News
Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten
Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.
I. Adressaten
Gemäß Art. 2 Abs. 1 DSA gilt die Verordnung für alle Anbieter von Vermittlungsdiensten, die Nutzern in der EU angeboten werden. Art. 3 lit. g DSA definiert Vermittlungsdienste als Dienstleistungen der Informationsgesellschaft zur reinen Durchleitung, in Form einer Caching-Leistung oder eines Hosting-Dienstes. Dazu zählen unter anderem VPNs, Proxy-Server, Web-Hosting-Dienste, soziale Netzwerke, digitale Marktplätze und Online-Plattformen.
II. Pflichten
Diesen Anbietern legt der DSA eine Vielzahl an Pflichten auf und unterscheidet dabei nach Art und Größe des Dienstes. Neben Anforderungen, die für alle Arten von Vermittlungsdiensten gelten, normiert der DSA gesteigerte Vorgaben für Hosting-Anbieter, Online-Plattformen und sehr großen Online-Plattformen und -Suchmaschinen mit durchschnittlich mindestens monatlich 45 Millionen aktiven Nutzern in der EU.
Hinsichtlich einer möglichen Haftung normiert der DSA für Access-, Caching- und Hosting-Dienste zunächst Haftungsprivilegien in Bezug auf sämtliche Rechtsverstöße ihrer Nutzer und orientiert sich dabei an die Regelungen der E-Commerce-Richtlinie und der Rechtsprechung des EuGH.
1. Haftungsprivilegierung
Solange die Diensteanbieter sich passiv verhalten und Inhalte beispielsweise lediglich durchleiten (Art. 4 Abs. 1 DSA) oder kurzzeitig automatisch zwischenspeichern (Art. 5 Abs. 1 DSA) und keine tatsächliche Kenntnis von der Rechtswidrigkeit der Inhalte besitzen, greift die Privilegierung.
Insofern gilt das bereits bekannte Notice-and-Takedown-Verfahren, wonach Inhalte erst bei aktiver Kenntnis zu löschen oder zu entfernen sind. Allerdings werden Diensteanbieter nach Art. 8 DSA weder zur Überwachung noch zur Forschung nach rechtswidrigen Inhalten verpflichtet.
Um freiwillige Untersuchungen oder andere Methoden der Anbieter von Vermittlungsdiensten zur Erkennung und Entfernung rechtswidriger Inhalte nicht zu konterkarieren, lassen derartige Maßnahmen die Haftungsprivilegierungen unberührt, sodass diese auch für proaktiv nachforschende Anbieter gelten (Art. 7 DSA, ErwG 26 DSA).
2. Sorgfaltspflichten
Weiterhin legt der DSA für die Anbieter von Vermittlungsdiensten verschiedene Sorgfaltspflichten fest, um ein sicheres und transparentes Online-Umfeld sicherzustellen (ErwG 40 DSA). Auch diesbezüglich wird teilweise zwischen der Art eines Vermittlungsdienstes unterschieden.
a) Sorgfaltspflichten für alle Diensteanbieter
Alle Diensteanbieter müssen gemäß Art. 11, 12 DSA die unmittelbare elektronische Kommunikation über eine zentrale Kontaktstelle für Behörden, die EU-Kommission und Nutzer ermöglichen und hierzu die erforderlichen Informationen bereitstellen. Sofern Diensteanbieter über keine Niederlassung innerhalb der EU verfügen, ist zudem ein gesetzlicher Vertreter zu benennen (Art. 13 Abs. 1 DSA).
Hinsichtlich bestehender AGB sind Diensteanbieter nunmehr dazu verpflichtet, Angaben zu Beschränkungen von Nutzerinhalten bereitzustellen, in denen unter anderem Informationen zu Verfahren, Maßnahmen oder der Moderation von Inhalten, der algorithmischen Entscheidungsfindung sowie zu Verfahrensregeln für das interne Beschwerdemanagementsystem der Plattform angegeben werden (Art. 14 Abs. 1 DSA). Diese Transparenzvorgaben sind in benutzerfreundlicher Sprache sowie in leicht zugänglicher und maschinenlesbarer Form zu erteilen, wobei dem Verständnis von minderjährigen Nutzern diesbezüglich in besonderem Maße Rechnung zu tragen ist.
