News
Der kommende EU Digital Services Act – Pflicht zu Melde- und Abhilfeverfahren für Hosting-Dienste
Der vollständige Geltungsbeginn des Digital Services Act (DSA) am 17. Februar 2024 rückt stetig näher. Und mit ihm auch die Verpflichtung zahlreicher Unternehmen. Wichtig: der DSA gilt, anders als oft öffentlich wahrgenommen, nicht nur für die „Großen“. Nachfolgend wird deshalb die Pflicht von Hostingdiensteanbietern vorgestellt, die ein Melde- und Abhilfeverfahren nach dem DSA implementieren müssen.
Wer ist wann erfasst?
Grundsätzlich richtet sich der DSA an sog. „Vermittlungsdienste“, die unter den Begriff „Dienst der Informationsgesellschaft“ fallen (Art. 1 Abs. 1 lit. b) RL (EU) 2015/1535). Die Anforderungen an einen Dienst der Informationsgesellschaft müssen also stets erfüllt sein. Unter den Begriff des Vermittlungsdienstes in diesem Sinn fallen nach Art. 3 lit. g) DSA folgende Dienste:
- „reine Durchleitungsdienstleister“ (z. B. Internet-Austauschknoten, drahtlose Zugangspunkte, virtuelle private Netze, DNS-Dienste und DNS-Resolver, Dienste von Namenregistern der Domäne oberster Stufe, Registrierungsstellen, Zertifizierungsstellen, die digitale Zertifikate ausstellen, Internet-Sprachtelefonie (VoIP) und andere interpersonelle Kommunikationsdienste, ErwG 29 DSA)
- „Caching“-Dienstleister (z. B. alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten, ErwG 29 DSA); und
- „Hosting“-Dienstleister (z. B. Cloud- und Webhosting-Dienste, ErwG 13 DSA; entgeltliche Referenzierungsdienste oder Dienste, die den Online-Austausch von Informationen und Inhalten ermöglichen – darunter die Speicherung und der Austausch von Dateien, ErwG 29 DSA; oder Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen).
Ob es sich bei einem Vermittlungsdienst um eine „reine Durchleitung“, eine „Caching“-Leistung oder einen „Hosting“-Dienst handelt, hängt ausschließlich von seinen technischen Funktionen ab, die sich möglicherweise im Laufe der Zeit ändern, was von Fall zu Fall geprüft werden muss. Wichtig ist außerdem, dass es sich bei der Vermittlungsleistung um eine Haupt- und nicht eine Nebenfunktion der Plattform / des Dienstes handelt.
Zur Gruppe der Hosting-Dienstleister gehören gemäß Art. 3 lit. i) DSA schließlich auch „Online-Plattformen“. Zu dieser Gruppe sollen z. B. soziale Netzwerke oder Plattformen gehören, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglichen (ErwG 13 DSA).
Hervorzuheben ist außerdem, dass der DSA immer dann für Vermittlungsdienste gilt, wenn diese „für Nutzer mit Niederlassungsort oder Sitz in der Union angeboten werden, ungeachtet des Niederlassungsortes des Anbieters dieser Vermittlungsdienste“ (Art. 2 Abs. 1 DSA). Es kommt – anders als z. B. im Fall der DSGVO – nicht mehr darauf an, wo der Vermittlungsdienst seinen Sitz hat, sondern ausschließlich darauf, ob sich die Angebote (etwa einer Webseite oder App) an Nutzer in der EU richten.
Was sind die Anforderungen an einen „Hosting“-Dienstleister?
Da die Gruppe der „Hosting“-Dienstleister voraussichtlich die zahlenmäßig größte Gruppe stellt, für die der DSA gelten wird, wird kurz darauf eingegangen, wann dessen Voraussetzungen vorliegen.
Gemäß Art. 3 lit. g) iii) DSA liegt ein „Hosting“-Dienstleister dann vor, wenn dieser von einem Nutzer bereitgestellte Informationen im Auftrag des Nutzers speichert. Die Anforderungen an das Vorliegen eines „Hosting“-Dienstleisters sind also äußerst niedrigschwellig. Anders als im Fall einer Online-Plattform (Art. 3 lit. i) DSA) ist es bei „Hosting“-Dienstleistern etwa gerade nicht erforderlich, dass über die Plattform Verträge mit Dritten abgeschlossen oder vermittelt werden.
In die Gruppe der „Hosting“-Dienstleister können also vor allem Betreiber von Apps und Websites fallen, sowohl im B2B- als auch B2C-Bereich, die ihren Kunden die Möglichkeit eröffnen, Daten zu speichern. Man denke an Plattformen mit Kundenkonten, bei denen die Kunden Bilder, Videos oder andere Daten hochladen und abspeichern können.
Zudem gilt für die gesetzlichen (Grund)Pflichten der Art. 11 - 18 DSA nicht die zum Teil vorgesehene Ausnahmeregelung für Kleinst- und Kleinunternehmen.
Pflicht des „Hosting“-Dienstleisters zur Einrichtung eines Melde- und Abhilfeverfahrens
Der „Hosting“-Dienstleister ist gemäß Art. 16 Abs. 1 S. 1 DSA verpflichtet, ein Verfahren einzurichten, nach dem Personen oder Einrichtungen dem „Hosting“-Dienstleister das Vorhandensein von Einzelinformationen in dessen Diensten melden können, die die betreffende Person oder Einrichtung als rechtswidrige Inhalte ansieht. Hiermit wird also ein Verfahren kodifiziert, wann Diensteanbieter auf potentiell rechtswidrige Inhalte aufmerksam gemacht werden und wie sie reagieren sollen.
