RI Wiki - Benutzerbeiträge [de]

Digital Services Act (DSA)

2026-04-30T14:29:12Z

Mirjam.tercero: /* Forschungsdatenzugang */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2065|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG|Kurztitel=Digital Services Act/Gesetz über digitale Dienste|Bezeichnung=DSA|Rechtsmaterie=Digitale Dienste|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/277, 1|Anzuwenden=17. Februar 2024 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
|Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
|Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
|Direkte Verknüpfung mit dem [[Digital Markets Act (DMA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
|-
|Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
|Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
|Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
|-
|Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
|Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
|Regelungen zu Governance, Aufsicht und Durchsetzung
|Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
|Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
|-
|Verwirklichung des Binnenmarktes
|Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
|Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
|Querbezüge zum [[Artificial Intelligence Act (AIA)]], sofern Vermittlungsdiensteanbieter auf KI-basierte Systeme zurückgreifen
|'''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes
|-
|Rechtssicherheit
|Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
|Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
|Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz etc.)
|'''Einstweilige Maßnahmen:''' In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
|}

== Einführung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.<ref name=":25">Vgl Art 1 Abs 1 DSA. </ref> Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.<ref name=":26">Vgl Art 1 Abs 1 iVm ErwGr 3 DSA. </ref> Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem [[Digital Markets Act (DMA)]] bildet er das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.<ref name=":0">''Kern,'' Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.</ref><ref>''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).</ref><ref>Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des [[Digital Markets Act (DMA)]]. </ref>

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert<ref>Siehe auch die Einteilung in Art 1 Abs 2 DSA. </ref>:

* Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
* In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
* In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt (sogenannte "Haftungsprivilegien").
* Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
* Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

== Anwendungsbereich ==

=== Räumlich ===
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.<ref name=":0" />

=== Sachlich ===

==== Vermittlungsdienst ====
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.<ref name=":1">Siehe ErwGr 29 DSA. </ref>
[[Datei:Vermittlungsdienste.png|mini|504x504px|Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

* Entweder erfolgt eine '''„reine Durchleitung“''', wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.<ref name=":1" /><ref name=":3" />
* Oder es wird eine '''„Caching“-Leistung''' erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.<ref name=":1" />
* Schließlich kann es sich auch um einen '''„Hosting"-Dienst''' handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.<ref name=":1" />

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie '''„Online-Plattformen“''' abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.<ref name=":2">Siehe ErwGr 13 DSA.</ref> Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet<ref>Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe ErwGr 14 DSA). </ref>, wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").<ref name=":2" />

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte '''„sehr große Online-Plattformen“''' (''Very Large Online Platforms – VLOPs)'' und '''„sehr große Online-Suchmaschinen“''' (''Very Large Search Engines – VLOSEs)'' mit '''erheblicher Reichweite''' ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.<ref>Siehe ErwGr 76 DSA.</ref>

* VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando<ref>Zalando hat die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat. Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu</ref> etc.<ref name=":10">Eine Liste der benannten VLOPs und VLOSEs findet sich auf folgender Seite der Europäischen Kommission: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.</ref>
* VLOSEs: Bing, Google Search etc.<ref name=":10" />
Da der DSA für VLOPs/VLOSEs strenge Sorgfaltspflichten vorsieht, haben bisher einige der designierten Anbieter versucht, diesen Einstufungsbeschluss der Kommission abzuwenden. Zalando hat bspw die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat.<ref>Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu.</ref> Die Klage von Amazon gegen den Kommissionsbeschluss, mit dem die Plattform Amazon Store als VLOP benannt wurde, wurde am 19. November 2025 vom EuGH (Rechtssache T-367/23) abgewiesen.<ref>Vgl https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-11/cp250144de.pdf. </ref> Geprüft wird aktuell, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Mio Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine einzustufen ist.<ref name=":21">Vgl Näheres unter: https://www.mlex.com/mlex/technology/articles/2402210/openai-inches-toward-seeing-chatgpt-regulated-under-eu-digital-rulebook und https://www.euractiv.com/news/commission-checking-if-chatgpt-falls-under-eu-online-governance-rules/.</ref>

==== Dienstleistung der Informationsgesellschaft ====
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine '''"Dienstleistung der Informationsgesellschaft"''' handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.<ref>Vgl Art 3 lit a DSA iVm Art 1 Abs 1 lit b RL (EU) 2015/1535 (Info-RL). </ref> Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.<ref>MwN ''Steinrötter/Schauer'' in ''Steinrötter'' (Hrsg)'','' Europäische Plattformregulierung – Rechtshandbuch (2023) § 2 Rz 7.</ref> Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.<ref>Vgl dazu das EuGH-Urteil 15.09.2016, C-484/14, ''McFadden/Sony Music'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.<ref name=":16">Vgl dazu das EuGH-Urteil 20.12.2017, C-434/15 ''Elite Taxi/Uber System Spain'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Die RL (EU) 2015/1535 (Info-RL), nach der sich die Einstufung als Dienstleistung der Informationsgesellschaft bemisst, enthält in Anhang I eine sogenannte "Negativliste" an Diensten, die jedenfalls nicht als Dienst der Informationsgesellschaft iSd Art 1 Abs 1 lit b Info-RL zu klassifizieren sind:

* Nicht "im Fernabsatz" erbrachte Dienste: Untersuchung oder Behandlung von Patienten in einer Arztpraxis mithilfe elektronischer Geräte, Buchung eines Flugtickets über ein Computernetz in einem Reisebüro in Anwesenheit des Kunden, Bereitstellung elektronischer Dienste in einer Spielehalle in Anwesenheit eines Nutzers. Die Diensteerbringung im Fernabsatz findet nämlich ohne zeitgleiche physische Anwesenheit der Vertragsparteien statt, was bei den genannten Beispielen jedoch nicht der Fall ist;
* Nicht "elektronisch" erbrachte Dienste bzw Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden: Geldausgabe- oder Fahrkartenautomaten, Offline-Dienste (Software, Disketten, CD-ROMSs), Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienste, Telefaxdienste, medizinische Beratung über Telefon, Direktmarketing per Telefon etc.);
* Nicht auf individuellen Abruf erbrachte Dienste, da sie im Wege einer gleichzeitigen Übertragung von Daten für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden: Fernsehdienste, Hörfunkdienste, Teletext (über Fernsehsignal).<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 3 ff. </ref>
Art 2 Abs 2 DSA schließt Dienstleistungen von der Anwendung des DSA aus, die keine Vermittlungsdienste sind, auch wenn sie durch die Nutzung eines Vermittlungsdienstes erbracht werden.<ref name=":20">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11.</ref> Kann ein Gesamtangebot getrennt werden (zB gemeinsame Angebote von Telefon, Internetzugang und TV - sogenanntes „Tripleplay“), ist jede Dienstleistung getrennt einer eigenen Qualifikation zu unterziehen.<ref name=":20" /> Können einzelne Dienste nicht abgegrenzt werden, kommt es auf den Schwerpunkt des Dienstes an, wobei es keine Vermutungsregel gibt, dass ein Dienst im Zweifel ein Dienst der Informationsgesellschaft ist.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11 f.</ref>Darüber hinaus gelten Dienste nicht als Vermittlungsdienste, wenn sie eigene Inhalte präsentieren, da eine Vermittlung stets die "Fremdheit" eines Inhalts voraussetzt.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 13.</ref>

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:
{| class="wikitable"
|+
! colspan="2" |Beispiele
|-
|'''Kostenfreier WLAN- Zugang'''
|WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich.<ref name=":19">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 4.</ref> So kann der WLAN-Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.<ref name=":3" /> <ref name=":19" />
|-
|'''Taxi App'''
|Im Falle einer Applikation (App), die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.<ref name=":16" /> Das entscheidende Kriterium ist hierbei laut EuGH, dass weder Fahrer noch die beförderte Person ohne die App ihre Leistungen anbieten bzw in Anspruch nehmen können. Außerdem würde das hinter der App stehende Unternehmen auf den Preis Einfluss nehmen und die Zahlungsabwicklung übernehmen, weshalb die Leistung hier über die reine Vermittlung von Dienstleistungen Dritter hinaus ginge und nicht mehr von einer rein passiven, technisch bedingten Vermittlungsleistung die Rede sein könne.<ref name=":18">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 58. </ref> Anders verhält es sich bei einer Vermittlungsplattform für Kurzzeitmieten, die Vermieter und Wohnungssuchende zusammenbringt.<ref>Vgl dazu EuGH 19.12.2019, C-390/18 ''(Airbnb Ireland).'' </ref> In diesem Fall befand der EuGH, dass die Plattform keinen wesentlichen Bestandteil des Angebots eines Vermieters gegenüber wohnungssuchenden Kurzzeitmietern darstelle, weil der Dienst nicht zwingend für das Entstehen entsprechender Angebote sei und keinen Einfluss auf die Vertragsgestaltung des Vermieters mit dem Mieter nehme.<ref name=":18" />
|-
|'''WLAN-Netz einer Universität'''
|Der Anwendungsfall eines WLAN-Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.

* Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN-Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN-Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
* Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN-Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.

Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
|-
|'''Blockchain'''
|Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.<ref name=":9" /> Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.<ref name=":9" /> Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).<ref name=":9" /> Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eines Vermittlungsdienstes darstellt.<ref name=":9" />
|-
|'''Gaming'''
|Um den Pflichten nach dem DSA zu unterliegen, muss es sich bei einem Online-Gaming-Anbieter um einen Vermittlungsdienst handeln. Dazu ist zum einen die Eigenschaft als "Dienst der Informationsgesellschaft" ausschlaggebend, welche bei (zumindest entgeltlichen) Online-Spielen in der Praxis wohl zu bejahen sein wird, da diese in der Regel im Fernabsatz auf individuellen Abruf des Empfängers erbracht werden.<ref name=":23">Vgl ''Lober/Trunk,'' Games im neuen Plattformrecht der EU, MMR 2025, 665.</ref> Weiters muss der Dienst eine Mittlerfunktion einnehmen, also von Dritten bereitgestellte Informationen übermitteln, ohne dabei selbst die Kontrolle über diese Informationen auszuüben. Für Online-Spiele bedeutet dies, dass Spiele, die den Nutzern die Möglichkeit zum Hochladen bzw zur Kreation von Inhalten sowie zur Interaktion bieten, potenziell als Vermittlungsdienste einzustufen sind.<ref name=":23" /> Je nachdem, wie diese Informationen ausgetauscht werden (als reine Durchleitung, durch Zwischenspeicherung oder gar durch öffentliche Verbreitung über eine Online-Plattform), treffen den Anbieter unterschiedliche Sorgfaltspflichten nach dem DSA. So kann es sich bspw bei einer integrierten Chatfunktion zum Spieleraustausch um einen Dienst der reinen Durchleitung handeln.<ref name=":23" /> Die Teilnahme an einem Online-Spiel ist zwar ebenfalls mit der Übermittlung von Informationen an Mit- bzw. Gegenspieler verbunden, allerdings wird es sich hierbei in der Regel nicht um Informationen handeln, auf dessen Regelung der DSA abzielt. Denn dieser möchte ein vertrauenswürdiges und (rechts-)sicheres Online-Umfeld schaffen, das von der einfachen Übermittlung von Spielzügen, Lebenspunkten, Aktionen etc. nicht bedroht erscheint und sich daher grundsätzlich nicht auf vorprogrammierte Spielerinterkationen übertragen lässt.<ref name=":23" /> Ist es jedoch möglich, in einem Spiel kreative Freiheiten auszuleben und Inhalte sowohl selbst zu generieren als auch zu verbreiten, könnte es zu einer Einstufung als Vermittlungsdienst iSd DSA kommen. Es wird daher stark auf die Art des Spiels sowie der Spielerinteraktion ankommen, ob ein Online-Gaming-Anbieter als Vermittlungsdienst einzustufen ist.<ref name=":23" /> Denn während in manchen Spielen die Teilnehmenden miteinander in den Wettkampf treten oder gemeinsam Aufgaben lösen, werden in anderen Spielen ganze Welten erschaffen und mit anderen Nutzern geteilt (zB Roblox oder Minecraft).<ref name=":23" />
|}

=== Ausnahmen ===
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro<ref name=":5" /> sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, den zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder den Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

=== Zeitlich ===
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.<ref>Vgl Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). </ref> Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem [[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|DSA-Begleitgesetz]] in nationales Recht gegossen.

== Zentrale Inhalte ==

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.<ref>''Decarolis/Li'', Regulating online search in the EU. From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).</ref> Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]] an Minderjährige oder die Verwendung von manipulativen Taktiken wie "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“) und bestimmte Verpflichtungen im Umgang mit [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]]. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.<ref name=":3">Vgl ''Hofmann/Raue'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).</ref>
=== Haftungsprivilegien ===
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.<ref>''Staudegger,'' Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.</ref> Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.<ref name=":3" />

* In den Art 4-6 findet sich eine '''bedingte Haftungsbefreiung für Vermittlungsdienste''', wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.<ref name=":6">''Handel,'' Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.</ref> Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus''.''<ref name=":6" /> Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "[[Digital Services Act (DSA)#Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)|Sorgfaltspflichten von Hostingdiensteanbietern]]"). In einem kürzlich ergangenen Beschluss des LG Berlin hat das Gericht das Erfordernis der "tatsächlichen Kenntnis" sehr eng ausgelegt und sieht diese nur als gegeben, wenn der Anbieter im Wege eines bestehenden Melde- und Abhilfeverfahrens gemäß Art 16 DSA über den illegalen Inhalt informiert wurde.<ref>[https://www-juris-de.uaccess.univie.ac.at/static/infodienst/autoren/D_NJRE001616389.htm LG Berlin, Beschluss vom 07.08.2025, Az. 27 O 262/25 eV.] </ref> Hingegen soll die Kenntnisnahme eines Verstoßes über formlose Mitteilungen via E-mail oder Kontaktformular keinerlei Prüf- oder Handlungspflichten seitens des Anbieters auslösen, soweit dieser ein Melde- und Abhilfeverfahren gemäß Art 16 DSA eingerichtet hat. Inwieweit andere Gerichte dieser Rsp folgen werden, bleibt abzuwarten.
* Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer '''„Gute-Samariter-Regelung“''', laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.<ref name=":3" /> Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
* Die Artikel 8-9 enthalten '''verfahrensrechtliche Vorgaben'''.<ref name=":3" /> In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
=== Abgestufter Pflichtenkatalog ===
Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
[[Datei:DSA Infographik Sorgfaltspflichten.png|mini|750x750px|Der abgestufte Pflichtenkatalog nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

==== Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15) ====
Die '''allgemeinen Verpflichtungen''' in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

* Diese beinhalten einerseits eine Harmonisierung der '''Kommunikationsmöglichkeiten''' von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)<ref name=":3" /> sowie eines '''gesetzlichen Vertreters''', sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.<ref name=":4">Vgl ''Schonhofen,'' Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.</ref>
* In Art 14 normiert der DSA, dass in den '''Allgemeinen Geschäftsbedingungen''' der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
* Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen '''Transparenzbericht''' zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-harmonises-transparency-reporting-rules-under-digital-services-act mit Links zu der Durchführungsverordnung, dem Muster und der Ausfüllhilfe. </ref> Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

==== Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18) ====
Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

* Zunächst haben sämtliche Hostingdiensteanbieter ein '''Melde- und Abhilfeverfahren''' einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.<ref name=":4" /> Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
* Sofern ein Hostingdiensteanbieter '''Maßnahmen''' nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu '''begründen''' (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).<ref>Hier können die veröffentlichten Erklärungen eingesehen werden: https://transparency.dsa.ec.europa.eu/statement

Über folgende API können die Erklärungen an die Kommission übermittelt werden: https://transparency.dsa.ec.europa.eu/page/api-documentation</ref>
* Der Hostingdiensteanbieter ist verpflichtet, bei '''Verdacht, dass eine Straftat vorliegt,''' die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der [https://eur-lex.europa.eu/eli/dir/2011/36/oj Menschenhandel-RL], [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32011L0093 Kinderpornografie-RL] und der [https://eur-lex.europa.eu/eli/dir/2017/541/oj Terrorismusbekämpfungs-RL] fallen.<ref>Siehe ErwGr 56 DSA.</ref> Im November 2025 hat die Kommission einen Konsultationsprozess gestartet, um Input von relevanten Stakeholdern zu ihren Erfahrungen in Bezug auf diesen Meldeprozess einzuholen.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/commission-launches-targeted-consultation-notification-suspicions-criminal-offences-under-digital. </ref>
==== Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32) ====
Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für '''Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen''' ermöglicht wird. Explizit '''ausgenommen sind Kleinst- und Kleinunternehmen''' (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.<ref name=":5">Siehe Art 2 Anhang zur [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361 Empfehlung 2003/361/EG]</ref>

* Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit '''Meldungen und Beschwerden von Nutzern'''. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).<ref name=":3" /> Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
* Art 23 DSA enthält verpflichtende Mindestvorgaben zur '''Eindämmung von Missbrauch''', wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
* Die Anbieter von Online-Plattformen treffen erweiterte '''Transparenzberichtspflichten''' (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.<ref name=":4" /> Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
* Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter '''„[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“''' (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).<ref name=":4" />
* Darüber hinaus normiert der DSA erweiterte '''Vorgaben zur Gestaltung der betroffenen Dienste'''<ref name=":4" />, wie etwa '''Transparenzvorgaben für [[Digital Services Act (DSA)#Werbeschaltungen|Werbung]]''' (Art 26 DSA) und '''Empfehlungssysteme''' (Art 27 DSA) sowie einen weitreichenden '''Online-Schutz Minderjähriger''' (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]], die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
* Abschnitt 4 (Art 29-32 DSA) enthält '''ergänzende Bestimmungen für Transaktionsplattformen'''<ref name=":3" />, worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.<ref name=":4" /> Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
[[Datei:Sorgfaltspflichten Checkliste.png|mini|887x887px|Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter © Research Institute in Ergänzung der Abbildung von Noerr<ref>https://www.noerr.com/de/insights/der-digital-services-act-tritt-in-kraft-neue-pflichten-fur-digitale-vermittlungsdienste.</ref>]]
==== Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43) ====
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

* Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur '''Bewertung und Minderung der von ihren Diensten ausgehenden Risiken,''' worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen''.''<ref name=":4" /> Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014</ref> Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer '''unabhängigen Prüfung''' unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.<ref name=":4" />
* Der in Art 36 DSA vorgesehene '''Krisenreaktionsmechanismus''' erlaubt es der EU-Kommission auf Empfehlung des [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremiums]]<ref>Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board.</ref> im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.<ref>Vgl Art 36 Abs 2 iVm ErwGr 91 DSA.</ref>
* Die für Online-Plattformen geltenden '''Transparenzpflichten''' für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).<ref name=":3" />
* Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste '''Zugang zu Daten''' zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine '''Compliance-Abteilung''' einzurichten (Art 41 DSA) und eine jährliche '''Aufsichtsgebühr''' an die EU-Kommission zu entrichten (Art 43 DSA).

