News
Der kommende EU Digital Services Act – Pflicht zu Melde- und Abhilfeverfahren für Hosting-Dienste
Der vollständige Geltungsbeginn des Digital Services Act (DSA) am 17. Februar 2024 rückt stetig näher. Und mit ihm auch die Verpflichtung zahlreicher Unternehmen. Wichtig: der DSA gilt, anders als oft öffentlich wahrgenommen, nicht nur für die „Großen“. Nachfolgend wird deshalb die Pflicht von Hostingdiensteanbietern vorgestellt, die ein Melde- und Abhilfeverfahren nach dem DSA implementieren müssen.
Wer ist wann erfasst?
Grundsätzlich richtet sich der DSA an sog. „Vermittlungsdienste“, die unter den Begriff „Dienst der Informationsgesellschaft“ fallen (Art. 1 Abs. 1 lit. b) RL (EU) 2015/1535). Die Anforderungen an einen Dienst der Informationsgesellschaft müssen also stets erfüllt sein. Unter den Begriff des Vermittlungsdienstes in diesem Sinn fallen nach Art. 3 lit. g) DSA folgende Dienste:
- „reine Durchleitungsdienstleister“ (z. B. Internet-Austauschknoten, drahtlose Zugangspunkte, virtuelle private Netze, DNS-Dienste und DNS-Resolver, Dienste von Namenregistern der Domäne oberster Stufe, Registrierungsstellen, Zertifizierungsstellen, die digitale Zertifikate ausstellen, Internet-Sprachtelefonie (VoIP) und andere interpersonelle Kommunikationsdienste, ErwG 29 DSA)
- „Caching“-Dienstleister (z. B. alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten, ErwG 29 DSA); und
- „Hosting“-Dienstleister (z. B. Cloud- und Webhosting-Dienste, ErwG 13 DSA; entgeltliche Referenzierungsdienste oder Dienste, die den Online-Austausch von Informationen und Inhalten ermöglichen – darunter die Speicherung und der Austausch von Dateien, ErwG 29 DSA; oder Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen).
Ob es sich bei einem Vermittlungsdienst um eine „reine Durchleitung“, eine „Caching“-Leistung oder einen „Hosting“-Dienst handelt, hängt ausschließlich von seinen technischen Funktionen ab, die sich möglicherweise im Laufe der Zeit ändern, was von Fall zu Fall geprüft werden muss. Wichtig ist außerdem, dass es sich bei der Vermittlungsleistung um eine Haupt- und nicht eine Nebenfunktion der Plattform / des Dienstes handelt.
Zur Gruppe der Hosting-Dienstleister gehören gemäß Art. 3 lit. i) DSA schließlich auch „Online-Plattformen“. Zu dieser Gruppe sollen z. B. soziale Netzwerke oder Plattformen gehören, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglichen (ErwG 13 DSA).
Hervorzuheben ist außerdem, dass der DSA immer dann für Vermittlungsdienste gilt, wenn diese „für Nutzer mit Niederlassungsort oder Sitz in der Union angeboten werden, ungeachtet des Niederlassungsortes des Anbieters dieser Vermittlungsdienste“ (Art. 2 Abs. 1 DSA). Es kommt – anders als z. B. im Fall der DSGVO – nicht mehr darauf an, wo der Vermittlungsdienst seinen Sitz hat, sondern ausschließlich darauf, ob sich die Angebote (etwa einer Webseite oder App) an Nutzer in der EU richten.
Was sind die Anforderungen an einen „Hosting“-Dienstleister?
Da die Gruppe der „Hosting“-Dienstleister voraussichtlich die zahlenmäßig größte Gruppe stellt, für die der DSA gelten wird, wird kurz darauf eingegangen, wann dessen Voraussetzungen vorliegen.
Gemäß Art. 3 lit. g) iii) DSA liegt ein „Hosting“-Dienstleister dann vor, wenn dieser von einem Nutzer bereitgestellte Informationen im Auftrag des Nutzers speichert. Die Anforderungen an das Vorliegen eines „Hosting“-Dienstleisters sind also äußerst niedrigschwellig. Anders als im Fall einer Online-Plattform (Art. 3 lit. i) DSA) ist es bei „Hosting“-Dienstleistern etwa gerade nicht erforderlich, dass über die Plattform Verträge mit Dritten abgeschlossen oder vermittelt werden.
In die Gruppe der „Hosting“-Dienstleister können also vor allem Betreiber von Apps und Websites fallen, sowohl im B2B- als auch B2C-Bereich, die ihren Kunden die Möglichkeit eröffnen, Daten zu speichern. Man denke an Plattformen mit Kundenkonten, bei denen die Kunden Bilder, Videos oder andere Daten hochladen und abspeichern können.
Zudem gilt für die gesetzlichen (Grund)Pflichten der Art. 11 - 18 DSA nicht die zum Teil vorgesehene Ausnahmeregelung für Kleinst- und Kleinunternehmen.