Für die Beschränkungen von Nutzerinhalten legt der DSA zudem fest, dass diese sorgfältig, objektiv und verhältnismäßig getroffen werden sollen und die Interessen aller Beteiligten und Grundrechte der Nutzer berücksichtigen müssen (Art. 14 Abs. 4 DSA), sodass insoweit eine Inhalts- und Anwendungskontrolle in Bezug auf diese Nutzungsbeschränkungen besteht, um willkürliche Sperrungen und Löschungen von Inhalten zu verhindern. In diesem Zusammenhang schreibt Art. 15 Abs. 1 DSA einen jährlichen Transparenzbericht über das Lösch- und Sperrverhalten von Diensteanbietern vor. Für sehr große Online-Plattformen und -Suchmaschinen gilt ferner, dass ihre allgemeinen Geschäftsbedingungen in den Amtssprachen aller Mitgliedstaaten veröffentlicht werden, in denen sie ihre Dienste anbieten (Art. 14 Abs. 6 DSA).
b) Sorgfaltspflichten für Hostingdiensteanbieter
Hostingdiensteanbieter müssen nach Art. 16 Abs. 1 DSA ein Melde- und Abhilfeverfahren implementieren, worüber rechtswidrige Inhalte durch Personen und Einrichtungen gemeldet werden können. Diese Meldungen sind durch den Hostingdiensteanbieter zeitnah zu bearbeiten. Darüber hinaus ist der meldenden Person die Entscheidung über das Begehren mitzuteilen. Bei der Beschränkung von Inhalten oder des Kontos müssen Hostingdiensteanbieter gegenüber dem betroffenen Nutzer stets begründen, wieso der Inhalt als rechtswidrig eingestuft oder mit den Nutzungsvereinbarungen nicht vereinbar ist. Bei dem Verdacht von Straftaten besteht zudem eine Meldepflicht gegenüber Strafverfolgungsbehörden (Art. 18 Abs. 1 DSA).
c) Sorgfaltspflichten für Online-Plattformen
Online-Plattformen, bei denen es sich nicht um Kleinst- oder Kleinunternehmen handelt (derzeit Unternehmen mit mindestens 50 beschäftigten Personen und einem Jahresumsatz oder einer Jahresbilanz von über 10 Mio. EUR) müssen gemäß Art. 20 Abs. 1 DSA ein internes Beschwerdemanagement für ihre Nutzer einrichten, über das sich diese kostenlos unter anderem über die Beschränkung von Inhalten oder der Plattformnutzung beschweren können.
Meldungen von vertrauenswürdigen Hinweisgebern (hierzu können gemäß ErwG 61 beispielsweise Wirtschaftsverbände zählen), die über die in Art. 16 DSA genannten Mechanismen übermittelt werden, sind vorrangig zu behandeln und unverzüglich zu bearbeiten. Der Status als vertrauenswürdiger Hinweisgeber wird durch die Koordinatoren für digitale Dienste (gemäß Art. 49 Abs. 2 DSA bestimmte mitgliedstaatliche Behörden) verliehen. Voraussetzung hierfür ist eine einschlägige Sachkenntnis bezüglich der Erkennung und Meldung rechtswidriger Inhalte und die Unabhängigkeit von der Online-Plattform.
Für Online-Plattformen gilt zudem das Verbot von sogenannten „Dark Patterns“. Benutzeroberflächen dürfen demnach nicht so konzipiert sein, dass Nutzer getäuscht, manipuliert oder sonst in ihren Entscheidungen beeinträchtigt werden (Art. 25 Abs. 1 DSA). Hierfür werden Beispiele angeführt, wie das Hervorheben bestimmter Auswahlmöglichkeiten, das wiederholte Auffordern zum Treffen einer Auswahl oder der Umstand, dass die Beendigung eines Dienstes schwieriger ist als das Verfahren zur Anmeldung. Allerdings ist in diesem Zusammenhang zu beachten, dass das Verbot von Dark Patterns gemäß Art. 25 Abs. 2 DSA nicht für Praktiken anwendbar sind, die bereits unter die DSGVO oder die UGP-Richtlinie fallen. Auf die Gestaltung von Cookie-Bannern werden sich die Vorgaben in Art. 25 Abs. 1 DSA jedoch auswirken, da das Setzen von Cookies durch die E-Privacy-Richtlinie bzw. dem TTDSG als entsprechenden Umsetzungsakt in Deutschland geregelt wird, auf das sich das Verbot von Dark Patterns nach Art. 25 Abs. 2 gerade nicht bezieht.