==== Maßnahmen zur Selbstregulierung ====
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.<ref name=":3" /> Dazu zählt etwa die Förderung der Ausarbeitung '''freiwilliger Verhaltenskodizes''' in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrige Inhalte]], den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.<ref>Ein Verhaltenskodex zur Bekämpfung illegaler Hetze im Netz wurde am 20. Jänner 2025 angenommen und von Anbietern wie Facebook, Instagram, LinkedIn, Snapchat, TikTok, X, YouTube, etc. unterzeichnet. Mehr Informationen finden sich auf der Webseite der Europäischen Kommission unter folgendem Link: https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.

Ein weiterer Verhaltenskodex zur Bekämpfung von Desinformation wurde im Februar 2025 angenommen. Mehr Informationen finden sich hier: https://merlin.obs.coe.int/article/10251.</ref> Zusätzlich wird die Ausarbeitung '''freiwilliger Krisenprotokolle''' empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um '''„soft law“''' – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.<ref name=":3" />

=== Governance, Aufsicht und Durchsetzung ===
[[Datei:Governance Struktur.png|mini|502x502px|Die Governance-Struktur und Organe nach dem Digital Services Act © Research Institute in Ergänzung der Abbildung von BVDW<ref>https://eclear.com/de/artikel/digital-services-act-schutz-und-verantwortung-in-der-digitalen-welt/.</ref>]]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und [[Digital Services Act (DSA)#Sanktionen|Sanktionierung]] zuständig sind.

==== Koordinator für Digitale Dienste ====
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.<ref>Für mehr Informationen zur KommAustria, siehe: https://www.rtr.at/medien/wer_wir_sind/KommAustria/KommAustria.de.html und https://www.bundeskanzleramt.gv.at/agenda/medienrecht/kommunikationsbehorde-austria.html.</ref> Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G)], welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende '''Befugnisse''' kommen der KommAustria als KDD gemäß Art 51 DSA zu:

# Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
#* Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
#* Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
#* Aufforderung an Mitarbeiter, Erklärungen abzugeben
# Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
#* Verpflichtungszusagen von Anbietern als bindend zu erklären
#* Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
#* Verhängung von Geldbußen und Zwangsgeld
#* Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
# Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
#* Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
#* Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende '''Aufgaben''':

# Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA). Den ersten [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf Jahresbericht für das Jahr 2024] hat die KommAustria bereits veröffentlicht.<ref>Nähere Informationen auf der [https://www.rtr.at/KDD_Jahresbericht_2024 Seite der RTR] sowie in der [https://www.ots.at/presseaussendung/OTS_20250818_OTS0034/erster-dsa-jahresbericht-der-kommaustria-zeigt-fortschritte-beim-schutz-der-nutzerrechte-durch-den-digital-services-act OTS-Presseaussendung]. </ref> Der Jahresbericht hat überdies folgende Informationen zu enthalten:
#* Die Zahl der eingegangenen Beschwerden nach Art 53 DSA und eine Übersicht über entsprechende Folgemaßnahmen
#* Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
#* Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen.
# Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
# Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
# Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

==== Europäisches Gremium für digitale Dienste ====
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende '''Aufgaben''' kommen dem Gremium gemäß Art 63 DSA zu:

* Unterstützung der Koordinierung gemeinsamer Untersuchungen
* Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
* Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
* Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
* Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Darüber hinaus hat das Gremium gemäß Art 35 Abs 2 DSA einmal jährlich einen umfassenden Bericht über systemische Risiken in Zusammenhang mit den Anbietern von VLOPs und VLOSEs zu veröffentlichen. Dieser beinhaltet die Ermittlung und Bewertung auffälliger wiederkehrender systemischer Risiken, die von Anbietern von VLOPs und VLOSEs gemeldet werden, sowie deren Minderung durch die genannten Anbieter. Im November 2025 hat das Gremium seinen ersten derartigen [https://ec.europa.eu/newsroom/dae/redirection/document/121707 Bericht] veröffentlicht.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/press-statement-european-board-digital-services-following-its-16th-meeting-0.</ref>

==== Europäische Kommission ====

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

* So ist die Kommission im Sinne des zweigeteilten [[Digital Services Act (DSA)#Sanktionen|Sanktionssystems]] des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
* Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
* Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
* Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
* Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremium]] die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
* Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
* Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
* Gemäß Art 43 DSA ist die Kommission dazu berechtigt, von den Anbietern sehr großer Online-Plattformen und -Suchmaschinen eine jährliche Aufsichtsgebühr zu verlangen. Dazu hat die Kommission delegierte Rechtsakte zu erlassen, worin die detaillierte Methodik und das entsprechende Verfahren der Berechnung und Erhebung dieser Gebühr festgelegt sind. In einem EuGH-Urteil von September 2025 in den verbundenen Rechtssachen Meta Platforms Ireland und TikTok Technology hat der EuGH jedoch die dazu von der Kommission erlassene Implementierungsentscheidung aufgrund methodischer Mängel annulliert. Es obliegt nun der Kommission, diese Mängel zu beheben und die Berechnungsmethode in Entsprechung der relevanten Bestimmungen des DSA durch delegierte Rechtsakte festzulegen. Praktisch dürfte dies jedoch nichts ändern, da die grundsätzliche Verpflichtung zur Zahlung von Aufsichtsgebühren nicht gegen den DSA verstößt und verpflichtende Zahlungen weiterhin für eine Übergangsperiode von höchstens 12 Monaten zu entrichten sind.<ref>Vgl die Pressemitteilung des EuGH vom 10. September 2025 für nähere Informationen: https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250114en.pdf. </ref> 
== Ausgewählte Themen im Fokus ==
=== Dark patterns ===
[[Datei:Dark patterns .png|mini|550x550px|Dimensionen von Dark patterns nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".<ref>Vgl Art 25 DSA.</ref><ref>ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind '''Praktiken''', mit der darauf abgezielt oder tatsächlich erreicht wird, dass die '''Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird'''. Solche Praktiken können eingesetzt werden, um die Nutzer zu '''unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen''', die '''negative Folgen''' für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.</ref> Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer '''getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden'''. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

'''ErwGr 67 DSA''' nennt weitere Beispiele:

* Einerseits '''ausbeuterische Gestaltungsmuster''', mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
* Weiters Praktiken, die darin bestehen, einen Nutzer '''wiederholt aufzufordern''', eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde ''(Nagging, Confirm Shaming).''
* Die Gestaltung eines '''Verfahrens zur Stornierung eines Dienstes''' als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
* Dazu zählt, es unverhältnismäßig schwierig zu machen, '''Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden,''' die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
* Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden. Ebenso abzugrenzen sind "dark patterns" vom eher positiv konnotierten "Nudging", das zwar ebenfalls auf die Verhaltenssteuerung der Nutzer abzielt, allerdings eher positive Resultate beweckt - sei es gesamtgesellschaftlich oder für den Nutzer selbst.<ref name=":24">Vgl ''Barudi'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024), Art. 25 Gestaltung und Organisation der Online-Schnittstelle Rz 10. </ref> Die Grenze ist allerdings fließend und mitunter wird auch das "Nudging" als unzulässige Verhaltensweise gesehen.<ref name=":24" />

Die '''Kommission kann Leitlinien''' für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

'''Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):'''

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung (DSGVO)] oder der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie für unlautere Geschäftspraktiken (UGP-RL)] fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.<ref>Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."</ref>

'''Querverbindungen zum [[Digital Markets Act (DMA)]]:'''

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.<ref name=":8">Vgl ''Martini/Kramme/Kamke,'' KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.</ref> Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).<ref name=":8" /> Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".<ref name=":8" />

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).<ref name=":8" /> Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.<ref name=":8" />

'''Querverbindungen zum [[Artificial Intelligence Act (AIA)]]:'''

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA). [[Datei:Entscheidungsbaum rechtswidrige Inhalte EU DSA Prüfschritte.png|mini|704x704px|Prüfschritte bei rechtswidrigen Inhalten - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Rechtswidrige Inhalte ===
Ein Hauptzweck des DSA ist die '''Regulierung rechtswidriger Online-Inhalte''' durch die '''Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter''', womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen ''Hate Speech'' soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

* Datenschutzverletzungen (DSGVO, DSG)
* "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
* "Cyber Mobbing" (§107c StGB)
* Kreditschädigung (§152 StGB)
* Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
* Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
* Verhetzung (§283 StGB)
* Straftatbestände des Verbotsgesetzes 1947
* Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten '''[[Digital Services Act (DSA)#Haftungsprivilegien|Haftungsprivilegien]]'''. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden '''Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt''' gegen den Vermittlungsdienstanbieter erlassen können.<ref>Im Zusammenhang mit der Verbreitung terroristischer Inhalte können Behörden zudem Entfernungsanordnungen nach der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte (TI-VO) bzw dem Terrorinhalte-Bekämpfungs-Gesetz (TIB-G) erlassen. Einer derartigen Anordnung hat der Online-Diensteanbieter grundsätzlich innerhalb einer Stunde zu entsprechen und den Inhalt zu entfernen oder den Zugang zu terroristischen Inhalten in der gesamten Union zu sperren. Mehr Informationen sind unter folgendem Link abrufbar: https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/TCO-VO/TCO_VO.de.html</ref> Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für '''Auskunftsanordnungen''' nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche '''Meldesysteme''' zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

* Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
* Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
* Name und E-Mail-Adresse der meldenden Person oder Einrichtung
* Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

'''Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:'''

* Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
* Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
* Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
* Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
* Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
* Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Am 20. Jänner 2025 wurde der '''[https://ec.europa.eu/newsroom/dae/redirection/document/111777 "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+"]''', der auf einem bereits [https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en 2016 angenommenen Verhaltenskodex] beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram etc. unterzeichnet.<ref>Vgl https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.</ref> Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

'''Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:'''

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen (siehe nähere Informationen unter: "[[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|Österreichisches Recht - das DSA-Begleitgesetz]]"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
=== Werbeschaltungen ===
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.<ref>Vgl Art 26 Abs 1 DSA.</ref> Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen:

* das werbende bzw die Werbung finanzierende Unternehmen
* Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und
* Hinweise, wie diese Parameter unter Umständen geändert werden können.

Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.<ref>Vgl Art 26 Abs 2 DSA.</ref>

Nicht definiert wird, wann ein Nutzer dazu in der Lage ist, die in Art. 26 Abs. 1 lit. a – d genannten Daten klar, präzise, in eindeutiger Weise und in Echtzeit zu erkennen. Diesbezüglich lassen sich in Erwgr. 68 Anhaltspunkte finden. So sollen betreffenden Informationen hervorgehoben dargestellt werden, etwa durch standardisierte visuelle oder akustische Kennzeichnungen, sodass sie für den durchschnittlichen Nutzer klar erkennbar und eindeutig sind.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 25, beck-online.</ref> Art. 26 Abs. 1 lit. a DSA ähnelt dabei Art. 6 lit. a E-Commerce-RL, wonach die kommerzielle Kommunikation „klar […] erkennbar“ sein muss. Der Maßstab der klaren Erkennbarkeit soll dazu führen, dass der Werbecharakter eines dargestellten Inhalts nicht verschleiert wird und Werbeanzeige dürfen nicht als objektiven Information erscheinen. Die Anforderung, dass die Informationen den Nutzern „in Echtzeit“ gegeben werden muss, bedeutet, dass sie wahrgenommen werden können müssen, während die Werbeanzeige eingeblendet wird.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 27, 28, beck-online.</ref>

'''Folgende Werbeschaltungen sind gemäß DSA verboten:'''

* Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.<ref>Vgl Art 26 Abs 3 DSA.</ref>
* Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.<ref>Vgl Art 28 Abs 2 DSA.</ref>
Werbeschaltungen die auf Basis von besonderen Datenkategorien erfolgen, können auch nicht durch eine Einwilligung gerechtfertigt werden.

'''Transparenz der Empfehlungssysteme:'''

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.<ref>Vgl Art 27 Abs 1 DSA.</ref> Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.<ref>Vgl Art 27 Abs 2 DSA.</ref>

Parameter können - je nach Plattform - etwa "Kundenaktionen“, „Informationen über den Artikel“, "Informationen über Aktivität und Kontakte" aber auch auch die Tageszeit und die Dauer der Nutzung sein.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Da Empfehlungssysteme eng mit der Attraktivität der jeweiligen Plattform in Verbindung stehen, sind sie komplex und häufigen Änderungen unterworfen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.<ref>MwN ''Roos/Voget,'' Transparenzpflichten für die Nutzung von KI auf Online-Marktplätzen, RDi 2024, 487.</ref> Wird über den Einsatz von KI informiert, so ist insbesondere beim Einsatz von Deep Learning häufig nicht mehr nachzuvollziehen, aufgrund welcher Parameter die Entscheidung durch den Algorithmus bzw. die Algorithmen (hier dem Empfehlungssystem) zustande gekommen ist. Es lassen sich jedochuch beim Einsatz von Techniken des maschinellen Lernens Informationen auf einem gewissen Abstraktionsniveau darlegen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.<ref>Art 27 Abs 3 DSA.</ref>

'''Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:'''

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.<ref>Vgl Art 38 DSA.</ref> Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.<ref>Vgl Art 39 DSA.</ref> In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.<ref>Vgl Art 46 DSA.</ref> Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
=== Forschungsdatenzugang ===

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. In Art 40 DSA werden zwei Arten des Datenzugangs unterschieden:

* Zugang zu Daten, die in den Online-Schnittstellen der Plattformen öffentlich zugänglich sind (öffentlicher Datenzugang, Art 40 Abs 12 DSA)
* Privilegierter Zugang zu Plattformdaten (nicht öffentlicher Datenzugang) in Art 40 Abs 4 DSA)

Je nach Art des beantragten Zugangs gibt es Unterschiede hinsichtlich der Frage, wer den Zugang beantragen kann, an wen der Antrag zu stellen ist und welche Verpflichtungen mit dem Datenzugang verbunden sind.<ref>KommAustria, Artikel 40 Datenzugang für Forschende Information für Antragstellende (2025), [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf.]</ref>

Gemäß Art 40 DSA kann der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste (KDD)]] unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.<ref>https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

* die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen (Art 40 Abs 8 lit a DSA),
* sie sind unabhängig von kommerziellen Interessen (Art 40 Abs 8 lit b DSA),
* ihr Antrag gibt Aufschluss über die Finanzierung der Forschung (Art 40 Abs 8 lit c DSA),
* sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben (Art 40 Abs 8 lit e DSA),
* sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist (Art 40 Abs 8 lit e DSA),
* die geplanten Forschungstätigkeiten werden zu den in Art 40 Abs 4 DSA genannten Zwecken durchgeführt (Art 40 Abs 8 lit f DSA),
* sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen (Art 40 Abs 8 lit g DSA).
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]])'''.''' Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR)] und auf der [https://digital-strategy.ec.europa.eu/de/policies/list-designated-vlops-and-vloses Webseite der Europäischen Kommission] gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

Um Zugang zu öffentlichen Daten zu erhalten, sollten sich Forschende direkt an die VLOP/VLOSE wenden. Plattformen müssen öffentliche Daten bereitstellen, verlangen jedoch im Antrag den in Art 40 Abs 12 DSA normierten Nachweis darüber, dass die Bedingungen nach Art 40 Abs 8 lit b–e DSA erfüllt sind.

Sofern das Forschungsvorhaben den Zugang (auch) zu personenbezogenen Daten umfasst, muss der Nachweis erfolgen, dass die Forschungseinrichtung in der Lage ist, die besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen. Zur Einhaltung der datenschutzrechtlichen Anforderungen können Checklisten wie die ''Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art 40 Abs. 4 DSA des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.2025''<ref>Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.202, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Checkliste_Datenschutzanforderungen.pdf</ref> herangezogen werden.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Seit dem Inkrafttreten des delegierten Rechtsakts über den Datenzugang <ref>Delegierte Verordnung (EU) 2025/2050 der Kommission vom 1. Juli 2025 zur Ergänzung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates durch Festlegung der technischen Bedingungen und Verfahren, unter denen die Anbieter sehr großer Online-Plattformen und sehr großer Online-Suchmaschinen zugelassenen Forschenden Daten zur Verfügung stellen müssen, ABl L 2025/2050.</ref> eröffnen sich den Forschenden neue Möglichkeiten. Durch diesen Rechtsakt wird der Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglicht. Seit Oktober 2025 ist die Antragstellung über ein zentrales Portal der Europäischen Kommission möglich.<ref>Der Zugang zum Portal ist seit 29.10.2025 unter <nowiki>https://data-access.dsa.ec.europa.eu/public/hta/data-access</nowiki> möglich.</ref>
{| class="wikitable"
|+
!Beispiel<ref>Das Beispiel stammt in abgewandelter Form von folgender Seite: https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>
|-
|Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
|}

== Verbraucherschutz und Rechtsbehelfe ==
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.<ref>Vgl Art 3 lit b DSA und ErwGr 2 DSA. </ref> Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.<ref>Art 2 Abs 4 lit f DSA nennt die spezifischen Verbraucherschutzinstrumente, die von dem Anwendungsbereich des DSA unberührt bleiben, beispielsweise die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32013L0011 EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (2013/11/EU)] oder die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R2394 Verordnung über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden ((EU) 2017/2394)]. ErwGr 10 DSA führt zudem unter anderem die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 EU-Richtlinie über die Rechte der Verbraucher (2011/83/EU)] und die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie über unlautere Geschäftspraktiken (2005/29/EG)] an. </ref>

=== Konkrete Schutzvorschriften ===

==== Allgemeine Vorschriften ====
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte '''Haftungsprivileg''' für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.<ref>Vgl Art 6 Abs 3 DSA. </ref> Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.<ref name=":7">Vgl ''Dregelies'', Verbraucherschutz im Digital Services Act, VuR 2023, 175. </ref>

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren '''AGBs''' in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.<ref>Vgl Art 14 DSA.</ref> Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein '''internes Beschwerdemanagementsystem''' einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.<ref>Vgl Art 20 DSA. </ref> Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf '''außergerichtliche Streitbeilegung'''.<ref>Vgl Art 21 DSA.</ref> Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von '''vertrauenswürdigen Hinweisgebern''' ("trusted flaggers") vorrangig und unverzüglich behandelt werden.<ref>Vgl Art 22 DSA.</ref> Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidriger Inhalte]] verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher<ref>Die Aufzählung entstammt der Webseite der RTR unter: https://www.rtr.at/medien/presse/pressemitteilungen/Presseinformationen_2024/PI11292024KOA_TrustedFlaggers.de.html

Eine Liste aller EU-weit zertifizierter vertrauenswürdiger Hinweisgeber kann hier eingesehen werden: https://digital-strategy.ec.europa.eu/en/policies/trusted-flaggers-under-dsa. </ref>:

* Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
* Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
* Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
* Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
* Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)<ref>Die Zertifizierungen der KommAustria sind unter folgendem Link abrufbar: https://www.rtr.at/medien/aktuelles/entscheidungen/Uebersicht.de.html</ref>

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine '''Risikobewertung''' durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.<ref>Vgl Art 34 Abs 1 lit b DSA. </ref>

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter '''freiwillige Verhaltenskodizes''' ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

==== Besondere Vorschriften für Anbieter von Transaktionsplattformen ====
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten '''"Know-your-Business-Customer"-Grundsatz'''<ref name=":7" />, wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.<ref>Vgl Art 30 DSA.</ref> Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ('''"Konformität durch Technikgestaltung"''').<ref>Vgl Art 31 DSA.</ref>

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).<ref>Vgl ''Nemec'', Digital Services Act und Verbraucherschutz, ecolex 2024/119.</ref> <ref name=":7" />

'''Recht auf Information (Art 32 DSA):''' Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

=== Rechtsbehelfe ===

* '''Beschwerderecht (Art 53 DSA):''' Die Nutzer von Vermittlungsdiensten haben das Recht, beim [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
* '''Entschädigung (Art 54 DSA):''' Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind. 
== Verfahren nach dem DSA ==

=== Auf Profiling basierende Werbeschaltungen auf LinkedIn ===
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen [https://edri.org/ EDRi], [https://www.globalwitness.org/en/ Global Witness], [https://freiheitsrechte.org/ Gesellschaft für Freiheitsrechte] und [https://www.bitsoffreedom.nl/ Bits of Freedom] an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.<ref>Vgl https://edri.org/our-work/civil-society-complaint-raises-concern-that-linkedin-is-violating-dsa-ad-targeting-restrictions/.</ref> Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-request-information-linkedin-potentially-targeted-advertising-based-sensitive-data.</ref>

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann [https://ec.europa.eu/commission/presscorner/detail/de/STATEMENT_24_3172 hier] nachgelesen werden.

=== Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr ===
Die chinesische '''Online-Plattform Temu''', die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.<ref>Vgl https://germany.representation.ec.europa.eu/news/dsa-kommission-eroffnet-formelles-verfahren-gegen-temu-2024-10-31_de?prefLang=en.</ref> Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]].

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

* Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
* Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme <ref>Für mehr Informationen zu den Belohungsprogrammen siehe: https://www.chip.de/news/Das-Temu-Prinzip-Wie-Online-Shopping-zum-Spiel-wird_185170925.html.</ref>
* Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
* Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes. Im Juli 2025 hat die Kommission vorläufig einen DSA-Verstoß Temu's in Bezug auf illegale Produkte festgestellt.<ref name=":22">Vgl https://germany.representation.ec.europa.eu/news/vorlaufige-feststellung-temu-verstosst-bezug-auf-illegale-produkte-gegen-gesetz-uber-digitale-2025-07-28_de sowie die originale Pressemitteilung: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1913.</ref> Demnach hätte der Diensteanbieter eine zu ungenaue Risikobewertung durchgeführt und daher wahrscheinlich unzureichende Maßnahmen zur Eindämmung des Verkaufs nicht konformer Produkte auf seiner Plattform gesetzt. Temu steht nun die Möglichkeit offen, seine Verteidigungsrechte auszuüben und auf die Feststellungen zu antworten.<ref name=":22" />

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste '''TikTok, YouTube''' und '''Snapchat'''.<ref>Vgl https://www.t-online.de/nachrichten/ausland/internationale-politik/id_100501946/eu-ermittelt-youtube-tiktok-snapchat-wegen-suchtgefahr-unter-druck.html.</ref> Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-requests-information-youtube-snapchat-and-tiktok-recommender-systems-under-digital.</ref>

=== Weitere Klagen gegen Temu ===
Gegen Temu ist auch auf nationaler ein Rechtsstreit anhängig, speziell aufgrund der vermeintlichen Verwendung unerlaubter "dark patterns".<ref>Vgl https://verbraucherrecht.at/verfahren-gegen-temu<nowiki/>.MwN vgl auch die mediale Berichterstattung: https://www.derstandard.at/story/3000000290329/wie-stark-werden-onlinekaeufer-manipuliert-sozialministerium-klagt-billigriesen-temu; https://www.diepresse.com/20163737/wer-trickst-verliert-sozialministerium-klagt-chinesischen-temu; https://orf.at/stories/3407287/. </ref> Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Österreichischen Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz beim Handelsgericht Wien eine Verbandsklage gegen Temu eingebracht. Gegenstand ist die Verwendung bestimmter Designmuster durch Temu, wodurch Kunden zur Preisgabe personenbezogener Daten und zu großzügigen Ausgaben animiert würden, bspw durch aufdringliche Pop-Ups, Gewinnspiele, künstliche Verknappung und der Einsatz von Countdowns. Ebenso würden Kunden zu vorschnellen Kaufentscheidungen verleitet, durch Gutscheine gelockt, deren Einlösung an versteckte Bedingungen geknüpft ist, und die Löschung des Nutzerkontos gestalte sich als überaus kompliziert, im Gegensatz zur einfachen Kontoerstellung.

=== Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen ===
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.<ref>Weitere Informationen finden sich unter folgendem Link: https://ec.europa.eu/commission/presscorner/detail/de/ip_24_6487.</ref> Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.<ref>Bereits am 26. April 2024 hat die Europäische Kommission Leitlinien für Anbieter sehr großer Online-Plattformen und -Suchmaschinen zur Minderung systemischer Risiken in Wahlprozessen veröffentlicht: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014.</ref> Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.<ref name=":11">https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/767150/EPRS_ATA(2024)767150_DE.pdf.</ref> Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.<ref name=":11" />

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

* die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
* die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

=== Vorläufige Feststellung der Kommission: TikTok und Meta verstoßen gegen ihre Transparenzpflichten im Rahmen des Gesetzes über digitale Dienste ===
Die Europäische Kommission hat am 24.10.2025 vorläufig festgestellt, dass sowohl TikTok als auch Meta gegen ihre Pflicht aus dem Gesetz über digitale Dienste verstoßen haben, '''Forschenden den Antrag auf Zugang''' zu öffentlichen Daten zu erschweren und einen angemessenen Zugang zu öffentlichen Daten zu gewähren. Nach den vorläufigen Feststellungen haben Facebook, Instagram und TikTok möglicherweise aufwendige Verfahren und Systeme eingeführt, welche den Forschenden den Antrag auf Zugang zu öffentlichen Daten erschweren. Die erschwerte Antragstellung kann dazu führen, dass Forschende oftmals nur unvollständige oder unzuverlässige Daten erhalten, ihre Forschungstätigkeiten dadurch erschwert werden, z. B. zur Untersuchung der Frage, ob Nutzerinnen und Nutzer, einschließlich Minderjähriger, illegalen oder schädlichen Inhalten ausgesetzt sind.

Forschenden Zugang zu den Daten von Plattformen zu gewähren, wird als eine wesentliche Transparenzpflicht nach dem DSA gesehen, da dies eine öffentliche Kontrolle der potenziellen Auswirkungen von Plattformen auf die körperliche und psychische Gesundheit ermöglicht.<ref>Pressemitteilung der Europäischen Kommission vom 24.10.2025,abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2503</ref>

Am 5.12.2025 erklärte die Kommission Verpflichtungszusagen von TikTok für verbindlich, wonach TikTok gewisse Maßnahmen iZm mehr Transparenz bei seinem Werbearchiv umsetzen muss.<ref>''Europäische Kommission'', Pressemitteilung, Kommission akzeptiert Verpflichtungen von TikTok zur Transparenz der Werbung im Rahmen des Gesetzes über digitale Dienste (05.12.2025), https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2940. </ref>

=== Geldbuße gegen X ===
Am 5.12.2025 verhängte die Kommission eine Geldbuße gegen X in der Höhe von 120 Mio. EUR wegen Verstößen gegen die Transparenzpflichten nach dem DSA. Konkret vorgeworfen wurden: die irreführende Gestaltung eines blauen Häkchens für „verifizierte Konten“, die mangelnde Transparenz seines Werbearchivs und das Versäumnis, Forschenden Zugang zu öffentlichen Daten zu gewähren.<ref>''Europäische Kommission'', Pressemitteilung, Gesetz über digitale Dienste: Kommission verhängt Geldbuße in Höhe von 120 Mio. EUR gegen X (5.12.2025), https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2934.</ref>

=== Weitere Verfahren bzw relevante Entwicklungen ===

* Die Plattform X (ehemals Twitter) steht im Verdacht, gegen die Bestimmungen des DSA in Bezug auf Desinformation und illegale Inhalte verstoßen zu haben.<ref>Vgl https://www.politico.eu/article/eu-charges-musks-x-for-letting-disinfo-run-wild/.</ref> Hintergrund ist eine antisemitische Äußerung des in die Plattform integrierten Chatbots "Grok".<ref>Vgl https://www.euractiv.com/news/x-warned-it-could-face-shut-down-in-poland-after-groks-antisemitic-outburst/. </ref> Darüber hinaus hat der irische Koordinator für digitale Dienste (Coimisiún na Meán) im November 2025 ein Verfahren gegen X wegen eines angeblichen Verstoßes gegen Art 20 DSA eröffnet, wonach Anbieter von Online-Plattformen Nutzern Zugang zu einem internen Beschwerdemanagementsystem gewähren müssen.<ref>MwN https://www.mlex.com/mlex/articles/2410041. </ref>
* Im Februar 2025 reichte die niederländische NGO "SOMI" (Stichting Onderzoek Marktinformatie) eine Sammelklage auf Schadenersatz gegen TikTok ein. Gegenstand der Klage sind sowohl angebliche Verstöße TikToks gegen den DSA als auch gegen die DSGVO und den AI Act, da der Diensteanbieter höchstpersönliche Nutzerdaten sammeln, analysieren und darauf basierend Persönlichkeitsprofile für Werbezwecke erstellen würde sowie Nutzer durch seine Algorithmen gezielt abhängig mache.<ref>MwN https://www.lto.de/recht/hintergruende/h/eu-kommission-dsa-tiktok-verstoesse. </ref>
* Die Europäische Kommission hat am 26. November 2025 im Rahmen des DSA ein Auskunftsersuchen an Shein gerichtet, nachdem vorläufige Hinweise darauf vorliegen, dass illegale Waren, insbesondere kinderähnliche Sexpuppen und Waffen, auf dem Markt angeboten werden, die sie , dass das Shein-System ein systemisches Risiko für die Verbraucher in der gesamten Europäischen Union darstellen könnte. Verlangt werden insbesondere detaillierte Informationen und interne Dokumente darüber vorzulegen, wie sie sicherstellt, dass Minderjährige nicht altersunangemessenen Inhalten ausgesetzt sind.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-requests-shein-provide-information-sale-illegal-products-under-digital-services-act</ref>
* Ein aktueller Überblick über laufende Verfahren und bisherige Rechtsstreitigkeiten kann [https://www.mlex.com/mlex/case_files/671808c4e48ada0e00bb040e hier] abgerufen werden.

== Synergien ==
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).<ref name=":9">Vgl ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).</ref>

Die Kommission hat das Verhältnis des DSA zu anderen Digitalrechtsakten in einem Bericht dargestellt.<ref>Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.</ref>

Im Folgenden findet sich eine partielle Erörterung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

=== Datenschutz-Grundverordnung (DSGVO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung] (DSGVO) regelt die Verarbeitung von '''personenbezogenen Daten'''. Darunter sind gemäß Art 4 Z 1 DSGVO all jene Informationen zu verstehen,

''"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".''

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich '''Verantwortlicher''' (Art 4 Z 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.<ref>Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgl dazu: ''Scheichenbauer,'' Datenschutzrecht für Vereine (2023).</ref> Der EuGH hat kürzlich klargestellt, dass '''Betreiber von Online-Marktplätzen''' als (gemeinsam) Verantwortliche nach der DSGVO gelten, wenn sie Zwecke und Mittel der Veröffentlichung von Nutzendeninhalten mitbestimmen. Sie können sich bei Datenschutzverstößen ''nicht'' auf die Haftungsprivilegien der E-Commerce-RL<ref>Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl L 2000/178, 1.</ref> (der Vorgängerin des DSA) berufen. Zugleich sind sie zu präventiven technischen und organisatorischen Maßnahmen verpflichtet (Art 32 DSGVO), insb zur Identifikation und Kontrolle von Anzeigen mit besonderen Kategorien personenbezogener Daten, zur Identitätsprüfung von Inserent*innen sowie zu effektiven Sicherheitsmaßnahmen gegen Kopieren und Weiterverbreitung solcher Inhalte.<ref>EuGH 2.12.2025, C-492/23 (''Russmedia Digital und Inform Media Press).'' </ref>

Weiters kann der DSA als '''gesetzliche Vorgabe''' eine '''Rechtsgrundlage''' für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.<ref name=":9" /> Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.<ref name=":9" />

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu '''"[[Digital Services Act (DSA)#Dark patterns|dark patterns]]"''' ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO verstoßen "dark patterns" insbesondere gegen die Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, die allgemeinen Datenverarbeitungsgrundsätze nach Art 5 DSGVO sowie den Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO).<ref name=":9" />

* Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (vgl Art 4 Z 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".<ref name=":9" />
* Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12 ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).<ref name=":9" />
* Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.<ref name=":9" />
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von '''Profiling''' und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Z 4 DSGVO. Demnach bezeichnet Profiling

''"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".''

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

* Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
* Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
* Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.<ref name=":9" /> Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.<ref name=":9" /> Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Der DSA kann auch (mittelbar) der Durchsetzung von DSGVO-Verstößen dienen: So kam die Berliner Datenschutzbeauftragte zum Ergebnis, dass ein bestimmter App-Betreiber wegen rechtswidriger Übermittlung personenbezogener Daten der Nutzer nach China gegen Art 46 Abs 1 DSGVO verstoße. Sie forderte daher das Unternehmen auf, die erforderlichen Maßnahmen zur Herstellung eines DSGVO-konformen Zustands zu ergreifen. Da das Unternehmen dem allerdings nicht nachkam, machte die Berliner Datenschutzbeauftragte von der [[Digital Services Act (DSA)#Abgestufter Pflichtenkatalog|Möglichkeit nach Art 16 DSA]] Gebrauch und meldete die rechtswidrigen Inhalte den App Store-Betreibern, auf deren Plattformen die entsprechende App angeboten wurde.<ref>''Berliner Beauftragte für Datenschutz und Informationsfreiheit'', Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt, Pressemitteilung vom 27.06.2025, https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/.</ref>

Nähere Informationen zum Zusammenspiel zwischen dem DSA und der DSGVO finden sich in den entsprechenden [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf Leitlinien], die der Europäische Datenschutzausschuss (EDSA) im September 2025 veröffentlicht hat.

=== [[Digital Markets Act (DMA)]] ===

Der DSA bildet zusammen mit dem [[Digital Markets Act (DMA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" ("Gatekeeper") auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen "Torwächter" mit zentralen Plattformdiensten, das sind jene Anbieter, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw die von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführende Praktiken.

=== Platform-to-Business-VO (P2B-VO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019R1150 Platform-to-Business-VO] ("P2B-VO")<ref>Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten, ABl L 2019/186, 57.</ref> gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an '''gewerbliche''' '''Nutzer''', verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.<ref>Vgl Art 1 Abs 2 P2B-VO. </ref> Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.<ref name=":17">Nähere Informationen können auf folgender Seite der Wirtschaftskammer Österreich (WKO) eingesehen werden: https://www.wko.at/oe/handel/p2b-verordnung.</ref> Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.<ref name=":17" /><ref>Vgl Art 1 Abs 3 P2B-VO. </ref> Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitestgehend auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der nach dem DSA.<ref>Vgl dazu die Begriffsbestimmungen des DSA in Artikel 3 und jene der P2B-VO in Artikel 2. </ref> Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29 ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33 ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von '''Allgemeinen Geschäftsbedingungen''' (AGBs), beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.<ref name=":9" /> Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.<ref name=":9" /> Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.<ref name=":9" /> Hier gehen die Meinungen in der Literatur auseinander: während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

=== [[Artificial Intelligence Act (AIA)]] ===

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der [[Artificial Intelligence Act (AIA)]], dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.<ref name=":13">Vgl ''Honer/Schöbel,'' Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.</ref> Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.<ref name=":13" /> Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).<ref name=":14">Vgl ''Hacker,'' Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024). </ref> Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.<ref name=":14" /> Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.<ref name=":14" />