Pflicht des „Hosting“-Dienstleisters zur Einrichtung eines Melde- und Abhilfeverfahrens
Der „Hosting“-Dienstleister ist gemäß Art. 16 Abs. 1 S. 1 DSA verpflichtet, ein Verfahren einzurichten, nach dem Personen oder Einrichtungen dem „Hosting“-Dienstleister das Vorhandensein von Einzelinformationen in dessen Diensten melden können, die die betreffende Person oder Einrichtung als rechtswidrige Inhalte ansieht. Hiermit wird also ein Verfahren kodifiziert, wann Diensteanbieter auf potentiell rechtswidrige Inhalte aufmerksam gemacht werden und wie sie reagieren sollen.
Das Verfahren wird im restlichen Art. 16 DSA näher erläutert. Hervorgehoben werden kann z. B. Art. 16 Abs. 6 S. 1 DSA, wonach der „Hosting“-Dienstleister alle Meldungen bearbeitet, die er im Rahmen des in Art. 16 Abs. 1 DSA genannten Verfahrens erhält, und entscheidet zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen. Ebenso muss das Verfahren nach Art. 16 Abs. 1 S. 2 DSA leicht zugänglich und benutzerfreundlich sein und eine Übermittlung von Meldungen ausschließlich auf elektronischem Weg ermöglichen.
Die Vorgaben zu dem Verfahren enthalten also eine Menge unbestimmter Rechtsbegriffe, die „Hosting“-Dienstleister bei der Ausgestaltung ihres Melde- und Abhilfeverfahrens einhalten müssen. Da das Verfahren leicht zugänglich und benutzerfreundlich ausgestaltet sein soll, deutet dies darauf hin, dass die Website, auf der das Verfahren durchgeführt werden soll, ähnlich leicht zu erreichen sein muss, wie z. B. die Impressumswebsite. Oder aber es dürfte durch den „Hosting“-Dienstleister zumindest spezifisch festzulegen sein, unter welcher URL ein Meldeverfahren durch den Nutzer durchgeführt werden kann.
Laut ErwG 50 DSA soll es „möglich, aber nicht zwingend erforderlich sein, die meldende Person oder Einrichtung zu identifizieren“. Das heißt, das Meldeverfahren kann grundsätzlich auch eine Nutzer-Identifizierung vorsehen. Je nach Art der Information kann es für die Prüfung erforderlich sein, dass der Nutzer identifiziert wird. Interessanterweise heißt es dort auch ganz konkret, dass die Verpflichtung zur Schaffung eines Melde- und Abhilfeverfahrens etwa für Datenspeicher- und Weitergabedienste, Web-Hostingdienste, Werbeserver und Pastebin-Dienste gelten soll, sofern diese im konkreten Fall als Hostingdienste einzustufen sind.
Bußgelder und zuständige Behörde
Der aktuellste Referentenentwurf des Bundesverkehrsministeriums, mit dem ein DSA-Durchführungsgesetz in Deutschland geschaffen werden soll, sieht in Umsetzung der Vorgaben des DSA gemäß § 25 Abs. 4 Nr. 8 Digitale-Dienste-Gesetz (DDG) Geldbußen vor, wenn ein Meldeverfahren nach Art. 16 Abs. 1 DSA nicht, nicht richtig, nicht vollständig, nicht in der vorgeschriebenen Weise oder nicht spätestens mit Anbieten des „Hosting“-Dienstleister eingerichtet wurde.
Die Höhe dieser Geldbuße beläuft sich grundsätzlich nach § 25 Abs. 5 Nr. 1 lit. b) DDG auf bis zu 300.000 EUR. Im Fall einer juristischen Person oder Personenvereinigung mit einem Jahresumsatz von mehr als 5 Mio. EUR kann abweichend davon eine Geldbuße von bis zu 6 Prozent des Vorjahresumsatzes verhängt werden.
Für die Verhängung der Geldbußen soll nach § 25 Abs. 7 Nr. 1 DDG die Koordinierungsstelle für digitale Dienste zuständig sein, welche gemäß § 14 Abs. 1 DDG bei der Bundesnetzagentur angesiedelt sein soll.
Empfehlungen
Es sollte nicht unterschätzt werden, wie viele Unternehmen und Dienste durch den DSA adressiert werden. Daher lohnt sich in jedem Fall für Unternehmen im Onlineumfeld bereits jetzt zu prüfen, ob sie dem DSA unterliegen und wenn ja, in welcher Kategorie und mit welchen Pflichten.
News
Erneut Auszeichnung von der WirtschaftsWoche
Wir freuen uns, dass wir erneut durch die WirtschaftsWoche ausgezeichnet wurden.
Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte
Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.
Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff
Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.
Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.
Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten
Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.
Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet
Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.