Im Hinblick auf die Kenntlichmachung von Werbeinhalten gelten neue Kennzeichnungs- und Transparenzpflichten für Online-Plattformen. Gemäß Art. 26 Abs. 1 DSA sollen Nutzer bei jeder einzelnen Werbung erkennen können, dass es sich um eine solche handelt, wer die werbende Person ist, wer für die Werbung bezahlt und nach welchen Parametern die Werbeadressaten bestimmt werden. Weiterhin gilt gemäß Art. 27 Abs. 1 DSA eine Transparenzpflicht für Empfehlungssysteme, anhand derer Informationen für Nutzer dargestellt werden.
d) Sorgfaltspflichten für sehr große Online-Plattformen und -Suchmaschinen
Für sehr große Online-Plattformen und -Suchmaschinen bestimmt der DSA erweiterte Pflichten. Beispielsweise müssen sie jährlich eine Risikoanalyse im Hinblick auf die Nutzung ihrer Dienste durchführen (Art. 34 Abs. 1 DSA) und Maßnahmen zur Risikominimierung ergreifen (Art. 35 Abs. 1 DSA), wie etwa durch Anpassung der Funktionsweise ihrer Dienste oder ihrer Prüfverfahren von Inhalten.
Weiterhin unterliegen Anbieter sehr großer Online-Plattformen und -Suchmaschinen einer unabhängigen jährlichen Prüfung, bei der die Einhaltung ihrer Pflichten bewertet wird (Art. 37 Abs. 1 DSA). Die prüfenden Stellen fertigen diesbezüglich einen Bericht an, der an die EU-Kommission übersendet wird (Art. 42 Abs. 4 lit. c DSA).
III. Bestimmung der Nutzerzahlen
Um feststellen zu können, in welche Kategorie eine Online-Plattform oder -Suchmaschine fällt, ist die Bestimmung der Nutzerzahlen von elementarer Bedeutung. Die entsprechenden Regelungen im DSA bilden insoweit ein Kernstück des Regelwerks, was unter anderem auch daran ersichtlich wird, dass diese Vorschriften bereits mit dem Inkrafttreten des DSA am 16. November 2022 gelten und insofern bereits jetzt umgesetzt werden müssen. Das betrifft insbesondere die in Art. 24 Abs. 2 DSA genannte Pflicht zur Veröffentlichung von Informationen über die durchschnittliche monatliche Zahl ihrer aktiven Nutzer in der EU, die unabhängig von der Größe jeden Diensteanbieter trifft.
Diese Anzahl der monatlich aktiven Nutzer ist nach dem DSA maßgeblich für die Bestimmung der Plattformgröße und damit auch zur Bestimmung der Anbieterkategorie.
Gemäß Art. 3 lit. b DSA ist der Nutzer jede natürliche oder juristische Person, die einen Vermittlungsdienst in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Aktiv sind solche Nutzer, die mit einer Online-Plattform in Kontakt getreten sind, indem sie entweder die Plattform um die Bereitstellung von Informationen gebeten haben oder mit Informationen konfrontiert wurden, die von der Online-Plattform bereitgestellt und über ihre Online-Schnittstelle verbreitet worden sind.
Die durchschnittliche Anzahl von Nutzern wird anhand einer Zeitspanne von sechs Monaten berechnet. Zur Präzisierung dieser weit gefassten Definition finden sich in ErwG 77 DSA einige Anhaltspunkte, wonach die Nutzung einer Online-Plattform die Interaktion mit Informationen durch Anklicken, Kommentieren, Verlinken, Teilen, Kaufen oder Durchführen von Transaktionen auf der Plattform umfasst, jedoch nicht darauf beschränkt ist.