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
{| class="wikitable"
|+
!
!DSA
!AIA
!Beispiele und nähere Erläuterungen
|-
|'''Adressaten'''
|Vermittlungsdiensteanbieter
|Vorrangig Anbieter bzw Betreiber von (generativer) KI
|Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Ein Beispiel wäre der Einsatz von KI durch YouTube, um die Videos seiner Nutzer zu editieren.<ref>Vgl ''Germain,'' YouTube secretly used AI to edit people's videos. The results could bend reality, bbc.com 24.08.2025, https://www.bbc.com/future/article/20250822-youtube-is-using-ai-to-edit-videos-without-permission. </ref> Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#GPAI-Modelle_(Art_51_ff_AI_Act) General Purpose AI - GPAI]) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act).<ref name=":14" /> Hier treten also die Anforderungen nach dem DSA neben die Pflichten nach dem AI Act.
Wie bereits erörtert wird aktuell geprüft, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine (VLOSEs) einzustufen ist.<ref name=":21" /> Damit wäre ChatGPT die erste eigenständige KI-Anwendung, die unter den DSA fällt, und würde einen wichtigen Präzedenzfall für die Regulierung KI-gestützter Online-Dienste in Europa darstellen. Die formelle Einstufung könnte laut Medienberichterstattung noch einige Wochen dauern und weder die EU-Kommission noch OpenAI haben zum heutigen Stand (November 2025) Statements dazu veröffentlicht.<ref name=":21" />
|-
|'''Risikoanalyse'''
|Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl Art 34 Abs 1 und Art 35 DSA)
|Anbieter von Hochrisiko-KI-Systemen sind gemäß Art 17 AI Act zur Etablierung eines Risikomanagementsystems nach Art 9 AI Act verpflichtet.<ref>Näheres dazu findet sich im [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Risikoanalyse:_Digital_Services_Act_(DSA)_vs_AI_Act Eintrag über den AI Act im Kapitel Synergien] und wird daher an dieser Stelle nicht näher behandelt.</ref>
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
|Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.<ref>Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt. </ref> Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (beispielsweise Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc.), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse sollte überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sogenannte "konsolidierte und technologieübergreifende Risikoanalyse").<ref name=":14" /> So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
|-
|'''Forschungsdatenzugang'''
|Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
|Der AIA enthält keine vergleichbare Regelung
|Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.<ref name=":14" />
|-
|'''Inhaltsmoderation'''
|Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Vermittlungsdiensteanbieter trifft nur eine eingeschränkte Verantwortlichkeit für illegale Inhalte (vgl die sog [https://wiki.atlaws.eu/index.php/Digital_Services_Act_(DSA)#Haftungsprivilegien Haftungsprivilegien]). Demnach haften sie unter anderem dann für die illegalen Inhalte ihrer Nutzer, wenn sie tatsächliche Kenntnis von deren rechtswidrigem Charakter haben.
|Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
|Vermittlungsdiensteanbieter bzw Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (zB rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.<ref name=":14" /> Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.<ref name=":14" /> Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Gewisse Monitoring- und Risikoanalyseverpflichtungen nach dem AI Act könnten dazu führen, dass ein Vermittlungsdiensteanbieter, der KI auf seinen Plattformen einsetzt, tatsächliche Kenntnis von illegalen Inhalten erlangt. Die in Art 7 DSA normierte "Gute-Samariter-Regelung" könnte diese Haftungsbegründung allerdings wieder ausschließen. Denn laut dieser gelten die Haftungsprivilegien weiterhin für Vermittlungsdiensteanbieter, wenn diese auf Eigeninitiative Untersuchungen zur Erkennung illegaler Inhalte durchführen, beispielsweise um den Anforderungen des Unionsrechts nachzukommen, wozu eben auch der AI Act zählt.<ref>Diese Interpretation ist allerdings noch nicht höchstgerichtlich bestätigt. MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 51, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>
|-
|'''Umgang mit künstlich erzeugten Inhalten ("Deepfakes")'''
|Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
|Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
|Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw Offenlegung der künstlich erzeugten Inhalte verpflichtet wird. Ansonsten ist auch denkbar, dass die Rollen nach dem AI Act und dem DSA zusammenfallen. Wenn das KI-System hingegen von einer anderen Partei als dem Anbieter einer sehr großen Online-Plattform oder -Suchmaschine betrieben wird, bspw durch Einbettung, dann haben beide Unternehmen insbesondere auf technischer Ebene zusammenzuarbeiten, um die Verfügbarkeit und Kohärenz der Kennzeichnungen sicherzustellen.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 50, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref>
Diese Synergie zwischen dem DSA und dem AI Act ist explizit in ErwGr 120 AI Act angesprochen, wonach die Pflichten zur Offenlegung und Feststellung von künstlich erzeugten oder manipulierten Inhalten nach dem AI Act von besonderer Bedeutung für die Einhaltung der Verpflichtungen nach dem DSA sind, insbesondere jene zur Risikoanalyse.
|}

[[Datei:Die Wirkung der Grundrechte.png|mini|750x750px|Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Grundrechtsschutz ===
In Artikel 1 Absatz 1 DSA wird der Schutz der in der [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).<ref name=":12">Vgl ''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024). </ref> Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

* Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA). In diesem Sinne hat Facebook-Gründer Mark Zuckerberg im Jänner 2025 grundlegende Änderungen der Inhaltemoderation auf den Plattformen des Mutterkonzerns Meta [https://about.fb.com/news/2025/01/meta-more-speech-fewer-mistakes/?ref=platf angekündigt].<ref>MwN https://www.mlex.com/mlex/technology/articles/2281128.</ref> Ziel sei eine Reduktion automatisierter Filter, um nicht mehr jegliche Verstöße gegen die Nutzungsbedingungen zu erkennen, sondern nur mehr eindeutig rechtswidrige Inhalte und schwerwiegende Verstöße, wobei geringfügige AGB-Verletzungen weiterhin über ein nutzerbasiertes Meldesystem eingebracht werden können. Dadurch soll einerseits die Fehlerquote der automatisierten Inhaltemoderation verringert und andererseits der Meinungspluralismus gefördert werden.<ref>MwN ''Jennerjahn'', Änderungen der Inhaltemoderation auf den Meta-Plattformen, MMR 2025, 247. </ref>
* Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
* Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.<ref name=":3" /> Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

* Die [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] (EU GRC)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000308 Europäische Menschenrechtskonvention] (EMRK)
* Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 Richtlinie über die Rechte der Verbraucher]
* Die [https://headless-live.unicef.de/caas/v1/media/194402/data/3828b8c72fa8129171290d21f3de9c37 UN-Konvention über die Rechte des Kindes] (UN-Kinderrechtskonvention)
* Die [https://broschuerenservice.sozialministerium.at/Home/Download?publicationId=19 UN-Behindertenrechtskonvention] (UN-BRK)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000741 UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau] (CEDAW)
* Österreichische Rechtsakte:
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000138 Bundes-Verfassungsgesetz (B-VG)]
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000006 Staatsgrundgesetz 1867] (StGG)
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002462 Konsumentenschutzgesetz (KSchG)]
*# [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz]
*# [https://www.ris.bka.gv.at/GeltendeFassung/Bundesnormen/20003395/GlBG%2C%20Fassung%20vom%2007.11.2016.pdf Gleichbehandlungsgesetz]
*# [https://ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2023_I_76/BGBLA_2023_I_76.html Barrierefreiheitsgesetz:] Dieses ist seit dem 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).<ref>Mehr Informationen finden sich auf der Webseite der Wirtschaftskammer Österreich (WKO) unter folgendem Link: https://www.wko.at/ce-kennzeichnung-normen/informationen-zum-barrierefreiheitsgesetz.</ref>

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.<ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).</ref><ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023). </ref> Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.<ref name=":3" /> Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.<ref name=":3" /> Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.<ref name=":3" /><ref>''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).</ref>

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.<ref name=":12" />
=== Österreichisches Recht - das DSA-Begleitgesetz ===
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20011678 Telekommunikationsgesetz 2021], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

==== Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G) ====
Mit dem [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 KDD-G] wird die nationale Aufsicht über die digitalen Dienste und die Funktion des [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinators für digitale Dienste (KDD)]] als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

* [[Datei:Stakeholder und Akteure.png|mini|711x711px|Vom DSA betroffene Stakeholder, Akteure und Sektoren © Research Institute basierend auf der Abbildung von 7p mobility<ref>https://7p-mobility.com/blog/digital-services-act-dsa-wie-die-eu-die-online-welt-sicherer-macht</ref>]]die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
* die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
* die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
* Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
* die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

==== Das E-Commerce-Gesetz (ECG) ====
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]] (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetzes (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

==== Sonstige Änderungen durch das DSA-Begleitgesetz ====
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 Allgemeines Bürgerliches Gesetzbuch (ABGB):] In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.<ref name=":15">Vgl ''Wittmann'', Das DSA-Begleitgesetz: Neue Instrumente zur Bekämpfung von "Hass-im Netz", MR 2023, 298. </ref>
* [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 Urheberrechtsgesetz (UrhG):] Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.<ref name=":15" />
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 Strafprozessordnung (StPO):] Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.<ref name=":15" />
== Sanktionen ==
Der DSA sieht ein '''zweigeteiltes Sanktionssystem''' vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 Koordinator-für-digitale-Dienste-Gesetz (KDD-G)] verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.<ref>Vgl § 5 Abs 6 iVm § 6 KDD-G.</ref>

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

* Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.<ref>Vgl Art 52 DSA.</ref> Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.<ref>Vgl § 5 iVm § 6 Abs 1 Z 1 KDD-G</ref> Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.<ref>Vgl Art 74 DSA.</ref>
* Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.<ref>Vgl Art 52 DSA iVm § 6 Abs 1 Z 2 KDD-G und Art 74 DSA. </ref>
* '''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes.<ref>Vgl Art 52 iVm § 6 Abs 2 KDD-G und 76 DSA.</ref> Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
* '''Einstweilige Maßnahmen:''' In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine ''prima facie'' Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.<ref>Vgl Art 70 DSA. </ref> 
== Weiterführende Literatur ==

* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Hofmann/Raue,'' Digital Services Act. Gesetz über digitale Dienste (2023).
* ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Müller-Terpitz/Köhler'', Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

== Links und Materialien ==

* https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
* https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
* https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
* https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
* https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
* https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).
* [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf KommAustria Jahresbericht 2024].
* [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf EDSA-Richtlinien zum Zusammenspiel zwischen dem DSA und der DSGVO] (11. September 2025).
* Europäische Kommission, Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, 17.11.2025, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.

== Referenzen ==
<references />

Digital Services Act (DSA)

2026-04-10T11:57:36Z

Mirjam.tercero: /* Vermittlungsdienst */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2065|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG|Kurztitel=Digital Services Act/Gesetz über digitale Dienste|Bezeichnung=DSA|Rechtsmaterie=Digitale Dienste|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/277, 1|Anzuwenden=17. Februar 2024 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
|Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
|Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
|Direkte Verknüpfung mit dem [[Digital Markets Act (DMA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
|-
|Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
|Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
|Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
|-
|Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
|Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
|Regelungen zu Governance, Aufsicht und Durchsetzung
|Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
|Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
|-
|Verwirklichung des Binnenmarktes
|Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
|Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
|Querbezüge zum [[Artificial Intelligence Act (AIA)]], sofern Vermittlungsdiensteanbieter auf KI-basierte Systeme zurückgreifen
|'''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes
|-
|Rechtssicherheit
|Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
|Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
|Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz etc.)
|'''Einstweilige Maßnahmen:''' In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
|}

== Einführung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.<ref name=":25">Vgl Art 1 Abs 1 DSA. </ref> Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.<ref name=":26">Vgl Art 1 Abs 1 iVm ErwGr 3 DSA. </ref> Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem [[Digital Markets Act (DMA)]] bildet er das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.<ref name=":0">''Kern,'' Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.</ref><ref>''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).</ref><ref>Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des [[Digital Markets Act (DMA)]]. </ref>

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert<ref>Siehe auch die Einteilung in Art 1 Abs 2 DSA. </ref>:

* Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
* In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
* In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt (sogenannte "Haftungsprivilegien").
* Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
* Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

== Anwendungsbereich ==

=== Räumlich ===
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.<ref name=":0" />

=== Sachlich ===

==== Vermittlungsdienst ====
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.<ref name=":1">Siehe ErwGr 29 DSA. </ref>
[[Datei:Vermittlungsdienste.png|mini|504x504px|Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

* Entweder erfolgt eine '''„reine Durchleitung“''', wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.<ref name=":1" /><ref name=":3" />
* Oder es wird eine '''„Caching“-Leistung''' erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.<ref name=":1" />
* Schließlich kann es sich auch um einen '''„Hosting"-Dienst''' handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.<ref name=":1" />

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie '''„Online-Plattformen“''' abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.<ref name=":2">Siehe ErwGr 13 DSA.</ref> Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet<ref>Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe ErwGr 14 DSA). </ref>, wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").<ref name=":2" />

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte '''„sehr große Online-Plattformen“''' (''Very Large Online Platforms – VLOPs)'' und '''„sehr große Online-Suchmaschinen“''' (''Very Large Search Engines – VLOSEs)'' mit '''erheblicher Reichweite''' ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.<ref>Siehe ErwGr 76 DSA.</ref>

* VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando<ref>Zalando hat die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat. Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu</ref> etc.<ref name=":10">Eine Liste der benannten VLOPs und VLOSEs findet sich auf folgender Seite der Europäischen Kommission: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.</ref>
* VLOSEs: Bing, Google Search etc.<ref name=":10" />
Da der DSA für VLOPs/VLOSEs strenge Sorgfaltspflichten vorsieht, haben bisher einige der designierten Anbieter versucht, diesen Einstufungsbeschluss der Kommission abzuwenden. Zalando hat bspw die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat.<ref>Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu.</ref> Die Klage von Amazon gegen den Kommissionsbeschluss, mit dem die Plattform Amazon Store als VLOP benannt wurde, wurde am 19. November 2025 vom EuGH (Rechtssache T-367/23) abgewiesen.<ref>Vgl https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-11/cp250144de.pdf. </ref> Geprüft wird aktuell, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Mio Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine einzustufen ist.<ref name=":21">Vgl Näheres unter: https://www.mlex.com/mlex/technology/articles/2402210/openai-inches-toward-seeing-chatgpt-regulated-under-eu-digital-rulebook und https://www.euractiv.com/news/commission-checking-if-chatgpt-falls-under-eu-online-governance-rules/.</ref>

==== Dienstleistung der Informationsgesellschaft ====
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine '''"Dienstleistung der Informationsgesellschaft"''' handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.<ref>Vgl Art 3 lit a DSA iVm Art 1 Abs 1 lit b RL (EU) 2015/1535 (Info-RL). </ref> Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.<ref>MwN ''Steinrötter/Schauer'' in ''Steinrötter'' (Hrsg)'','' Europäische Plattformregulierung – Rechtshandbuch (2023) § 2 Rz 7.</ref> Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.<ref>Vgl dazu das EuGH-Urteil 15.09.2016, C-484/14, ''McFadden/Sony Music'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.<ref name=":16">Vgl dazu das EuGH-Urteil 20.12.2017, C-434/15 ''Elite Taxi/Uber System Spain'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Die RL (EU) 2015/1535 (Info-RL), nach der sich die Einstufung als Dienstleistung der Informationsgesellschaft bemisst, enthält in Anhang I eine sogenannte "Negativliste" an Diensten, die jedenfalls nicht als Dienst der Informationsgesellschaft iSd Art 1 Abs 1 lit b Info-RL zu klassifizieren sind:

* Nicht "im Fernabsatz" erbrachte Dienste: Untersuchung oder Behandlung von Patienten in einer Arztpraxis mithilfe elektronischer Geräte, Buchung eines Flugtickets über ein Computernetz in einem Reisebüro in Anwesenheit des Kunden, Bereitstellung elektronischer Dienste in einer Spielehalle in Anwesenheit eines Nutzers. Die Diensteerbringung im Fernabsatz findet nämlich ohne zeitgleiche physische Anwesenheit der Vertragsparteien statt, was bei den genannten Beispielen jedoch nicht der Fall ist;
* Nicht "elektronisch" erbrachte Dienste bzw Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden: Geldausgabe- oder Fahrkartenautomaten, Offline-Dienste (Software, Disketten, CD-ROMSs), Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienste, Telefaxdienste, medizinische Beratung über Telefon, Direktmarketing per Telefon etc.);
* Nicht auf individuellen Abruf erbrachte Dienste, da sie im Wege einer gleichzeitigen Übertragung von Daten für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden: Fernsehdienste, Hörfunkdienste, Teletext (über Fernsehsignal).<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 3 ff. </ref>
Art 2 Abs 2 DSA schließt Dienstleistungen von der Anwendung des DSA aus, die keine Vermittlungsdienste sind, auch wenn sie durch die Nutzung eines Vermittlungsdienstes erbracht werden.<ref name=":20">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11.</ref> Kann ein Gesamtangebot getrennt werden (zB gemeinsame Angebote von Telefon, Internetzugang und TV - sogenanntes „Tripleplay“), ist jede Dienstleistung getrennt einer eigenen Qualifikation zu unterziehen.<ref name=":20" /> Können einzelne Dienste nicht abgegrenzt werden, kommt es auf den Schwerpunkt des Dienstes an, wobei es keine Vermutungsregel gibt, dass ein Dienst im Zweifel ein Dienst der Informationsgesellschaft ist.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11 f.</ref>Darüber hinaus gelten Dienste nicht als Vermittlungsdienste, wenn sie eigene Inhalte präsentieren, da eine Vermittlung stets die "Fremdheit" eines Inhalts voraussetzt.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 13.</ref>

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:
{| class="wikitable"
|+
! colspan="2" |Beispiele
|-
|'''Kostenfreier WLAN- Zugang'''
|WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich.<ref name=":19">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 4.</ref> So kann der WLAN-Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.<ref name=":3" /> <ref name=":19" />
|-
|'''Taxi App'''
|Im Falle einer Applikation (App), die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.<ref name=":16" /> Das entscheidende Kriterium ist hierbei laut EuGH, dass weder Fahrer noch die beförderte Person ohne die App ihre Leistungen anbieten bzw in Anspruch nehmen können. Außerdem würde das hinter der App stehende Unternehmen auf den Preis Einfluss nehmen und die Zahlungsabwicklung übernehmen, weshalb die Leistung hier über die reine Vermittlung von Dienstleistungen Dritter hinaus ginge und nicht mehr von einer rein passiven, technisch bedingten Vermittlungsleistung die Rede sein könne.<ref name=":18">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 58. </ref> Anders verhält es sich bei einer Vermittlungsplattform für Kurzzeitmieten, die Vermieter und Wohnungssuchende zusammenbringt.<ref>Vgl dazu EuGH 19.12.2019, C-390/18 ''(Airbnb Ireland).'' </ref> In diesem Fall befand der EuGH, dass die Plattform keinen wesentlichen Bestandteil des Angebots eines Vermieters gegenüber wohnungssuchenden Kurzzeitmietern darstelle, weil der Dienst nicht zwingend für das Entstehen entsprechender Angebote sei und keinen Einfluss auf die Vertragsgestaltung des Vermieters mit dem Mieter nehme.<ref name=":18" />
|-
|'''WLAN-Netz einer Universität'''
|Der Anwendungsfall eines WLAN-Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.

* Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN-Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN-Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
* Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN-Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.

Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
|-
|'''Blockchain'''
|Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.<ref name=":9" /> Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.<ref name=":9" /> Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).<ref name=":9" /> Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eines Vermittlungsdienstes darstellt.<ref name=":9" />
|-
|'''Gaming'''
|Um den Pflichten nach dem DSA zu unterliegen, muss es sich bei einem Online-Gaming-Anbieter um einen Vermittlungsdienst handeln. Dazu ist zum einen die Eigenschaft als "Dienst der Informationsgesellschaft" ausschlaggebend, welche bei (zumindest entgeltlichen) Online-Spielen in der Praxis wohl zu bejahen sein wird, da diese in der Regel im Fernabsatz auf individuellen Abruf des Empfängers erbracht werden.<ref name=":23">Vgl ''Lober/Trunk,'' Games im neuen Plattformrecht der EU, MMR 2025, 665.</ref> Weiters muss der Dienst eine Mittlerfunktion einnehmen, also von Dritten bereitgestellte Informationen übermitteln, ohne dabei selbst die Kontrolle über diese Informationen auszuüben. Für Online-Spiele bedeutet dies, dass Spiele, die den Nutzern die Möglichkeit zum Hochladen bzw zur Kreation von Inhalten sowie zur Interaktion bieten, potenziell als Vermittlungsdienste einzustufen sind.<ref name=":23" /> Je nachdem, wie diese Informationen ausgetauscht werden (als reine Durchleitung, durch Zwischenspeicherung oder gar durch öffentliche Verbreitung über eine Online-Plattform), treffen den Anbieter unterschiedliche Sorgfaltspflichten nach dem DSA. So kann es sich bspw bei einer integrierten Chatfunktion zum Spieleraustausch um einen Dienst der reinen Durchleitung handeln.<ref name=":23" /> Die Teilnahme an einem Online-Spiel ist zwar ebenfalls mit der Übermittlung von Informationen an Mit- bzw. Gegenspieler verbunden, allerdings wird es sich hierbei in der Regel nicht um Informationen handeln, auf dessen Regelung der DSA abzielt. Denn dieser möchte ein vertrauenswürdiges und (rechts-)sicheres Online-Umfeld schaffen, das von der einfachen Übermittlung von Spielzügen, Lebenspunkten, Aktionen etc. nicht bedroht erscheint und sich daher grundsätzlich nicht auf vorprogrammierte Spielerinterkationen übertragen lässt.<ref name=":23" /> Ist es jedoch möglich, in einem Spiel kreative Freiheiten auszuleben und Inhalte sowohl selbst zu generieren als auch zu verbreiten, könnte es zu einer Einstufung als Vermittlungsdienst iSd DSA kommen. Es wird daher stark auf die Art des Spiels sowie der Spielerinteraktion ankommen, ob ein Online-Gaming-Anbieter als Vermittlungsdienst einzustufen ist.<ref name=":23" /> Denn während in manchen Spielen die Teilnehmenden miteinander in den Wettkampf treten oder gemeinsam Aufgaben lösen, werden in anderen Spielen ganze Welten erschaffen und mit anderen Nutzern geteilt (zB Roblox oder Minecraft).<ref name=":23" />
|}

=== Ausnahmen ===
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro<ref name=":5" /> sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, den zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder den Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

=== Zeitlich ===
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.<ref>Vgl Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). </ref> Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem [[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|DSA-Begleitgesetz]] in nationales Recht gegossen.

== Zentrale Inhalte ==

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.<ref>''Decarolis/Li'', Regulating online search in the EU. From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).</ref> Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]] an Minderjährige oder die Verwendung von manipulativen Taktiken wie "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“) und bestimmte Verpflichtungen im Umgang mit [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]]. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.<ref name=":3">Vgl ''Hofmann/Raue'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).</ref>
=== Haftungsprivilegien ===
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.<ref>''Staudegger,'' Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.</ref> Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.<ref name=":3" />

* In den Art 4-6 findet sich eine '''bedingte Haftungsbefreiung für Vermittlungsdienste''', wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.<ref name=":6">''Handel,'' Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.</ref> Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus''.''<ref name=":6" /> Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "[[Digital Services Act (DSA)#Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)|Sorgfaltspflichten von Hostingdiensteanbietern]]"). In einem kürzlich ergangenen Beschluss des LG Berlin hat das Gericht das Erfordernis der "tatsächlichen Kenntnis" sehr eng ausgelegt und sieht diese nur als gegeben, wenn der Anbieter im Wege eines bestehenden Melde- und Abhilfeverfahrens gemäß Art 16 DSA über den illegalen Inhalt informiert wurde.<ref>[https://www-juris-de.uaccess.univie.ac.at/static/infodienst/autoren/D_NJRE001616389.htm LG Berlin, Beschluss vom 07.08.2025, Az. 27 O 262/25 eV.] </ref> Hingegen soll die Kenntnisnahme eines Verstoßes über formlose Mitteilungen via E-mail oder Kontaktformular keinerlei Prüf- oder Handlungspflichten seitens des Anbieters auslösen, soweit dieser ein Melde- und Abhilfeverfahren gemäß Art 16 DSA eingerichtet hat. Inwieweit andere Gerichte dieser Rsp folgen werden, bleibt abzuwarten.
* Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer '''„Gute-Samariter-Regelung“''', laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.<ref name=":3" /> Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
* Die Artikel 8-9 enthalten '''verfahrensrechtliche Vorgaben'''.<ref name=":3" /> In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
=== Abgestufter Pflichtenkatalog ===
Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
[[Datei:DSA Infographik Sorgfaltspflichten.png|mini|750x750px|Der abgestufte Pflichtenkatalog nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

==== Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15) ====
Die '''allgemeinen Verpflichtungen''' in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

* Diese beinhalten einerseits eine Harmonisierung der '''Kommunikationsmöglichkeiten''' von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)<ref name=":3" /> sowie eines '''gesetzlichen Vertreters''', sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.<ref name=":4">Vgl ''Schonhofen,'' Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.</ref>
* In Art 14 normiert der DSA, dass in den '''Allgemeinen Geschäftsbedingungen''' der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
* Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen '''Transparenzbericht''' zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-harmonises-transparency-reporting-rules-under-digital-services-act mit Links zu der Durchführungsverordnung, dem Muster und der Ausfüllhilfe. </ref> Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

==== Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18) ====
Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

* Zunächst haben sämtliche Hostingdiensteanbieter ein '''Melde- und Abhilfeverfahren''' einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.<ref name=":4" /> Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
* Sofern ein Hostingdiensteanbieter '''Maßnahmen''' nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu '''begründen''' (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).<ref>Hier können die veröffentlichten Erklärungen eingesehen werden: https://transparency.dsa.ec.europa.eu/statement

Über folgende API können die Erklärungen an die Kommission übermittelt werden: https://transparency.dsa.ec.europa.eu/page/api-documentation</ref>
* Der Hostingdiensteanbieter ist verpflichtet, bei '''Verdacht, dass eine Straftat vorliegt,''' die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der [https://eur-lex.europa.eu/eli/dir/2011/36/oj Menschenhandel-RL], [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32011L0093 Kinderpornografie-RL] und der [https://eur-lex.europa.eu/eli/dir/2017/541/oj Terrorismusbekämpfungs-RL] fallen.<ref>Siehe ErwGr 56 DSA.</ref> Im November 2025 hat die Kommission einen Konsultationsprozess gestartet, um Input von relevanten Stakeholdern zu ihren Erfahrungen in Bezug auf diesen Meldeprozess einzuholen.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/commission-launches-targeted-consultation-notification-suspicions-criminal-offences-under-digital. </ref>
==== Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32) ====
Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für '''Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen''' ermöglicht wird. Explizit '''ausgenommen sind Kleinst- und Kleinunternehmen''' (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.<ref name=":5">Siehe Art 2 Anhang zur [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361 Empfehlung 2003/361/EG]</ref>

* Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit '''Meldungen und Beschwerden von Nutzern'''. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).<ref name=":3" /> Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
* Art 23 DSA enthält verpflichtende Mindestvorgaben zur '''Eindämmung von Missbrauch''', wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
* Die Anbieter von Online-Plattformen treffen erweiterte '''Transparenzberichtspflichten''' (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.<ref name=":4" /> Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
* Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter '''„[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“''' (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).<ref name=":4" />
* Darüber hinaus normiert der DSA erweiterte '''Vorgaben zur Gestaltung der betroffenen Dienste'''<ref name=":4" />, wie etwa '''Transparenzvorgaben für [[Digital Services Act (DSA)#Werbeschaltungen|Werbung]]''' (Art 26 DSA) und '''Empfehlungssysteme''' (Art 27 DSA) sowie einen weitreichenden '''Online-Schutz Minderjähriger''' (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]], die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
* Abschnitt 4 (Art 29-32 DSA) enthält '''ergänzende Bestimmungen für Transaktionsplattformen'''<ref name=":3" />, worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.<ref name=":4" /> Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
[[Datei:Sorgfaltspflichten Checkliste.png|mini|887x887px|Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter © Research Institute in Ergänzung der Abbildung von Noerr<ref>https://www.noerr.com/de/insights/der-digital-services-act-tritt-in-kraft-neue-pflichten-fur-digitale-vermittlungsdienste.</ref>]]
==== Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43) ====
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

* Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur '''Bewertung und Minderung der von ihren Diensten ausgehenden Risiken,''' worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen''.''<ref name=":4" /> Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014</ref> Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer '''unabhängigen Prüfung''' unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.<ref name=":4" />
* Der in Art 36 DSA vorgesehene '''Krisenreaktionsmechanismus''' erlaubt es der EU-Kommission auf Empfehlung des [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremiums]]<ref>Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board.</ref> im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.<ref>Vgl Art 36 Abs 2 iVm ErwGr 91 DSA.</ref>
* Die für Online-Plattformen geltenden '''Transparenzpflichten''' für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).<ref name=":3" />
* Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste '''Zugang zu Daten''' zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine '''Compliance-Abteilung''' einzurichten (Art 41 DSA) und eine jährliche '''Aufsichtsgebühr''' an die EU-Kommission zu entrichten (Art 43 DSA).

==== Maßnahmen zur Selbstregulierung ====
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.<ref name=":3" /> Dazu zählt etwa die Förderung der Ausarbeitung '''freiwilliger Verhaltenskodizes''' in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrige Inhalte]], den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.<ref>Ein Verhaltenskodex zur Bekämpfung illegaler Hetze im Netz wurde am 20. Jänner 2025 angenommen und von Anbietern wie Facebook, Instagram, LinkedIn, Snapchat, TikTok, X, YouTube, etc. unterzeichnet. Mehr Informationen finden sich auf der Webseite der Europäischen Kommission unter folgendem Link: https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.

Ein weiterer Verhaltenskodex zur Bekämpfung von Desinformation wurde im Februar 2025 angenommen. Mehr Informationen finden sich hier: https://merlin.obs.coe.int/article/10251.</ref> Zusätzlich wird die Ausarbeitung '''freiwilliger Krisenprotokolle''' empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um '''„soft law“''' – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.<ref name=":3" />

=== Governance, Aufsicht und Durchsetzung ===
[[Datei:Governance Struktur.png|mini|502x502px|Die Governance-Struktur und Organe nach dem Digital Services Act © Research Institute in Ergänzung der Abbildung von BVDW<ref>https://eclear.com/de/artikel/digital-services-act-schutz-und-verantwortung-in-der-digitalen-welt/.</ref>]]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und [[Digital Services Act (DSA)#Sanktionen|Sanktionierung]] zuständig sind.

==== Koordinator für Digitale Dienste ====
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.<ref>Für mehr Informationen zur KommAustria, siehe: https://www.rtr.at/medien/wer_wir_sind/KommAustria/KommAustria.de.html und https://www.bundeskanzleramt.gv.at/agenda/medienrecht/kommunikationsbehorde-austria.html.</ref> Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G)], welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende '''Befugnisse''' kommen der KommAustria als KDD gemäß Art 51 DSA zu:

# Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
#* Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
#* Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
#* Aufforderung an Mitarbeiter, Erklärungen abzugeben
# Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
#* Verpflichtungszusagen von Anbietern als bindend zu erklären
#* Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
#* Verhängung von Geldbußen und Zwangsgeld
#* Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
# Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
#* Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
#* Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende '''Aufgaben''':

# Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA). Den ersten [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf Jahresbericht für das Jahr 2024] hat die KommAustria bereits veröffentlicht.<ref>Nähere Informationen auf der [https://www.rtr.at/KDD_Jahresbericht_2024 Seite der RTR] sowie in der [https://www.ots.at/presseaussendung/OTS_20250818_OTS0034/erster-dsa-jahresbericht-der-kommaustria-zeigt-fortschritte-beim-schutz-der-nutzerrechte-durch-den-digital-services-act OTS-Presseaussendung]. </ref> Der Jahresbericht hat überdies folgende Informationen zu enthalten:
#* Die Zahl der eingegangenen Beschwerden nach Art 53 DSA und eine Übersicht über entsprechende Folgemaßnahmen
#* Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
#* Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen.
# Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
# Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
# Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

==== Europäisches Gremium für digitale Dienste ====
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende '''Aufgaben''' kommen dem Gremium gemäß Art 63 DSA zu:

* Unterstützung der Koordinierung gemeinsamer Untersuchungen
* Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
* Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
* Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
* Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Darüber hinaus hat das Gremium gemäß Art 35 Abs 2 DSA einmal jährlich einen umfassenden Bericht über systemische Risiken in Zusammenhang mit den Anbietern von VLOPs und VLOSEs zu veröffentlichen. Dieser beinhaltet die Ermittlung und Bewertung auffälliger wiederkehrender systemischer Risiken, die von Anbietern von VLOPs und VLOSEs gemeldet werden, sowie deren Minderung durch die genannten Anbieter. Im November 2025 hat das Gremium seinen ersten derartigen [https://ec.europa.eu/newsroom/dae/redirection/document/121707 Bericht] veröffentlicht.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/press-statement-european-board-digital-services-following-its-16th-meeting-0.</ref>

==== Europäische Kommission ====

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

* So ist die Kommission im Sinne des zweigeteilten [[Digital Services Act (DSA)#Sanktionen|Sanktionssystems]] des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
* Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
* Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
* Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
* Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremium]] die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
* Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
* Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
* Gemäß Art 43 DSA ist die Kommission dazu berechtigt, von den Anbietern sehr großer Online-Plattformen und -Suchmaschinen eine jährliche Aufsichtsgebühr zu verlangen. Dazu hat die Kommission delegierte Rechtsakte zu erlassen, worin die detaillierte Methodik und das entsprechende Verfahren der Berechnung und Erhebung dieser Gebühr festgelegt sind. In einem EuGH-Urteil von September 2025 in den verbundenen Rechtssachen Meta Platforms Ireland und TikTok Technology hat der EuGH jedoch die dazu von der Kommission erlassene Implementierungsentscheidung aufgrund methodischer Mängel annulliert. Es obliegt nun der Kommission, diese Mängel zu beheben und die Berechnungsmethode in Entsprechung der relevanten Bestimmungen des DSA durch delegierte Rechtsakte festzulegen. Praktisch dürfte dies jedoch nichts ändern, da die grundsätzliche Verpflichtung zur Zahlung von Aufsichtsgebühren nicht gegen den DSA verstößt und verpflichtende Zahlungen weiterhin für eine Übergangsperiode von höchstens 12 Monaten zu entrichten sind.<ref>Vgl die Pressemitteilung des EuGH vom 10. September 2025 für nähere Informationen: https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250114en.pdf. </ref> 
== Ausgewählte Themen im Fokus ==
=== Dark patterns ===
[[Datei:Dark patterns .png|mini|550x550px|Dimensionen von Dark patterns nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".<ref>Vgl Art 25 DSA.</ref><ref>ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind '''Praktiken''', mit der darauf abgezielt oder tatsächlich erreicht wird, dass die '''Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird'''. Solche Praktiken können eingesetzt werden, um die Nutzer zu '''unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen''', die '''negative Folgen''' für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.</ref> Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer '''getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden'''. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

'''ErwGr 67 DSA''' nennt weitere Beispiele:

* Einerseits '''ausbeuterische Gestaltungsmuster''', mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
* Weiters Praktiken, die darin bestehen, einen Nutzer '''wiederholt aufzufordern''', eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde ''(Nagging, Confirm Shaming).''
* Die Gestaltung eines '''Verfahrens zur Stornierung eines Dienstes''' als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
* Dazu zählt, es unverhältnismäßig schwierig zu machen, '''Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden,''' die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
* Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden. Ebenso abzugrenzen sind "dark patterns" vom eher positiv konnotierten "Nudging", das zwar ebenfalls auf die Verhaltenssteuerung der Nutzer abzielt, allerdings eher positive Resultate beweckt - sei es gesamtgesellschaftlich oder für den Nutzer selbst.<ref name=":24">Vgl ''Barudi'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024), Art. 25 Gestaltung und Organisation der Online-Schnittstelle Rz 10. </ref> Die Grenze ist allerdings fließend und mitunter wird auch das "Nudging" als unzulässige Verhaltensweise gesehen.<ref name=":24" />

Die '''Kommission kann Leitlinien''' für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

'''Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):'''

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung (DSGVO)] oder der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie für unlautere Geschäftspraktiken (UGP-RL)] fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.<ref>Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."</ref>

'''Querverbindungen zum [[Digital Markets Act (DMA)]]:'''

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.<ref name=":8">Vgl ''Martini/Kramme/Kamke,'' KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.</ref> Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).<ref name=":8" /> Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".<ref name=":8" />

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).<ref name=":8" /> Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.<ref name=":8" />

'''Querverbindungen zum [[Artificial Intelligence Act (AIA)]]:'''

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA). [[Datei:Entscheidungsbaum rechtswidrige Inhalte EU DSA Prüfschritte.png|mini|704x704px|Prüfschritte bei rechtswidrigen Inhalten - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Rechtswidrige Inhalte ===
Ein Hauptzweck des DSA ist die '''Regulierung rechtswidriger Online-Inhalte''' durch die '''Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter''', womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen ''Hate Speech'' soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

* Datenschutzverletzungen (DSGVO, DSG)
* "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
* "Cyber Mobbing" (§107c StGB)
* Kreditschädigung (§152 StGB)
* Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
* Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
* Verhetzung (§283 StGB)
* Straftatbestände des Verbotsgesetzes 1947
* Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten '''[[Digital Services Act (DSA)#Haftungsprivilegien|Haftungsprivilegien]]'''. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden '''Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt''' gegen den Vermittlungsdienstanbieter erlassen können.<ref>Im Zusammenhang mit der Verbreitung terroristischer Inhalte können Behörden zudem Entfernungsanordnungen nach der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte (TI-VO) bzw dem Terrorinhalte-Bekämpfungs-Gesetz (TIB-G) erlassen. Einer derartigen Anordnung hat der Online-Diensteanbieter grundsätzlich innerhalb einer Stunde zu entsprechen und den Inhalt zu entfernen oder den Zugang zu terroristischen Inhalten in der gesamten Union zu sperren. Mehr Informationen sind unter folgendem Link abrufbar: https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/TCO-VO/TCO_VO.de.html</ref> Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für '''Auskunftsanordnungen''' nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche '''Meldesysteme''' zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

* Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
* Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
* Name und E-Mail-Adresse der meldenden Person oder Einrichtung
* Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

'''Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:'''

* Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
* Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
* Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
* Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
* Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
* Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Am 20. Jänner 2025 wurde der '''[https://ec.europa.eu/newsroom/dae/redirection/document/111777 "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+"]''', der auf einem bereits [https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en 2016 angenommenen Verhaltenskodex] beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram etc. unterzeichnet.<ref>Vgl https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.</ref> Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

'''Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:'''

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen (siehe nähere Informationen unter: "[[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|Österreichisches Recht - das DSA-Begleitgesetz]]"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
=== Werbeschaltungen ===
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.<ref>Vgl Art 26 Abs 1 DSA.</ref> Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen:

* das werbende bzw die Werbung finanzierende Unternehmen
* Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und
* Hinweise, wie diese Parameter unter Umständen geändert werden können.

Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.<ref>Vgl Art 26 Abs 2 DSA.</ref>

Nicht definiert wird, wann ein Nutzer dazu in der Lage ist, die in Art. 26 Abs. 1 lit. a – d genannten Daten klar, präzise, in eindeutiger Weise und in Echtzeit zu erkennen. Diesbezüglich lassen sich in Erwgr. 68 Anhaltspunkte finden. So sollen betreffenden Informationen hervorgehoben dargestellt werden, etwa durch standardisierte visuelle oder akustische Kennzeichnungen, sodass sie für den durchschnittlichen Nutzer klar erkennbar und eindeutig sind.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 25, beck-online.</ref> Art. 26 Abs. 1 lit. a DSA ähnelt dabei Art. 6 lit. a E-Commerce-RL, wonach die kommerzielle Kommunikation „klar […] erkennbar“ sein muss. Der Maßstab der klaren Erkennbarkeit soll dazu führen, dass der Werbecharakter eines dargestellten Inhalts nicht verschleiert wird und Werbeanzeige dürfen nicht als objektiven Information erscheinen. Die Anforderung, dass die Informationen den Nutzern „in Echtzeit“ gegeben werden muss, bedeutet, dass sie wahrgenommen werden können müssen, während die Werbeanzeige eingeblendet wird.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 27, 28, beck-online.</ref>

'''Folgende Werbeschaltungen sind gemäß DSA verboten:'''

* Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.<ref>Vgl Art 26 Abs 3 DSA.</ref>
* Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.<ref>Vgl Art 28 Abs 2 DSA.</ref>
Werbeschaltungen die auf Basis von besonderen Datenkategorien erfolgen, können auch nicht durch eine Einwilligung gerechtfertigt werden.

'''Transparenz der Empfehlungssysteme:'''

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.<ref>Vgl Art 27 Abs 1 DSA.</ref> Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.<ref>Vgl Art 27 Abs 2 DSA.</ref>

Parameter können - je nach Plattform - etwa "Kundenaktionen“, „Informationen über den Artikel“, "Informationen über Aktivität und Kontakte" aber auch auch die Tageszeit und die Dauer der Nutzung sein.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Da Empfehlungssysteme eng mit der Attraktivität der jeweiligen Plattform in Verbindung stehen, sind sie komplex und häufigen Änderungen unterworfen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.<ref>MwN ''Roos/Voget,'' Transparenzpflichten für die Nutzung von KI auf Online-Marktplätzen, RDi 2024, 487.</ref> Wird über den Einsatz von KI informiert, so ist insbesondere beim Einsatz von Deep Learning häufig nicht mehr nachzuvollziehen, aufgrund welcher Parameter die Entscheidung durch den Algorithmus bzw. die Algorithmen (hier dem Empfehlungssystem) zustande gekommen ist. Es lassen sich jedochuch beim Einsatz von Techniken des maschinellen Lernens Informationen auf einem gewissen Abstraktionsniveau darlegen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.<ref>Art 27 Abs 3 DSA.</ref>

'''Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:'''

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.<ref>Vgl Art 38 DSA.</ref> Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.<ref>Vgl Art 39 DSA.</ref> In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.<ref>Vgl Art 46 DSA.</ref> Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
=== Forschungsdatenzugang ===

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. In Art 40 DSA werden zwei Arten des Datenzugangs unterschieden:

* Zugang zu Daten, die in den Online-Schnittstellen der Plattformen öffentlich zugänglich sind (öffentlicher Datenzugang, Art 40 Abs 12 DSA)
* Privilegierter Zugang zu Plattformdaten (nicht öffentlicher Datenzugang) in Art 40 Abs 4 DSA)

Je nach Art des beantragten Zugangs gibt es Unterschiede hinsichtlich der Frage, wer den Zugang beantragen kann, an wen der Antrag zu stellen ist und welche Verpflichtungen mit dem Datenzugang verbunden sind.<ref>KommAustria, Artikel 40 Datenzugang für Forschende Information für Antragstellende (2025), [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf.]</ref>

Gemäß Art 40 DSA kann der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste (KDD)]] unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.<ref>https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

* die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen (Art 40 Abs 8 lit a DSA),
* sie sind unabhängig von kommerziellen Interessen (Art 40 Abs 8 lit b DSA),
* ihr Antrag gibt Aufschluss über die Finanzierung der Forschung (Art 40 Abs 8 lit c DSA),
* sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben (Art 40 Abs 8 lit e DSA),
* sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist (Art 40 Abs 8 lit e DSA),
* die geplanten Forschungstätigkeiten werden zu den in Art 40 Abs 4 DSA genannten Zwecken durchgeführt (Art 40 Abs 8 lit f DSA),
* sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen (Art 40 Abs 8 lit g DSA).
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]])'''.''' Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR)] und auf der [https://digital-strategy.ec.europa.eu/de/policies/list-designated-vlops-and-vloses Webseite der Europäischen Kommission] gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

Um Zugang zu öffentlichen Daten zu erhalten, sollten sich Forschende direkt an die VLOP/VLOSE wenden. Plattformen müssen öffentliche Daten bereitstellen, verlangen jedoch im Antrag den in Art 40 Abs 12 DSA normierten Nachweis darüber, dass die Bedingungen nach Art 40 Abs 8 lit b–e DSA erfüllt sind.

Sofern das Forschungsvorhaben den Zugang (auch) zu personenbezogenen Daten umfasst, muss der Nachweis erfolgen, dass die Forschungseinrichtung in der Lage ist, die besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen. Zur Einhaltung der datenschutzrechtlichen Anforderungen können Checklisten wie die ''Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art 40 Abs. 4 DSA des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.2025''<ref>Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.202, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Checkliste_Datenschutzanforderungen.pdf</ref> herangezogen werden.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Seit dem Inkrafttreten des delegierten Rechtsakts über den Datenzugang am 29. Oktober 2025 eröffnen sich den Forschenden neue Möglichkeiten. Durch diesen Rechtsakt wird der Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglicht. Seit Oktober 2025 ist die Antragstellung über ein zentrales Portal der Europäischen Kommission möglich.<ref>Der Zugang zum Portal ist seit 29.10.2025 unter <nowiki>https://data-access.dsa.ec.europa.eu/public/hta/data-access</nowiki> möglich.</ref>
{| class="wikitable"
|+
!Beispiel<ref>Das Beispiel stammt in abgewandelter Form von folgender Seite: https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>
|-
|Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
|}

== Verbraucherschutz und Rechtsbehelfe ==
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.<ref>Vgl Art 3 lit b DSA und ErwGr 2 DSA. </ref> Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.<ref>Art 2 Abs 4 lit f DSA nennt die spezifischen Verbraucherschutzinstrumente, die von dem Anwendungsbereich des DSA unberührt bleiben, beispielsweise die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32013L0011 EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (2013/11/EU)] oder die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R2394 Verordnung über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden ((EU) 2017/2394)]. ErwGr 10 DSA führt zudem unter anderem die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 EU-Richtlinie über die Rechte der Verbraucher (2011/83/EU)] und die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie über unlautere Geschäftspraktiken (2005/29/EG)] an. </ref>

=== Konkrete Schutzvorschriften ===

==== Allgemeine Vorschriften ====
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte '''Haftungsprivileg''' für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.<ref>Vgl Art 6 Abs 3 DSA. </ref> Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.<ref name=":7">Vgl ''Dregelies'', Verbraucherschutz im Digital Services Act, VuR 2023, 175. </ref>

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren '''AGBs''' in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.<ref>Vgl Art 14 DSA.</ref> Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein '''internes Beschwerdemanagementsystem''' einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.<ref>Vgl Art 20 DSA. </ref> Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf '''außergerichtliche Streitbeilegung'''.<ref>Vgl Art 21 DSA.</ref> Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von '''vertrauenswürdigen Hinweisgebern''' ("trusted flaggers") vorrangig und unverzüglich behandelt werden.<ref>Vgl Art 22 DSA.</ref> Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidriger Inhalte]] verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher<ref>Die Aufzählung entstammt der Webseite der RTR unter: https://www.rtr.at/medien/presse/pressemitteilungen/Presseinformationen_2024/PI11292024KOA_TrustedFlaggers.de.html

Eine Liste aller EU-weit zertifizierter vertrauenswürdiger Hinweisgeber kann hier eingesehen werden: https://digital-strategy.ec.europa.eu/en/policies/trusted-flaggers-under-dsa. </ref>:

* Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
* Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
* Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
* Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
* Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)<ref>Die Zertifizierungen der KommAustria sind unter folgendem Link abrufbar: https://www.rtr.at/medien/aktuelles/entscheidungen/Uebersicht.de.html</ref>

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine '''Risikobewertung''' durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.<ref>Vgl Art 34 Abs 1 lit b DSA. </ref>

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter '''freiwillige Verhaltenskodizes''' ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

==== Besondere Vorschriften für Anbieter von Transaktionsplattformen ====
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten '''"Know-your-Business-Customer"-Grundsatz'''<ref name=":7" />, wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.<ref>Vgl Art 30 DSA.</ref> Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ('''"Konformität durch Technikgestaltung"''').<ref>Vgl Art 31 DSA.</ref>

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).<ref>Vgl ''Nemec'', Digital Services Act und Verbraucherschutz, ecolex 2024/119.</ref> <ref name=":7" />

'''Recht auf Information (Art 32 DSA):''' Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

=== Rechtsbehelfe ===

* '''Beschwerderecht (Art 53 DSA):''' Die Nutzer von Vermittlungsdiensten haben das Recht, beim [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
* '''Entschädigung (Art 54 DSA):''' Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind. 
== Verfahren nach dem DSA ==

=== Auf Profiling basierende Werbeschaltungen auf LinkedIn ===
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen [https://edri.org/ EDRi], [https://www.globalwitness.org/en/ Global Witness], [https://freiheitsrechte.org/ Gesellschaft für Freiheitsrechte] und [https://www.bitsoffreedom.nl/ Bits of Freedom] an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.<ref>Vgl https://edri.org/our-work/civil-society-complaint-raises-concern-that-linkedin-is-violating-dsa-ad-targeting-restrictions/.</ref> Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-request-information-linkedin-potentially-targeted-advertising-based-sensitive-data.</ref>

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann [https://ec.europa.eu/commission/presscorner/detail/de/STATEMENT_24_3172 hier] nachgelesen werden.

=== Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr ===
Die chinesische '''Online-Plattform Temu''', die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.<ref>Vgl https://germany.representation.ec.europa.eu/news/dsa-kommission-eroffnet-formelles-verfahren-gegen-temu-2024-10-31_de?prefLang=en.</ref> Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]].

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

* Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
* Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme <ref>Für mehr Informationen zu den Belohungsprogrammen siehe: https://www.chip.de/news/Das-Temu-Prinzip-Wie-Online-Shopping-zum-Spiel-wird_185170925.html.</ref>
* Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
* Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes. Im Juli 2025 hat die Kommission vorläufig einen DSA-Verstoß Temu's in Bezug auf illegale Produkte festgestellt.<ref name=":22">Vgl https://germany.representation.ec.europa.eu/news/vorlaufige-feststellung-temu-verstosst-bezug-auf-illegale-produkte-gegen-gesetz-uber-digitale-2025-07-28_de sowie die originale Pressemitteilung: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1913.</ref> Demnach hätte der Diensteanbieter eine zu ungenaue Risikobewertung durchgeführt und daher wahrscheinlich unzureichende Maßnahmen zur Eindämmung des Verkaufs nicht konformer Produkte auf seiner Plattform gesetzt. Temu steht nun die Möglichkeit offen, seine Verteidigungsrechte auszuüben und auf die Feststellungen zu antworten.<ref name=":22" />

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste '''TikTok, YouTube''' und '''Snapchat'''.<ref>Vgl https://www.t-online.de/nachrichten/ausland/internationale-politik/id_100501946/eu-ermittelt-youtube-tiktok-snapchat-wegen-suchtgefahr-unter-druck.html.</ref> Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-requests-information-youtube-snapchat-and-tiktok-recommender-systems-under-digital.</ref>

=== Weitere Klagen gegen Temu ===
Gegen Temu ist auch auf nationaler ein Rechtsstreit anhängig, speziell aufgrund der vermeintlichen Verwendung unerlaubter "dark patterns".<ref>Vgl https://verbraucherrecht.at/verfahren-gegen-temu<nowiki/>.MwN vgl auch die mediale Berichterstattung: https://www.derstandard.at/story/3000000290329/wie-stark-werden-onlinekaeufer-manipuliert-sozialministerium-klagt-billigriesen-temu; https://www.diepresse.com/20163737/wer-trickst-verliert-sozialministerium-klagt-chinesischen-temu; https://orf.at/stories/3407287/. </ref> Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Österreichischen Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz beim Handelsgericht Wien eine Verbandsklage gegen Temu eingebracht. Gegenstand ist die Verwendung bestimmter Designmuster durch Temu, wodurch Kunden zur Preisgabe personenbezogener Daten und zu großzügigen Ausgaben animiert würden, bspw durch aufdringliche Pop-Ups, Gewinnspiele, künstliche Verknappung und der Einsatz von Countdowns. Ebenso würden Kunden zu vorschnellen Kaufentscheidungen verleitet, durch Gutscheine gelockt, deren Einlösung an versteckte Bedingungen geknüpft ist, und die Löschung des Nutzerkontos gestalte sich als überaus kompliziert, im Gegensatz zur einfachen Kontoerstellung.

=== Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen ===
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.<ref>Weitere Informationen finden sich unter folgendem Link: https://ec.europa.eu/commission/presscorner/detail/de/ip_24_6487.</ref> Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.<ref>Bereits am 26. April 2024 hat die Europäische Kommission Leitlinien für Anbieter sehr großer Online-Plattformen und -Suchmaschinen zur Minderung systemischer Risiken in Wahlprozessen veröffentlicht: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014.</ref> Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.<ref name=":11">https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/767150/EPRS_ATA(2024)767150_DE.pdf.</ref> Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.<ref name=":11" />

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

* die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
* die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

=== Vorläufige Feststellung der Kommission: TikTok und Meta verstoßen gegen ihre Transparenzpflichten im Rahmen des Gesetzes über digitale Dienste ===
Die Europäische Kommission hat am 24.10.2025 vorläufig festgestellt, dass sowohl TikTok als auch Meta gegen ihre Pflicht aus dem Gesetz über digitale Dienste verstoßen haben, '''Forschenden den Antrag auf Zugang''' zu öffentlichen Daten zu erschweren und einen angemessenen Zugang zu öffentlichen Daten zu gewähren. Nach den vorläufigen Feststellungen haben Facebook, Instagram und TikTok möglicherweise aufwendige Verfahren und Systeme eingeführt, welche den Forschenden den Antrag auf Zugang zu öffentlichen Daten erschweren. Die erschwerte Antragstellung kann dazu führen, dass Forschende oftmals nur unvollständige oder unzuverlässige Daten erhalten, ihre Forschungstätigkeiten dadurch erschwert werden, z. B. zur Untersuchung der Frage, ob Nutzerinnen und Nutzer, einschließlich Minderjähriger, illegalen oder schädlichen Inhalten ausgesetzt sind.

Forschenden Zugang zu den Daten von Plattformen zu gewähren, wird als eine wesentliche Transparenzpflicht nach dem DSA gesehen, da dies eine öffentliche Kontrolle der potenziellen Auswirkungen von Plattformen auf die körperliche und psychische Gesundheit ermöglicht.<ref>Pressemitteilung der Europäischen Kommission vom 24.10.2025,abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2503</ref>

Am 5.12.2025 erklärte die Kommission Verpflichtungszusagen von TikTok für verbindlich, wonach TikTok gewisse Maßnahmen iZm mehr Transparenz bei seinem Werbearchiv umsetzen muss.<ref>''Europäische Kommission'', Pressemitteilung, Kommission akzeptiert Verpflichtungen von TikTok zur Transparenz der Werbung im Rahmen des Gesetzes über digitale Dienste (05.12.2025), https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2940. </ref>

=== Geldbuße gegen X ===
Am 5.12.2025 verhängte die Kommission eine Geldbuße gegen X in der Höhe von 120 Mio. EUR wegen Verstößen gegen die Transparenzpflichten nach dem DSA. Konkret vorgeworfen wurden: die irreführende Gestaltung eines blauen Häkchens für „verifizierte Konten“, die mangelnde Transparenz seines Werbearchivs und das Versäumnis, Forschenden Zugang zu öffentlichen Daten zu gewähren.<ref>''Europäische Kommission'', Pressemitteilung, Gesetz über digitale Dienste: Kommission verhängt Geldbuße in Höhe von 120 Mio. EUR gegen X (5.12.2025), https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2934.</ref>

=== Weitere Verfahren bzw relevante Entwicklungen ===

* Die Plattform X (ehemals Twitter) steht im Verdacht, gegen die Bestimmungen des DSA in Bezug auf Desinformation und illegale Inhalte verstoßen zu haben.<ref>Vgl https://www.politico.eu/article/eu-charges-musks-x-for-letting-disinfo-run-wild/.</ref> Hintergrund ist eine antisemitische Äußerung des in die Plattform integrierten Chatbots "Grok".<ref>Vgl https://www.euractiv.com/news/x-warned-it-could-face-shut-down-in-poland-after-groks-antisemitic-outburst/. </ref> Darüber hinaus hat der irische Koordinator für digitale Dienste (Coimisiún na Meán) im November 2025 ein Verfahren gegen X wegen eines angeblichen Verstoßes gegen Art 20 DSA eröffnet, wonach Anbieter von Online-Plattformen Nutzern Zugang zu einem internen Beschwerdemanagementsystem gewähren müssen.<ref>MwN https://www.mlex.com/mlex/articles/2410041. </ref>
* Im Februar 2025 reichte die niederländische NGO "SOMI" (Stichting Onderzoek Marktinformatie) eine Sammelklage auf Schadenersatz gegen TikTok ein. Gegenstand der Klage sind sowohl angebliche Verstöße TikToks gegen den DSA als auch gegen die DSGVO und den AI Act, da der Diensteanbieter höchstpersönliche Nutzerdaten sammeln, analysieren und darauf basierend Persönlichkeitsprofile für Werbezwecke erstellen würde sowie Nutzer durch seine Algorithmen gezielt abhängig mache.<ref>MwN https://www.lto.de/recht/hintergruende/h/eu-kommission-dsa-tiktok-verstoesse. </ref>
* Die Europäische Kommission hat am 26. November 2025 im Rahmen des DSA ein Auskunftsersuchen an Shein gerichtet, nachdem vorläufige Hinweise darauf vorliegen, dass illegale Waren, insbesondere kinderähnliche Sexpuppen und Waffen, auf dem Markt angeboten werden, die sie , dass das Shein-System ein systemisches Risiko für die Verbraucher in der gesamten Europäischen Union darstellen könnte. Verlangt werden insbesondere detaillierte Informationen und interne Dokumente darüber vorzulegen, wie sie sicherstellt, dass Minderjährige nicht altersunangemessenen Inhalten ausgesetzt sind.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-requests-shein-provide-information-sale-illegal-products-under-digital-services-act</ref>
* Ein aktueller Überblick über laufende Verfahren und bisherige Rechtsstreitigkeiten kann [https://www.mlex.com/mlex/case_files/671808c4e48ada0e00bb040e hier] abgerufen werden.

