Neue Regeln für Online-Plattformen: Der Digital Services Act und Digitale-Dienste-Gesetz

Intermediäre), die Nutzern in der EU Zugang zu Waren, Dienstleistungen und Inhalten verschaffen. Dazu gehören Anbieter von folgenden Diensten:

• Reine Durchleitungsdienste, wie z.B. Internet-Austauschknoten, Wireless Access Points (drahtlose Zugangspunkte), virtuelle private Netze und DNS-Dienste.
• Caching-Dienste, wie z.B. Content Delivery Networks, Reverse Proxies und Content Adaptation Proxies.
• Hosting-Dienste, wie z.B. Cloud Computing und Webhosting.
• Online-Plattformen, wie z.B. soziale Netzwerke und Online-Marktplätze.
• Online-Suchmaschinen.

Die Terminologie und der Anwendungsbereich der Klassifizierungen des DSA weisen keine randscharfen Konturen auf, sodass ein digitaler Dienst auch mehrere Dienste oder Funktionalitäten kombinieren kann, und damit den unterschiedlichen Klassifizierungen und unterschiedlichen Regeln des DSA unterliegen kann. Hierdurch verbleibt Interpretationsspielraum und es können Unsicherheiten entstehen.

Kleine Unternehmen und Kleinstunternehmen (mit weniger als 50 Beschäftigten und einem Jahresumsatz von weniger als 10 Millionen Euro) sind von der Einhaltung einiger Pflichten des DSA befreit.

Der DSA folgt in erster Linie einem abgestuften Regulierungssystem, das bedeutet, dass die Pflichten der einzelnen Online-Unternehmen je nach Rolle, Größe und Auswirkung im Online-Umfeld variieren.

Auf Grundlage dessen gelten für alle Vermittlungsdienste allgemeine Pflichten, die dann je nach Art und Klassifizierung des jeweiligen Vermittlungsdienstes durch weitere spezielle Pflichten ergänzt werden. Sehr große Online Plattformen (engl.: Very large online plattforms - VLOPs) und sehr große Online Suchmaschinen (engl.: Very large online search engines – VLOSEs) sind solche mit mehr als 45 Millionen durchschnittlich monatlich aktiven Nutzern in der EU.
Unter den umfangreichen Vorschriften des DSA sind die folgenden besonders erwähnenswert:

a) Umgang mit rechtswidrigen Inhalten

Ein zentraler Aspekt des DSA ist, dass Diensteanbieter rechtswidrige Inhalte schnell und effizient entfernen müssen. Anbieter von Hosting-Diensten müssen vordefinierte Melde- und Abhilfeverfahren für die Meldung mutmaßlich rechtswidriger Inhalte bereitstellen und solchen Meldungen nachgehen und die erforderlichen Maßnahmen ergreifen. Ob ein Inhalt als rechtswidrig einzustufen ist oder nicht, wird nicht durch den DSA selbst, sondern durch das geltende Recht des betroffenen EU-Mitgliedstaates bestimmt. Die Haftungsprivilegien der E-Commerce-Richtlinie wurden in den DSA übernommen. Daher bleibt das ursprünglich im Rahmen der E-Commerce-Richtlinie eingeführte und entwickelte Konzept des Melde- und Abhilfeverfahrens (sog. „notice and takedown“) weitgehend erhalten. Diensteanbieter müssen die Rechtmäßigkeit der Inhalte nicht proaktiv überprüfen.

b) Zentrale Kontaktstelle

Anbieter von Vermittlungsdiensten müssen eine zentrale Kontaktstelle benennen, die als direkter Ansprechpartner für Behörden der EU-Mitgliedstaaten, die Europäische Kommission und Nutzer fungiert.

c) Transparenzberichtspflichten

Je nach Klassifizierung des betroffenen Diensteanbieters gibt es verschiedene abgestufte Transparenzpflichten, die regelmäßige Berichte über die Moderation von Inhalten und andere Maßnahmen vorsehen.

d) Internes Beschwerdemanagementsystem

Anbieter von Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten, das Nutzern z.B. ermöglicht, die angeblich unberechtigte Entfernung von Inhalten, die Sperrung von Nutzerkonten und andere Maßnahmen mit nachteiligen Auswirkungen zu beanstanden. Die Entscheidung über eine Beschwerde muss eine Begründung des Anbieters der Online-Plattform enthalten und darf nicht rein automatisiert erfolgen.

e) Online-Werbung und Transparenz

Neben der allgemeinen Anforderung, Online-Werbung eindeutig als solche zu kennzeichnen, treffen Anbieter von Online-Plattformen weitere Transparenzpflichten im Zusammenhang mit Online Werbung. 

f) Teilweises Verbot von auf Profiling basierender Online-Werbung

Anbietern von Online-Plattformen ist es untersagt, auf Profiling basierte Online-Werbung zu betreiben, soweit dies auf Grundlage von sensiblen Daten (z.B. Gesundheitsdaten) erfolgt oder an Minderjährige gerichtet ist.

g) Ansprüche und Rechtsbehelfe von Nutzern

Nutzer haben das Recht, bei Verstößen gegen den DSA Ansprüche gegen die Diensteanbieter geltend zu machen,einschließlichSchadensersatzansprüchen nach dem Recht der EU und der EU-Mitgliedstaaten.

h) Sehr große Online-Plattformen und sehr große Online-Suchmaschinen (VLOPs und VLOSEs)

Der DSA schreibt vor, dass Anbieter von VLOPs und VLOSEs regelmäßig eine Bewertung ihrer systemischen Risiken vornehmen müssen. Auf Grundlage der daraus hervorgehenden Ergebnisse müssen Maßnahmen zur Risikominderung ergriffen werden. Darüber hinaus müssen Anbieter von VLOPs und VLOSEs regelmäßig unabhängige Compliance-Prüfungen durchführen und eine qualifizierte Compliance-Abteilung einrichten, die von den operativen Funktionen unabhängig ist.