Zusammengefasst bedeutet dies, dass jeder Nutzer, der mit einer Plattform interagiert, unter den Begriff des aktiven Nutzers fällt. Hingegen fallen solche Nutzer nicht unter den Begriff, die zum Beispiel nur zufällig auf den Link zu einer Plattform klicken. Zudem ließe sich auch argumentieren, dass Nutzer, die keine Inhalte Dritter aufrufen oder ansehen, ebenfalls nicht in den Anwendungsbereich des DSA fallen. Denn Zweck der Verordnung ist die Bekämpfung der Verbreitung illegaler Inhalte und Desinformation (vgl. ErwG 9 DSA). Bei einem fehlenden Aufruf des Inhalts kann jedoch keine Verbreitung stattfinden, sodass insoweit der Schutzzweck der Verordnung nicht tangiert wäre.
Unklarheit besteht bisweilen allerdings noch hinsichtlich der konkreten Berechnung der monatlich aktiven Nutzer. Gemäß Art. 33 Abs. 3 DSA kann die Europäische Kommission delegierte Rechtsakte zur Festlegung einer Berechnungsmethode erlassen. Allerdings fehlt es bislang an solchen Vorgaben. Gleichwohl sind die entsprechenden Diensteanbieter bereits nach Art. 24 Abs. 2 DSA dazu verpflichtet, genaue Angaben zu der durchschnittlichen monatlichen Anzahl ihrer aktiven Nutzer bereitzustellen, sodass derzeit noch Rechtsunsicherheit besteht, welche Diensteanbieter nun tatsächlich als sehr große Online-Plattformen oder -Suchmaschinen gelten.
Hinzu kommt, dass der DSA keine zusätzliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten enthält und Diensteanbieter auch nicht zur Durchführung eines Online-Trackings verpflichtet, was zudem mit datenschutzrechtlichen Regelungen nur schwer vereinbar sein dürfte.
In der Praxis führt dies zu einigen Problemen. So wird beispielsweise ein Nutzer bei der Verwendung von mehreren Geräten von einem Vermittlungsdienst auch mehrmals gezählt, solange keine Software zur Besucherverfolgung eingesetzt wird. Die gleiche Problematik besteht für den Fall, dass mehrere Nutzer über dasselbe Gerät auf den Vermittlungsdienst zugreifen. Online-Plattformen, die EU-weit verfügbar sind und denselben Dienst über unterschiedliche Domains anbieten, werden vermutlich ebenfalls Probleme haben, die genaue Anzahl ihrer Nutzer zu identifizieren. Unklar ist auch, inwiefern Nutzer bei der Zählung zu berücksichtigen sind, die ihren Zugriffsstandort über ein VPN verschleiern.
Nicht weniger komplex wird die Berechnung durch den Umstand, dass der DSA zwischen Kern- und Zusatzdiensten unterscheidet (vgl. ErwG 13 DSA). Beispielsweise wird ein Kommentarbereich in bestimmten Fallkonstellationen nur als Zusatz zum Hauptdienst gesehen. Die verschiedenen Teile eines Dienstes mit ihren oft unterschiedlichen Schnittstellen und Werkzeugen laufen jedoch meist über ein gemeinsames Nutzerkonto. Fraglich ist auch, ob eingebettete Plattform-Inhalte auf Drittseiten bereits zu einer Interaktion zwischen Online-Plattform und Nutzer führen, wenn letzterer den eingebetteten Inhalt ausschließlich auf der Drittseite betrachtet. Insofern bleibt unklar, wie diese Problematiken im Rahmen der Berechnung aufzulösen sind.
Lediglich eine Berechnungsmethode, die eine Analyse auf Grundlage einer Kombination aus mehreren Identifier- und Tracking-Tools umfasst, ermöglicht genaue Ergebnisse, würde allerdings mit Sicherheit zusätzliche Datenverarbeitungen erfordern, was wiederum in Konflikt mit den geltenden datenschutzrechtlichen Bestimmungen treten könnte. Folglich scheint es zum jetzigen Zeitpunkt kaum möglich, dass die Plattformen akkurate Zahlen bereitstellen. Bis zur Vorgabe einer genauen Berechnungsmethode durch die EU-Kommission haben Diensteanbieter daher keine andere Wahl, als sich auf die herkömmlichen Methoden zur Bestimmung der Nutzerzahl zu verlassen und damit zu versuchen, möglichst genaue Zahlen zu veröffentlichen.