Das Verfahren wird im restlichen Art. 16 DSA näher erläutert. Hervorgehoben werden kann z. B. Art. 16 Abs. 6 S. 1 DSA, wonach der „Hosting“-Dienstleister alle Meldungen bearbeitet, die er im Rahmen des in Art. 16 Abs. 1 DSA genannten Verfahrens erhält, und entscheidet zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen. Ebenso muss das Verfahren nach Art. 16 Abs. 1 S. 2 DSA leicht zugänglich und benutzerfreundlich sein und eine Übermittlung von Meldungen ausschließlich auf elektronischem Weg ermöglichen.
Die Vorgaben zu dem Verfahren enthalten also eine Menge unbestimmter Rechtsbegriffe, die „Hosting“-Dienstleister bei der Ausgestaltung ihres Melde- und Abhilfeverfahrens einhalten müssen. Da das Verfahren leicht zugänglich und benutzerfreundlich ausgestaltet sein soll, deutet dies darauf hin, dass die Website, auf der das Verfahren durchgeführt werden soll, ähnlich leicht zu erreichen sein muss, wie z. B. die Impressumswebsite. Oder aber es dürfte durch den „Hosting“-Dienstleister zumindest spezifisch festzulegen sein, unter welcher URL ein Meldeverfahren durch den Nutzer durchgeführt werden kann.
Laut ErwG 50 DSA soll es „möglich, aber nicht zwingend erforderlich sein, die meldende Person oder Einrichtung zu identifizieren“. Das heißt, das Meldeverfahren kann grundsätzlich auch eine Nutzer-Identifizierung vorsehen. Je nach Art der Information kann es für die Prüfung erforderlich sein, dass der Nutzer identifiziert wird. Interessanterweise heißt es dort auch ganz konkret, dass die Verpflichtung zur Schaffung eines Melde- und Abhilfeverfahrens etwa für Datenspeicher- und Weitergabedienste, Web-Hostingdienste, Werbeserver und Pastebin-Dienste gelten soll, sofern diese im konkreten Fall als Hostingdienste einzustufen sind.
Bußgelder und zuständige Behörde
Der aktuellste Referentenentwurf des Bundesverkehrsministeriums, mit dem ein DSA-Durchführungsgesetz in Deutschland geschaffen werden soll, sieht in Umsetzung der Vorgaben des DSA gemäß § 25 Abs. 4 Nr. 8 Digitale-Dienste-Gesetz (DDG) Geldbußen vor, wenn ein Meldeverfahren nach Art. 16 Abs. 1 DSA nicht, nicht richtig, nicht vollständig, nicht in der vorgeschriebenen Weise oder nicht spätestens mit Anbieten des „Hosting“-Dienstleister eingerichtet wurde.
Die Höhe dieser Geldbuße beläuft sich grundsätzlich nach § 25 Abs. 5 Nr. 1 lit. b) DDG auf bis zu 300.000 EUR. Im Fall einer juristischen Person oder Personenvereinigung mit einem Jahresumsatz von mehr als 5 Mio. EUR kann abweichend davon eine Geldbuße von bis zu 6 Prozent des Vorjahresumsatzes verhängt werden.
Für die Verhängung der Geldbußen soll nach § 25 Abs. 7 Nr. 1 DDG die Koordinierungsstelle für digitale Dienste zuständig sein, welche gemäß § 14 Abs. 1 DDG bei der Bundesnetzagentur angesiedelt sein soll.
Empfehlungen
Es sollte nicht unterschätzt werden, wie viele Unternehmen und Dienste durch den DSA adressiert werden. Daher lohnt sich in jedem Fall für Unternehmen im Onlineumfeld bereits jetzt zu prüfen, ob sie dem DSA unterliegen und wenn ja, in welcher Kategorie und mit welchen Pflichten.
News
Prof. Piltz im Interview mit ICC Germany zu den Incoterms® 2020
Incoterms® bieten einen global gültigen Standard für die Lieferbedingungen bei internationalen Geschäften. Seit nunmehr 5 Jahren greifen die Incoterms® 2020, Zeit um einen Rückblick auf die erste Halbzeit zu werfen.
Dr. David Saive und Prof. Burghard Piltz haben sich hierzu zu einem Interview der ICC Germany getroffen. Hören Sie doch gerne rein: Interview: Fünf Jahre Incoterms® 2020 mit Prof. Piltz.
Bundesverwaltungsgericht Österreich zum Cookie-Banner: Einfache Möglichkeit zum Ablehnen ist Pflicht
Das Österreichische Bundesverwaltungsgericht (BVwG) hat in einem Erkenntnis vom 31. Juli 2024 (Az. W108 2284491-1/15E) klargestellt, dass ein Cookie-Banner neben der Option Cookies und andere Technologien zu „akzeptieren“ auch eine optisch gleichwertige Option zum Ablehnen enthalten muss. Die Entscheidung ist aus mehreren Gründen bemerkenswert.
Neue Auszeichnungen für unsere Kanzlei!
Wir freuen uns sehr, dass Piltz Legal weitere Auszeichnungen u.a. im Bereich Datenschutzrecht erhalten hat.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
Meldepflichten nach dem geplanten BSIG (Umsetzung NIS-2)
Als Umsetzung des Art. 23 Abs. 4 S. 1 NIS-2-Richtlinie finden sich in § 32 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) Ausführungen zu Meldepflichten für besonders wichtige Einrichtungen sowie wichtige Einrichtungen. Das BSIG-E ist Teil des Entwurfs zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG
Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.