Jeder EU-Mitgliedstaat muss bis zum 17. Februar 2024 einen Koordinator für digitale Dienste (DSC) als zuständige Behörde zur Überwachung und Durchsetzung der Einhaltung des DSA ernennen (in Deutschland die Bundesnetzagentur). Die zuständige Behörde für VLOPs und VLOSEs ist in erster Linie die Europäische Kommission selbst.

Die Behörden und die Europäische Kommission (soweit zuständig) haben weitreichende Rechte auf Zugang, Einholung von Informationen, Inspektion, Anordnung und Sanktionierung von Diensteanbietern.

Verstöße gegen den DSA können mit Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Bei Verstößen gegen eine Informationspflicht des DSA ist die Geldbuße auf maximal 1 % des Vorjahreseinkommens oder des weltweiten Vorjahresumsatzes begrenzt.

Das Digitale-Dienste-Gesetz (DDG) ist am 14. Mai 2024 in Kraft getreten und schafft die notwendigen nationalen Voraussetzungen für die effektive Umsetzung des DSA in Deutschland. Dies beinhaltet Anpassungen der Zuständigkeiten, die Ernennung der Bundesnetzagentur als Digital Services Coordinator (DSC) und Informationspflichten.

Mit Inkrafttreten des DDG verliert das Telemediengesetz (TMG) seine Wirkung und geht im DSA und DDG auf. Zudem wird das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt. Die bisherigen Regelungen des TMG zur Verantwortlichkeit entfallen weitgehend und sind nunmehr ohne wesentliche inhaltliche Änderungen vom DSA erfasst. Weitere Änderungen betreffen unter anderem das Netzwerkdurchsetzungsgesetz, das Jugendschutzgesetz und das Urheberrechts-Diensteanbieter-Gesetz. 

Das DDG ergänzt den DSA um weitere Bußgeldvorschriften für verschiedene Ordnungswidrigkeiten. Diese betreffen hauptsächlich Verstöße gegen gesetzlich vorgeschriebene Informations-, Auskunfts-, Prüfungs- und Zugangsverpflichtungen nach dem DDG und dem DSA sowie gegen die P2B-VO. Die Geldstrafen variieren je nach Schwere des Verstoßes, wobei einige bis zu 300.000 Euro reichen können. In schwereren Fällen, insbesondere bei juristischen Personen oder Personenvereinigungen mit einem hohen Jahresumsatz, können die Strafen sogar bis zu 6 Prozent des Jahresumsatzes betragen.

Die Gesetzesänderungen betreffen auf nationaler Ebene alle Unternehmen zur Umbenennung von „Telemedien“ zu „Digitale Dienste“. Es entstehen somit vor allem redaktionelle Änderungserfordernisse:

• Anpassungsbedarf auf der Webseite
  • Änderung der Begrifflichkeit „Telemedien“ zu „Digitale Dienste“, sowie die Überprüfung, ob weitere Anpassungen notwendig sind.
  • Innerhalb des Impressums ergeben sich die „Allgemeinen Informationspflichten“ aus § 5 DDG (zuvor § 5 TMG). Die „Besonderen Pflichten bei kommerziellen Kommunikationen“ ergibt sich nun aus § 6 DDG (zuvor § 6 TMG).
  • Sofern in der CMP/Cookie-Banner Bezug auf § 25 TTDSG genommen wurde, ist dieser Bezug auf § 25 TDDDG abzuändern. Auch hier ist der Begriff „Telemedien“ durch „Digitale Dienste“ zu ersetzen.
  • Die Datenschutzinformationen auf der Webseite sind ebenfalls von TMG zu DDG und von TTDSG zu TDDDG abzuändern.
  • Sofern andere bzw. eigene Erklärungen auf der Webseite vorgenommen wurden, sind diese auf die Formulierungen „Telemedien“ sowie die alten Gesetzesbezeichnungen zu kontrollieren.
• Anpassungsbedarf in den Datenschutzerklärungen gem. Art. 13 und 14 DSGVO
  • Sämtliche Datenschutzerklärungen (z. B. für Kunden, Lieferanten, Bewerberinnen und Bewerber, Mitarbeiterinnen und Mitarbeiter etc.) sind auf Verweise auf das TMG und TTDSG hin zu überprüfen. „Telemedien“ ist durch „Digitale Dienste“ zu ersetzen.
  • Solche Verweise können im Rahmen der Rechtsgrundlage abzuändern sein.
  • Eine Informierung der Betroffenen aufgrund der abgeänderten Datenschutzerklärungen ist nicht erforderlich.
• Anpassungsbedarf bei Verpflichtungserklärungen zum Datenschutz für Mitarbeiterinnen und Mitarbeiter
  • Überprüfung und Anpassung aller datenschutzrechtlichen Verpflichtungserklärungen auf Verweise zum TMG und TTDSG. Hier kommen insbesondere Verweise auf das Fernmeldegeheimnis (zuvor § 3 TTDSG oder § 88 TKG) gem. § 3 TDDDG infrage. Zudem ist die Formulierung „Telemedien“ zu „Digitale Dienste“ abzuändern.
  • Eine Abänderung der bereits unterschriebenen Verpflichtungserklärungen mit Mitarbeitern und Mitarbeiterinnen ist nicht erforderlich.