives Vermitteln dar. Soweit der Diensteanbieter hierbei nicht selbst Informationen auswählt oder auf diese einwirkt, greift das Haftungsprivileg ein (Art. 4, 5 DSA). Für Anbieter von Hostingdiensten kommt es darauf an, ob Kenntnis von der Rechtswidrigkeit eines Inhalts vorliegt (Art. 6 DSA). Kenntnis erlangen die Dienste beispielsweise dadurch, dass Nutzer:innen begründet die Rechtswidrigkeit eines Inhalts melden.
Abgestuftes Regelungssystem des Digital Services Act
In Kapitel 3 der Verordnung sind schließlich Transparenz- und Handlungspflichten enthalten. Diese Sorgfaltspflichten beinhalten hauptsächlich Vorgaben darüber, wie die Unternehmen ihre Inhaltemoderation ausgestalten und wie sie mit tatsächlich rechtswidrigen Inhalten umgehen müssen. Bei Verletzung dieser Pflichten müssen sich die Unternehmen auf Schadensersatzforderungen einstellen (Art. 54 DSA). Die Bestimmungen des dritten Kapitels sind in einem abgestuften System verfasst – die Intensität der Sorgfaltsanforderungen nimmt mit dem Risiko, das von einem Vermittlungsdienst ausgeht, zu. Zu Beginn (Art. 11 bis 15 DSA) gibt es einen allgemeinen Katalog mit Sorgfaltspflichten für alle Unternehmen, die Vermittlungsdienste anbieten.
Im zweiten Abschnitt (Art. 16, 17 und 18 DSA) werden zusätzliche Sorgfaltspflichten für alle Hosting-Anbieter formuliert. Hosting-Anbieter sind zum einen Webhosting-Provider (wie z. B. IONOS oder Domainfactory), zum anderen werden nach dem Verständnis des Digital Services Act auch Online-Plattformen von dem Begriff umfasst (Art. 3 i) DSA).
Der dritte Abschnitt enthält Sorgfaltspflichten nur für Online-Plattformen. Online-Plattformen sind Vermittlungsdienste, deren Hauptanwendung darin besteht, Inhalte zu speichern und zu veröffentlichen (vgl. Art. 2 h) DSA). Durch den Aspekt der Öffentlichkeit und Verbreitung von Inhalten geht von Online-Plattformen daher eine höhere Gefahr aus als von anderen Vermittlungsdiensten. Infolgedessen müssen Online-Plattformen nun verschärften Sorgfaltspflichten nachkommen, um der Verbreitung rechtswidriger Inhalte durch ihre Dienste vorzubeugen. Beispiele sind die Pflicht zur Implementierung eines Beschwerdemanagementsystems (Art. 20 DSA) und die Pflicht, Werbung klar und eindeutig als solche zu kennzeichnen (Art. 26 DSA).
Die verschärften Sorgfaltsanforderungen des fünften Abschnitts – und damit die Hauptschlagkraft des Digital Services Act – richten sich an die sehr großen Plattformen (solche mit einer Reichweite von monatlich durchschnittlich 45 Millionen Nutzer:innen), also beispielsweise Google oder die Plattformen der Meta-Gruppe.
Von den umfangreichen Pflichten gibt es teilweise Ausnahmen: Aus Verhältnismäßigkeitsgründen knüpft der Digital Services Act für die enthaltenen Pflichten neben der Art auch an die Größe des Unternehmens an. So sind beispielsweise Klein- und Kleinstunternehmen von der neuen Pflicht, Transparenzberichte zu erstellen, wegen des für sie ungleich größeren bürokratischen Aufwandes freigestellt (Art. 15 Abs. 2 DSA).