IV. Sanktionen und Inkrafttreten
Die Vorgaben des DSA setzen die Koordinatoren für digitale Dienste um, worunter autonome Behörden der Mitgliedstaaten fallen, die mit entsprechenden Ermittlungs- und Durchsetzungsbefugnissen ausgestattet werden.
Weiterhin wird ein Europäisches Gremium für digitale Dienste eingerichtet, das die Kommission und die Mitgliedstaaten bei der Umsetzung des DSA, insbesondere im Hinblick auf die Harmonisierung unterstützt. Die Kommission kann in Bezug auf sehr große Online-Plattformen und -Suchmaschinen Untersuchungen durchführen und Bußgelder verhängen. Letztere können sich gemäß Art. 74 Abs. 1 DSA u.a. bei einem Pflichtverstoß bis zu einem Höchstbetrag von 6 % des im Vorjahr erzielten weltweiten Gesamtjahresumsatzes belaufen. Unter anderem bei der Bereitstellung von unrichtigen, unvollständigen oder irreführenden Informationen, bei der Versäumnis einer Antwort oder der Nichtduldung einer Nachprüfung sollen Geldbußen von bis zu 1 % des weltweit erzielten Vorjahresumsatzes verhängt werden. Gemäß Art. 52 Abs. 3 DSA können Mitgliedstaaten diese Bußgelder auch gegenüber allen sonstigen von der Verordnung genannten Diensteanbietern verhängen. Darüber hinaus können Nutzer Schadensersatz geltend machen, wenn der Diensteanbieter eine nutzerbezogene Pflicht verletzt (Art. 54 DSA). Hierbei sind allerdings die europarechtlichen und nationalen Rechtsvorgaben in Bezug auf Schadensersatzansprüche zu beachten.
V. Handlungsempfehlungen
Unternehmen und Anbieter, die in den Anwendungsbereich des DSA fallen, sollten bereits jetzt die Vorgaben aus den bereits geltenden Normen des DSA umsetzen. Dies umfasst vor allem die Benennung der durchschnittlichen monatlichen Zahl der aktiven Nutzer in der EU durch Online-Plattformen.
Weiterhin sollte mit einer schrittweisen Umsetzung der restlichen Anforderungen des DSA begonnen werden. Auch wenn die Verordnung insoweit erst ab dem 17. Februar 2024 gilt, kommt auf die Anbieter von Vermittlungsdiensten ein erheblicher Verwaltungsaufwand zu, dem so zeitnah wie möglich begegnet werden sollte.
Update: Am 1. Februar 2023 hat die EU-Kommission Leitlinien zur Identifizierung und Zählung der aktiven Nutzer herausgegeben.
News
Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer
Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.
Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 03/2023) wurde der Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.
Wichtige Entscheidung der Vergabekammer des Bundeskartellamtes - Neue Argumente für den zulässigen Einsatz von EU-Tochtergesellschaften US-amerikanischer Unternehmen
Im letzten Jahr hatte die Entscheidung der Vergabekammer Baden-Württemberg zur Gleichsetzung einer theoretischen Zugriffsmöglichkeit bzw. des Zugriffsrisikos aus einem Drittland (z.B. den USA) mit einer Datenübermittlung im Sinne der DSGVO für Diskussionen gesorgt.
Dr. Carlo Piltz erneut als einer der führenden Namen in der aktuellen Ausgabe des Legal 500 Deutschland erwähnt
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland erneut unter den führenden Namen im Bereich Datenschutz vertreten ist.
Was müssen europäische Unternehmen bei Beschluss des Trans-Atlantic-Data- Privacy-Framework beachten?
Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission).
Hinweisgeberschutz und das Recht auf Auskunft auf Kollisionskurs – Herausforderungen bei der parallelen Anwendung von Hinweisgeberschutz und Art. 15 DSGVO
Der Erlass und die Anwendbarkeit des deutschen Umsetzungsgesetzes zur Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist endlich absehbar. Das bedeutet auch, dass die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für sehr viele deutsche Unternehmen (alle mit in der Regel mindestens 250 Beschäftigten) immer näher rückt.