== Synergien ==
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).<ref name=":9">Vgl ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).</ref>

Die Kommission hat das Verhältnis des DSA zu anderen Digitalrechtsakten in einem Bericht dargestellt.<ref>Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.</ref>

Im Folgenden findet sich eine partielle Erörterung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

=== Datenschutz-Grundverordnung (DSGVO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung] (DSGVO) regelt die Verarbeitung von '''personenbezogenen Daten'''. Darunter sind gemäß Art 4 Z 1 DSGVO all jene Informationen zu verstehen,

''"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".''

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich '''Verantwortlicher''' (Art 4 Z 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.<ref>Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgl dazu: ''Scheichenbauer,'' Datenschutzrecht für Vereine (2023).</ref> Der EuGH hat kürzlich klargestellt, dass '''Betreiber von Online-Marktplätzen''' als (gemeinsam) Verantwortliche nach der DSGVO gelten, wenn sie Zwecke und Mittel der Veröffentlichung von Nutzendeninhalten mitbestimmen. Sie können sich bei Datenschutzverstößen ''nicht'' auf die Haftungsprivilegien der E-Commerce-RL<ref>Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl L 2000/178, 1.</ref> (der Vorgängerin des DSA) berufen. Zugleich sind sie zu präventiven technischen und organisatorischen Maßnahmen verpflichtet (Art 32 DSGVO), insb zur Identifikation und Kontrolle von Anzeigen mit besonderen Kategorien personenbezogener Daten, zur Identitätsprüfung von Inserent*innen sowie zu effektiven Sicherheitsmaßnahmen gegen Kopieren und Weiterverbreitung solcher Inhalte.<ref>EuGH 2.12.2025, C-492/23 (''Russmedia Digital und Inform Media Press).'' </ref>

Weiters kann der DSA als '''gesetzliche Vorgabe''' eine '''Rechtsgrundlage''' für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.<ref name=":9" /> Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.<ref name=":9" />

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu '''"[[Digital Services Act (DSA)#Dark patterns|dark patterns]]"''' ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO verstoßen "dark patterns" insbesondere gegen die Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, die allgemeinen Datenverarbeitungsgrundsätze nach Art 5 DSGVO sowie den Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO).<ref name=":9" />

* Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (vgl Art 4 Z 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".<ref name=":9" />
* Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12 ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).<ref name=":9" />
* Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.<ref name=":9" />
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von '''Profiling''' und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Z 4 DSGVO. Demnach bezeichnet Profiling

''"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".''

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

* Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
* Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
* Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.<ref name=":9" /> Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.<ref name=":9" /> Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Der DSA kann auch (mittelbar) der Durchsetzung von DSGVO-Verstößen dienen: So kam die Berliner Datenschutzbeauftragte zum Ergebnis, dass ein bestimmter App-Betreiber wegen rechtswidriger Übermittlung personenbezogener Daten der Nutzer nach China gegen Art 46 Abs 1 DSGVO verstoße. Sie forderte daher das Unternehmen auf, die erforderlichen Maßnahmen zur Herstellung eines DSGVO-konformen Zustands zu ergreifen. Da das Unternehmen dem allerdings nicht nachkam, machte die Berliner Datenschutzbeauftragte von der [[Digital Services Act (DSA)#Abgestufter Pflichtenkatalog|Möglichkeit nach Art 16 DSA]] Gebrauch und meldete die rechtswidrigen Inhalte den App Store-Betreibern, auf deren Plattformen die entsprechende App angeboten wurde.<ref>''Berliner Beauftragte für Datenschutz und Informationsfreiheit'', Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt, Pressemitteilung vom 27.06.2025, https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/.</ref>

Nähere Informationen zum Zusammenspiel zwischen dem DSA und der DSGVO finden sich in den entsprechenden [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf Leitlinien], die der Europäische Datenschutzausschuss (EDSA) im September 2025 veröffentlicht hat.

=== [[Digital Markets Act (DMA)]] ===

Der DSA bildet zusammen mit dem [[Digital Markets Act (DMA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" ("Gatekeeper") auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen "Torwächter" mit zentralen Plattformdiensten, das sind jene Anbieter, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw die von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführende Praktiken.

=== Platform-to-Business-VO (P2B-VO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019R1150 Platform-to-Business-VO] ("P2B-VO")<ref>Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten, ABl L 2019/186, 57.</ref> gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an '''gewerbliche''' '''Nutzer''', verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.<ref>Vgl Art 1 Abs 2 P2B-VO. </ref> Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.<ref name=":17">Nähere Informationen können auf folgender Seite der Wirtschaftskammer Österreich (WKO) eingesehen werden: https://www.wko.at/oe/handel/p2b-verordnung.</ref> Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.<ref name=":17" /><ref>Vgl Art 1 Abs 3 P2B-VO. </ref> Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitestgehend auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der nach dem DSA.<ref>Vgl dazu die Begriffsbestimmungen des DSA in Artikel 3 und jene der P2B-VO in Artikel 2. </ref> Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29 ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33 ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von '''Allgemeinen Geschäftsbedingungen''' (AGBs), beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.<ref name=":9" /> Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.<ref name=":9" /> Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.<ref name=":9" /> Hier gehen die Meinungen in der Literatur auseinander: während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

=== [[Artificial Intelligence Act (AIA)]] ===

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der [[Artificial Intelligence Act (AIA)]], dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.<ref name=":13">Vgl ''Honer/Schöbel,'' Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.</ref> Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.<ref name=":13" /> Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).<ref name=":14">Vgl ''Hacker,'' Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024). </ref> Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.<ref name=":14" /> Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.<ref name=":14" />

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
{| class="wikitable"
|+
!
!DSA
!AIA
!Beispiele und nähere Erläuterungen
|-
|'''Adressaten'''
|Vermittlungsdiensteanbieter
|Vorrangig Anbieter bzw Betreiber von (generativer) KI
|Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Ein Beispiel wäre der Einsatz von KI durch YouTube, um die Videos seiner Nutzer zu editieren.<ref>Vgl ''Germain,'' YouTube secretly used AI to edit people's videos. The results could bend reality, bbc.com 24.08.2025, https://www.bbc.com/future/article/20250822-youtube-is-using-ai-to-edit-videos-without-permission. </ref> Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#GPAI-Modelle_(Art_51_ff_AI_Act) General Purpose AI - GPAI]) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act).<ref name=":14" /> Hier treten also die Anforderungen nach dem DSA neben die Pflichten nach dem AI Act.
Wie bereits erörtert wird aktuell geprüft, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine (VLOSEs) einzustufen ist.<ref name=":21" /> Damit wäre ChatGPT die erste eigenständige KI-Anwendung, die unter den DSA fällt, und würde einen wichtigen Präzedenzfall für die Regulierung KI-gestützter Online-Dienste in Europa darstellen. Die formelle Einstufung könnte laut Medienberichterstattung noch einige Wochen dauern und weder die EU-Kommission noch OpenAI haben zum heutigen Stand (November 2025) Statements dazu veröffentlicht.<ref name=":21" />
|-
|'''Risikoanalyse'''
|Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl Art 34 Abs 1 und Art 35 DSA)
|Anbieter von Hochrisiko-KI-Systemen sind gemäß Art 17 AI Act zur Etablierung eines Risikomanagementsystems nach Art 9 AI Act verpflichtet.<ref>Näheres dazu findet sich im [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Risikoanalyse:_Digital_Services_Act_(DSA)_vs_AI_Act Eintrag über den AI Act im Kapitel Synergien] und wird daher an dieser Stelle nicht näher behandelt.</ref>
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
|Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.<ref>Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt. </ref> Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (beispielsweise Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc.), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse sollte überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sogenannte "konsolidierte und technologieübergreifende Risikoanalyse").<ref name=":14" /> So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
|-
|'''Forschungsdatenzugang'''
|Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
|Der AIA enthält keine vergleichbare Regelung
|Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.<ref name=":14" />
|-
|'''Inhaltsmoderation'''
|Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Vermittlungsdiensteanbieter trifft nur eine eingeschränkte Verantwortlichkeit für illegale Inhalte (vgl die sog [https://wiki.atlaws.eu/index.php/Digital_Services_Act_(DSA)#Haftungsprivilegien Haftungsprivilegien]). Demnach haften sie unter anderem dann für die illegalen Inhalte ihrer Nutzer, wenn sie tatsächliche Kenntnis von deren rechtswidrigem Charakter haben.
|Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
|Vermittlungsdiensteanbieter bzw Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (zB rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.<ref name=":14" /> Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.<ref name=":14" /> Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Gewisse Monitoring- und Risikoanalyseverpflichtungen nach dem AI Act könnten dazu führen, dass ein Vermittlungsdiensteanbieter, der KI auf seinen Plattformen einsetzt, tatsächliche Kenntnis von illegalen Inhalten erlangt. Die in Art 7 DSA normierte "Gute-Samariter-Regelung" könnte diese Haftungsbegründung allerdings wieder ausschließen. Denn laut dieser gelten die Haftungsprivilegien weiterhin für Vermittlungsdiensteanbieter, wenn diese auf Eigeninitiative Untersuchungen zur Erkennung illegaler Inhalte durchführen, beispielsweise um den Anforderungen des Unionsrechts nachzukommen, wozu eben auch der AI Act zählt.<ref>Diese Interpretation ist allerdings noch nicht höchstgerichtlich bestätigt. MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 51, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>
|-
|'''Umgang mit künstlich erzeugten Inhalten ("Deepfakes")'''
|Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
|Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
|Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw Offenlegung der künstlich erzeugten Inhalte verpflichtet wird. Ansonsten ist auch denkbar, dass die Rollen nach dem AI Act und dem DSA zusammenfallen. Wenn das KI-System hingegen von einer anderen Partei als dem Anbieter einer sehr großen Online-Plattform oder -Suchmaschine betrieben wird, bspw durch Einbettung, dann haben beide Unternehmen insbesondere auf technischer Ebene zusammenzuarbeiten, um die Verfügbarkeit und Kohärenz der Kennzeichnungen sicherzustellen.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 50, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref>
Diese Synergie zwischen dem DSA und dem AI Act ist explizit in ErwGr 120 AI Act angesprochen, wonach die Pflichten zur Offenlegung und Feststellung von künstlich erzeugten oder manipulierten Inhalten nach dem AI Act von besonderer Bedeutung für die Einhaltung der Verpflichtungen nach dem DSA sind, insbesondere jene zur Risikoanalyse.
|}

[[Datei:Die Wirkung der Grundrechte.png|mini|750x750px|Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Grundrechtsschutz ===
In Artikel 1 Absatz 1 DSA wird der Schutz der in der [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).<ref name=":12">Vgl ''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024). </ref> Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

* Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA). In diesem Sinne hat Facebook-Gründer Mark Zuckerberg im Jänner 2025 grundlegende Änderungen der Inhaltemoderation auf den Plattformen des Mutterkonzerns Meta [https://about.fb.com/news/2025/01/meta-more-speech-fewer-mistakes/?ref=platf angekündigt].<ref>MwN https://www.mlex.com/mlex/technology/articles/2281128.</ref> Ziel sei eine Reduktion automatisierter Filter, um nicht mehr jegliche Verstöße gegen die Nutzungsbedingungen zu erkennen, sondern nur mehr eindeutig rechtswidrige Inhalte und schwerwiegende Verstöße, wobei geringfügige AGB-Verletzungen weiterhin über ein nutzerbasiertes Meldesystem eingebracht werden können. Dadurch soll einerseits die Fehlerquote der automatisierten Inhaltemoderation verringert und andererseits der Meinungspluralismus gefördert werden.<ref>MwN ''Jennerjahn'', Änderungen der Inhaltemoderation auf den Meta-Plattformen, MMR 2025, 247. </ref>
* Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
* Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.<ref name=":3" /> Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

* Die [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] (EU GRC)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000308 Europäische Menschenrechtskonvention] (EMRK)
* Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 Richtlinie über die Rechte der Verbraucher]
* Die [https://headless-live.unicef.de/caas/v1/media/194402/data/3828b8c72fa8129171290d21f3de9c37 UN-Konvention über die Rechte des Kindes] (UN-Kinderrechtskonvention)
* Die [https://broschuerenservice.sozialministerium.at/Home/Download?publicationId=19 UN-Behindertenrechtskonvention] (UN-BRK)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000741 UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau] (CEDAW)
* Österreichische Rechtsakte:
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000138 Bundes-Verfassungsgesetz (B-VG)]
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000006 Staatsgrundgesetz 1867] (StGG)
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002462 Konsumentenschutzgesetz (KSchG)]
*# [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz]
*# [https://www.ris.bka.gv.at/GeltendeFassung/Bundesnormen/20003395/GlBG%2C%20Fassung%20vom%2007.11.2016.pdf Gleichbehandlungsgesetz]
*# [https://ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2023_I_76/BGBLA_2023_I_76.html Barrierefreiheitsgesetz:] Dieses ist seit dem 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).<ref>Mehr Informationen finden sich auf der Webseite der Wirtschaftskammer Österreich (WKO) unter folgendem Link: https://www.wko.at/ce-kennzeichnung-normen/informationen-zum-barrierefreiheitsgesetz.</ref>

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.<ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).</ref><ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023). </ref> Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.<ref name=":3" /> Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.<ref name=":3" /> Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.<ref name=":3" /><ref>''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).</ref>

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.<ref name=":12" />
=== Österreichisches Recht - das DSA-Begleitgesetz ===
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20011678 Telekommunikationsgesetz 2021], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

==== Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G) ====
Mit dem [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 KDD-G] wird die nationale Aufsicht über die digitalen Dienste und die Funktion des [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinators für digitale Dienste (KDD)]] als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

* [[Datei:Stakeholder und Akteure.png|mini|711x711px|Vom DSA betroffene Stakeholder, Akteure und Sektoren © Research Institute basierend auf der Abbildung von 7p mobility<ref>https://7p-mobility.com/blog/digital-services-act-dsa-wie-die-eu-die-online-welt-sicherer-macht</ref>]]die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
* die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
* die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
* Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
* die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

==== Das E-Commerce-Gesetz (ECG) ====
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]] (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetzes (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

==== Sonstige Änderungen durch das DSA-Begleitgesetz ====
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 Allgemeines Bürgerliches Gesetzbuch (ABGB):] In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.<ref name=":15">Vgl ''Wittmann'', Das DSA-Begleitgesetz: Neue Instrumente zur Bekämpfung von "Hass-im Netz", MR 2023, 298. </ref>
* [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 Urheberrechtsgesetz (UrhG):] Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.<ref name=":15" />
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 Strafprozessordnung (StPO):] Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.<ref name=":15" />
== Sanktionen ==
Der DSA sieht ein '''zweigeteiltes Sanktionssystem''' vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 Koordinator-für-digitale-Dienste-Gesetz (KDD-G)] verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.<ref>Vgl § 5 Abs 6 iVm § 6 KDD-G.</ref>

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

* Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.<ref>Vgl Art 52 DSA.</ref> Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.<ref>Vgl § 5 iVm § 6 Abs 1 Z 1 KDD-G</ref> Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.<ref>Vgl Art 74 DSA.</ref>
* Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.<ref>Vgl Art 52 DSA iVm § 6 Abs 1 Z 2 KDD-G und Art 74 DSA. </ref>
* '''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes.<ref>Vgl Art 52 iVm § 6 Abs 2 KDD-G und 76 DSA.</ref> Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
* '''Einstweilige Maßnahmen:''' In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine ''prima facie'' Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.<ref>Vgl Art 70 DSA. </ref> 
== Weiterführende Literatur ==

* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Hofmann/Raue,'' Digital Services Act. Gesetz über digitale Dienste (2023).
* ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Müller-Terpitz/Köhler'', Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

== Links und Materialien ==

* https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
* https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
* https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
* https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
* https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
* https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).
* [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf KommAustria Jahresbericht 2024].
* [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf EDSA-Richtlinien zum Zusammenspiel zwischen dem DSA und der DSGVO] (11. September 2025).
* Europäische Kommission, Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, 17.11.2025, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.

== Referenzen ==
<references />

Data Act (DA)

2026-03-13T09:09:36Z

Mirjam.tercero: /* Dateninhaber */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriften in einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach dem Entwurf um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] auf Basis von Europäische Kommission.|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur besseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellerin nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber nicht personenbezogene Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit nicht personenbezogene [[Data Act (DA)#Sachlich|Daten nach dem DA]]<nowiki/>nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für die Entwicklung konkurrierender, '''verbundener Dienste'''. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''HamBfDI'', Der Data Act als Herausforderung für den Datenschutz, <nowiki>https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/2</nowiki><nowiki/>50429_Information_Data_Act_und_Datenschutz.pdf (Stand 29.04.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente und Hilfestellung der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': https://ec.europa.eu/eusurvey/runner/DataActLegalHelpdesk

== Nachweise ==

Data Governance Act (DGA)

2026-03-04T09:44:39Z

Mirjam.tercero: /* Informationsfreiheit */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

=== Digital Omnibus ===
Die Europäische Kommission plant eine weitgehende Anpassung digitaler Rechtsakte mit dem Digital Omnibus, die auch für den DGA und dessen Regelungsgehalt weitreichende Folgen hätte.<ref>European Commission, Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal (abgerufen 20.11.2025).</ref>

Konkret sollen die Bestimmungen des DGA aufgehoben und '''in den [[Data Act (DA)|Data Act]] integriert''' werden.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy (19.11.2025), https://digital-strategy.ec.europa.eu/en/policies/data-union.</ref>

In Bezug auf Datenvermittlungsdienste und Datenaltruistische Organisationen werden im Entwurf folgende Änderungen vorgeschlagen:

* Aus dem obligatorischen Notifizierungsregime für Datenvermittlungsdienste wird ein freiwilliger Registrierungsrahmen.
* Die Pflicht zur rechtlichen Trennung von Datenvermittlungsdiensten und anderen Diensten wird durch eine funktionale Trennung ersetzt.
* Bei Datenaltruismus-Organisationen entfallen ua Berichts- und Transparenzpflichten. Die Regelung, die Bestimmungen des DGA durch ein „Regelwerk“ (Art 22 DGA) mit detaillierten Vorschriften zu ergänzen, wird aufgehoben.
* Statt nationaler Register soll es nur noch ein Unionsregister geben.