Veröffentlichungspflichten seit 17.2.2023 – erste Ergebnisse
In Vorbereitung auf die Geltung des Digital Services Act mussten Online-Plattformen und Online-Suchmaschinen die durchschnittliche Anzahl ihrer monatlich aktiven Nutzer:innen in der EU bis zum 17.02.2023 sammeln und innerhalb ihrer Dienste öffentlich zugänglich machen (Art. 24 II DSA). Vor allem US-amerikanische Unternehmen bilden hierbei die Schwergewichte. Die Video-Sharing-Plattform YouTube führt mit rund 450 Millionen Nutzer*innen im Monat die Liste an, gefolgt von Google-Diensten wie Google Search und Google Maps. Auch die gängigen Social Media-Plattformen wie Facebook, Instagram, TikTok und Twitter gaben an, mehr als die entscheidenden 45 Millionen aktive Nutzer*innen monatlich zu haben.
Im Anschluss sind sie verpflichtet, diese Zahlen mindestens halbjährlich zu aktualisieren. Die EU-Kommission veröffentlichte am 1.2.2023 zusätzliche Leitlinien, die diesen Prozess konkretisieren.
Innovation für den digitalen Raum: Deutschland bringt ‚Digitale-Dienste-Gesetz‘ im Kontext des DSA ein
Im Zusammenhang mit dem Digital Services Act hat die Bundesregierung am 20. Dezember 2023 das Digitale-Dienste-Gesetz beschlossen, welches spezifische Regelungen für Deutschland im Rahmen des Digital Services Act (DSA) der EU bereitstellt. Das Gesetz ergänzt den DSA, indem es eine zentrale Koordinierungsstelle für digitale Dienste innerhalb der Bundesnetzagentur (BNetzA) etabliert. Hier können Nutzer:innen zukünftig Verstöße gegen den DSA melden. Neben der BNetzA werden auch noch andere nationale Behörden bei der Durchsetzung des DSA involviert sein. So fallen im Jugendschutz Zuständigkeitsbereiche an die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) und an die Landesmedienanstalten. Im Kontext Datenschutz wird der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Aufgaben übernehmen. Das Digitale-Dienste-Gesetz regelt zudem die Buß- und Zwangsgelder, die bei Verstößen gegen die EU-Verordnung anfallen – bis zu 6 Prozent des Jahresumsatzes der Plattformbetreiber. Noch steht die Zustimmung des Bundestages und Bundesrates zu dem von der Regierung beschlossenen Gesetzesentwurf aus. Eine fristgerechte Verabschiedung des Digitale-Dienste-Gesetzes bis zum 17. Februar 2024, dem Stichtag für die Umsetzung des DSA in Deutschland, ist daher kaum noch zu schaffen.
Fazit und Handlungsempfehlungen
Insgesamt stellt der Digital Services Act ein ausdifferenziertes und verhältnismäßiges Gesetzeswerk zur Plattformregulierung dar. Die Kommission entscheidet sich weder für eine unbedingte Haftungsfreistellung von Vermittlungsdiensten noch für eine umfassende Haftung für rechtswidrige Inhalte, sondern schlägt einen ausgewogenen Mittelweg ein. Auch das abgestufte Konzept an Sorgfaltsverpflichtungen wirkt sich angemessen auf die verschieden aufgestellten Unternehmen aus und berücksichtigt strukturelle Unterschiede von Vermittlungsdiensten. Unternehmen sollten nun prüfen, ob und wenn ja, inwieweit der Digital Services Act auf ihr Angebot anwendbar ist und sich vorbereiten, indem sie die Systeme, die zur Erfüllung von Sorgfaltspflichten erforderlich sind, implementieren, falls noch nicht geschehen.
Unternehmen sind dann vom Digital Services Act direkt betroffen, wenn sie Vermittlungsdienste – wie beispielsweise Accessdienste oder Online-Plattformen – anbieten. Das führt dazu, dass die Unternehmen abhängig von ihrer Größe und ihrem Geschäftsmodell die aufgezeigten Sorgfaltspflichten befolgen müssen.
Ihr Experte für Datenschutz
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com