In einem neuen Kapitel VIIc sollen die Regeln zur Weiterverwendung geschützter Daten aus dem DGA mit den Vorgaben der Open Data-RL vereint werden. Neu wäre dabei insb, dass öffentliche Stellen höhere Gebühren und besondere Bedingungen für die Weiterverwendung durch sehr große Unternehmen (insb Gatekeeper iSd [[Digital Markets Act (DMA)|Digital Markets Act]]) festlegen können.

Die Regelungen zum Europäischen Dateninnovationsrat (EDIB) werden in den Data Act integriert und die Zusammensetzung um Vertreter*innen der nationalen Politikgestaltung erweitert.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 25.11.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 19.11.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.<ref>Zum Zusammenspiel dieser Rechtsakte siehe ''Tercero/Hospes'', Der Schutz personenbezogener Daten beim Zugang zu amtlichen Informationen und bei deren Weiterverwendung, Dako 2026/6.</ref>

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Hauptseite

2026-01-29T12:13:21Z

Mirjam.tercero: /* Beteiligte Organisationen im ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Dazu wurden essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert. So soll ein rascher Gesamtüberblick über den rechtlichen Stand ermöglicht werden. Aktuelle Änderungen wurden in den einzelnen Kapiteln mit '''Stand Dezember 2025''' gelb hervorgehoben.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt, wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]] (only in parts)

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen zu Beginn jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Initiatoren des ATLAWS-Projekts =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der ursprünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die großzügige Unterstützung von '''AIT und Gaia-X Hub Austria''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Data Act (DA)

2026-01-23T14:18:11Z

Mirjam.tercero: /* Bedingungen zur Datenbereitstellung: FRAND-Grundsätze */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriften in einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach dem Entwurf um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] auf Basis von Europäische Kommission.|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur besseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellerin nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für die Entwicklung konkurrierender, '''verbundener Dienste'''. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''HamBfDI'', Der Data Act als Herausforderung für den Datenschutz, <nowiki>https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/2</nowiki><nowiki/>50429_Information_Data_Act_und_Datenschutz.pdf (Stand 29.04.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente und Hilfestellung der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': https://ec.europa.eu/eusurvey/runner/DataActLegalHelpdesk

== Nachweise ==

Data Act (DA)

2026-01-23T14:17:40Z

Mirjam.tercero: /* Datenempfänger */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriften in einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach dem Entwurf um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] auf Basis von Europäische Kommission.|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur besseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellerin nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''verbundene Dienste'''. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''HamBfDI'', Der Data Act als Herausforderung für den Datenschutz, <nowiki>https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/2</nowiki><nowiki/>50429_Information_Data_Act_und_Datenschutz.pdf (Stand 29.04.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente und Hilfestellung der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': https://ec.europa.eu/eusurvey/runner/DataActLegalHelpdesk

== Nachweise ==

Data Act (DA)

2026-01-23T14:06:01Z

Mirjam.tercero: /* Datenzugang und Datenverwendung (Kapitel II bis III) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriften in einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach dem Entwurf um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] auf Basis von Europäische Kommission.|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur besseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellerin nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''HamBfDI'', Der Data Act als Herausforderung für den Datenschutz, <nowiki>https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/2</nowiki><nowiki/>50429_Information_Data_Act_und_Datenschutz.pdf (Stand 29.04.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente und Hilfestellung der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': https://ec.europa.eu/eusurvey/runner/DataActLegalHelpdesk

== Nachweise ==

Hauptseite

2026-01-21T11:44:43Z

Mirjam.tercero: /* Beteiligte Organisationen im ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Dazu wurden essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert. So soll ein rascher Gesamtüberblick über den rechtlichen Stand ermöglicht werden. Aktuelle Änderungen wurden in den einzelnen Kapiteln mit '''Stand Dezember 2025''' gelb hervorgehoben.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt, wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]] (only in parts)

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen zu Beginn jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)/de|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Beteiligte Organisationen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der urpsrünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die großzügige Unterstützung von '''AIT und Gaia-X Hub Austria''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Hauptseite

2026-01-21T11:44:21Z

Mirjam.tercero: /* Beteiligte Organisationen im ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Dazu wurden essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert. So soll ein rascher Gesamtüberblick über den rechtlichen Stand ermöglicht werden. Aktuelle Änderungen wurden in den einzelnen Kapiteln mit '''Stand Dezember 2025''' gelb hervorgehoben.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt, wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]] (only in parts)

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen zu Beginn jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)/de|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Beteiligte Organisationen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der urpsrünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die großzügige Unterstützung von '''AIT und Gaia X Hub Austria''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Liste der Mitarbeiter und Mitarbeiterinnen

2026-01-21T09:32:13Z

Mirjam.tercero:

Folgende Mitarbeiter und Mitarbeiterinnen des Research Institutes sind am ATLAWS-Projekt beteiligt:

* [https://researchinstitute.at/team/andreas-czak/ Andreas Czák] (Technische Betreuung, Management, Organisation Erstprojekt)
* [https://researchinstitute.at/team/georg-froewis/ Georg Fröwis] (Interoperability Act, ESPR, DGA)
* [https://researchinstitute.at/?page%20id=3579&lang=de Jan Hospes] (Leitung Cluster Cybersicherheit)
* [https://researchinstitute.at/team/walter-hoetzendorfer/?lang=de Walter Hötzendorfer] (eIDAS)
* [https://researchinstitute.at/?page_id=3567&lang=de Markus Kastelitz] (European Health Data Space)
* [https://researchinstitute.at/team/madeleine-mueller/ Madeleine Müller] (Leitung Cluster Digitale Dienste und Märkte, KI-VO)
* [https://researchinstitute.at/team/philipp-poindl Philipp Poindl] (KI-Haftung; European Health Data Space)
* [https://researchinstitute.at/team/michael-schally/ Michael Schally] (Recherche)
* [https://researchinstitute.at/?page%20id=3571&lang=de Heidi Scheichenbauer] (Digitale Dienste und Märkte)
* [https://researchinstitute.at/team/david-schneeberger/ David M. Schneeberger] (Projektleitung Erstversion, Leitung Cluster KI Erstversion)
* [https://researchinstitute.at/team/mirjam-tercero/ Mirjam Tercero] (Projektleitung; Leitung Cluster Datenstrategie)
* [https://researchinstitute.at/?page_id=3556&lang=de Christof Tschohl] (wissenschaftlicher Leiter des RI; Cybersicherheit)

Artificial Intelligence Act (AIA)

2026-01-08T10:30:06Z

Mirjam.tercero: /* Ausnahmen (Art 6 Abs 3 AI Act) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1689|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828|Kurztitel=Verordnung über Künstliche Intelligenz|Bezeichnung=AI Act (AIA)/KI-VO|Rechtsmaterie=Binnenmarkt, Künstliche Intelligenz|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1689, 1|Anzuwenden=2. Februar 2025 (schrittweise)|Gültig=anwendbar}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergien
!Konsequenzen
|-
|Förderung von Innnovation und Vertrauen
|Anbieter (häufig Entwickler) bei in Verkehr bringen/in Betrieb nehmen von KI-Systemen
|risikobasierter Ansatz
|direkte Verknüpfung mit der RL über außervertragliche Haftung ([[KI-Haftungsregelungen|AILD, von der Kommission zurückgezogen]])
|Geldbußen von bis zu 35 000 000 Euro/7% des gesamten weltweiten Jahresumsatzes (Verstoß gegen verbotene Praktiken)
|-
|Wahrung der Grundrechte und Sicherheit von EU-Bürger*innen
|GPAI-Modelle (general purpose AI)
|Verbote von besonders riskanten Praktiken (zB social scoring, manipulative Systeme)
|einige Querbezüge zur DSGVO (zB Verarbeitung zur Vermeidung von Verzerrungen, Art 10), regulatory sandboxes
|Geldbußen von bis zu 15 000 000 Euro/3 % des gesamten weltweiten Jahresumsatzes (zB Anbieter- und Betreiberpflichten, Verstöße gegen Pflichten von Anbietern von GPAI-Modellen)
|-
|Förderung des Binnenmarktes
|Ausnahmen: militärische Zwecke; Systeme unter open-source-Lizenz (eingeschränkt); reine Forschungszwecke
Inkrafttreten am 1. August 2024; Geltung ab 2. August 2026;

einige Aspekte (verbotene Systeme) gelten seit 2. Februar 2025
|strenge Regulierung von Hochrisiko-
KI-Systemen (zB Risikomanagement,
Datenqualität, Dokumentation, Transparenz,
menschliche Aufsicht)
|Integrierung/Kombination von Anforderungen stellenweise möglich (zB Riskomanagementsysteme)
|Geldbußen von bis zu 7 500 000 Euro/1% des gesamten weltweiten Jahresumsatzes (Bereitstellung von falschen, unvollständigen oder irreführenden Informationen)
|-
|Gewährleistung von Transparenz und Verantwortlichkeit
|Pflichten für Betreiber (professionelle Nutzer*innen) und Anbieter
|Transparenzpflichten für gewisse KI-Systeme (zB Chatbots, Deepfakes)
|Informationspflichten nach der DSGVO
|Geldbußen von bis zu 15 000 000 Euro/3% des gesamten weltweiten Jahresumsatzes
|}

== Einführung ==
[[Datei:AI Act Risikopyramide Neu.png|mini|354x354px|Risikopyramide des AI Act; ''Europäische Kommission'', https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.]]
Der AI Act ist die erste EU-weite, sektorübergreifende Regulierung von Künstlicher Intelligenz (KI) und folgt dabei primär einem produktsicherheitsrechtlichem Ansatz, dessen vorrangiges Regulierungsziel die Sicherheit von KI-Systemen und Modellen ist. Damit ist er Teil des sog [https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en?prefLang=de "New Legislative Framework"] (NLF), einem unionsrechtlichen Maßnahmenpaket zur Produktregulierung, das auf die Verbesserung der Marktüberwachung abzielt und sich durch einheitliche Kernelemente auszeichnet (zB Konformitätsbewertungsverfahren, Selbstregulierung, Standards und einheitliche Anforderungen). Im Rahmen des Gesetzgebungsprozesses wurde der Rechtsakt - insbesondere auf Bestreben des Europäischen Parlaments - um menschenrechtliche Aspekte und Betroffenenrechte erweitert, weshalb der AI Act mittlerweile deutlich über reines Produktsicherheitsrecht hinausgeht.

Der AI Act verfolgt dabei kontrastierende Ziele: So soll das '''Funktionieren des Binnenmarktes''' durch einen einheitlichen Rechtsrahmen verbessert, '''menschenzentrierte und vertrauenswürdige KI''' gefördert und gleichzeitig ein hohes '''Schutzniveau''' in Bezug auf Gesundheit, Sicherheit und der Grundrechte sichergestellt, der '''Schutz vor schädlichen Auswirkungen''' von KI-Systemen gewährleistet und gleichzeitig die '''Innovation''' unterstützt werden (ErwGr 1 AI Act).

Kernstück des AI Act ist ein '''risikobasierter Ansatz''', der KI-Systeme nach dem mit ihnen verbundenen Risiko in vier Klassen einteilt und KI-Systeme mit inakzeptablem Risiko verbietet, Hochrisiko-KI-Systeme stark reguliert, für gewisse Systeme lediglich Transparenzpflichten vorsieht und Systeme mit minimalem Risiko unberührt lässt.

Durch die Prominenz von ChatGPT wurden spät im Gesetzgebungsprozess auch noch spezielle Bestimmungen in Bezug auf sog '''general purpose AI (GPAI) Modelle''' bzw KI-Modelle mit allgemeinem Verwendungszweck eingefügt.<ref>MwN zu diesen Entwicklungen ''Hacker/Engel/Mauer'', Regulating ChatGPT and other Large Generative AI Models, in ACM (Hrsg), FAccT '23: Proceedings of the 2023 ACM Conference on Fairness, Accountability, and Transparency (2023) 1112, https://doi.org/10.1145/3593013.359406; ''Steindl'', Legistisch innovativ und technologisch auf neuerem Stand: Das EU-Parlament und die Verhandlungen zum AI Act, RdW 2023, 1.</ref>

== Anwendungsbereich ==

=== Sachlicher Anwendungsbereich ===

==== KI-Systeme ====
Zentraler Anknüpfungspunkt für die Anwendbarkeit des AI Act ist dabei das Vorliegen eines "KI-Systems".<ref name=":0">Differenziert zum Begriff "KI-System" ''Wendehorst/Nessler/Aufreiter/Aichinger'', Der Begriff des "KI-Systems" unter der neuen KI-VO, MMR 2024, 605.</ref> Dabei handelt es sich um "ein '''maschinengestütztes''' System, das für einen in '''unterschiedlichem Grade autonomen Betrieb''' ausgelegt ist und das nach seiner Betriebsaufnahme '''anpassungsfähig sein kann''' und das aus den erhaltenen '''Eingaben''' für '''explizite oder implizite Ziele''' '''ableitet''', wie '''Ausgaben''' wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die '''physische oder virtuelle Umgebungen beeinflussen können'''."<ref>Siehe Art 3 Z 1 AI Act. Hervorhebungen nicht im Original. </ref>

Das wichtigsten Abgrenzungsmerkmal der breit gehaltenen Definition ist die Fähigkeit, '''abzuleiten'''. Diese Fähigkeit kann sich auf den Prozess der Erzeugung von Ausgaben sowie auf die Fähigkeit, Modelle oder Algorithmen oder beides aus Eingaben oder Daten abzuleiten, beziehen. Der Begriff umfasst damit sowohl Machine-Learning- als auch (ältere) logik- und wissensgestützte Ansätze.

Hingegen soll sich nach ErwGr 12 der Begriff "KI-System" "nicht auf Systeme beziehen, die auf ausschließlich von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen beruhen [...]", womit auf eine Abgrenzung von KI von herkömmlichen Softwarelösungen und Programmierungsansätzen abgezielt wird.

Zusammenfassend möchte der EU-Gesetzgeber mit dieser Definition einerseits Rechtssicherheit schaffen, allerdings immer noch Raum für technologischen Fortschritt lassen, um den Anwendungsbereich des AI Act nicht von Vornherein vor potenziellen künftigen technologischen Entwicklungen zu verschließen. Dennoch wurde die Definition als zu vage und unbestimmt empfunden. So wurden diverse Unklarheiten bemängelt, zB ob hybride (neurosymbolische) Systeme unter den Begriff fallen.<ref>''EDPS'', EDPS comments to the AI Office’s consultation on the application of the definition of an AI system and the prohibited AI practices established in the AI Act launched by the European AI Office (2024) 3, https://www.edps.europa.eu/data-protection/our-work/publications/formal-comments/2024-12-19-edps-ai-offices-consultation-application-definition-ai-system-and-prohibited-ai-practices-established-ai-act-launched-european-ai_en.</ref> Um den Begriff des KI-Systems also zu konkretisieren und Unsicherheiten zu beseitigen, sollte die Kommission gemäß Art 96 Abs 1 lit f AI Act Leitlinien vorlegen, und damit eine einheitliche Anwendung des Regelwerks fördern sowie Rechtsicherheit gewährleisten.<ref>Dafür wurde ein Konsultationsprozess durchgeführt, vgl ''European Commission'', Commission launches consultation on AI Act prohibitions and AI system definition, https://digital-strategy.ec.europa.eu/en/news/commission-launches-consultation-ai-act-prohibitions-and-ai-system-definition (Stand 13. 11. 2024).</ref> Die entsprechenden (unverbindlichen) '''Leitlinien''' der Kommission wurden am 6. Februar 2025 veröffentlicht und stellen bspw klar, welche Systeme nicht in den Anwendungsbereich fallen (zB etablierte lineare Modelle, einfache Datenverarbeitungssysteme, auf klassische Heuristik gestützte Systeme, einfache Vorhersagesysteme etc.).<ref>Annex to the Communication to the Commission Approval of the content of the draft Communication from the Commission - Commission Guidelines on the defintion of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act), C(2025) 924 final, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application.</ref> Eine Positiv-Liste, welche Systeme jedenfalls unter den KI-Begriff fallen, enthalten die Leitlinien allerdings nicht. Sie orientieren sich vielmehr an den 7 Kernelementen der KI-Definition gemäß Art 3 Z 1 AI Act. Es wird überdies betont, dass nicht alle Elemente kontinuierlich in den beiden Hauptphasen des Lebenszyklus von KI ("building phase" / "pre-deployment" oder "use phase" / "post-deployment") vorhanden sein müssen und, dass sich die Leitlinien kontinuierlich weiterentwickeln sollen.

Folgende Konkretisierungen der KI-Definition und Beispiele sind den Leitlinien zu entnehmen:
{| class="wikitable"
|+
!Elemente der KI-Definition
!Erläuterungen in den Leitlinien der EU-Kommission
!Beispiele
|-
|Maschinengestütztes System
|KI benötigt Hardware- und Softwarekomponenten
|zB eine Hardwareinfrastruktur wie processing units, Speicher, Input/Output-Schnittstellen und Software (Code, Programme etc.)
|-
|autonomer Betrieb (in unterschiedlichem Grade)
|Erfordert einen gewissen Grad an Unabhängigkeit von menschlichem Eingreifen, wobei Systeme, die vollständig manuelle menschliche Interaktion erfordern, nicht darunter fallen.
|Umfasst sind Systeme, die zwar einen manuellen Input erfordern, aber von selbst einen Output generieren (zB Chatbots)
|-
|Anpassungsfähigkeit nach Betriebsaufnahme (optional)
|Selbstlernfähigkeiten (nicht zwingend erforderlich); darunter versteht man, ob sich das Verhalten des Systems während seiner Verwendung anpassen oder verändern kann (zB automatisches Lernen, wie Muster oder Beziehungen zwischen Daten erkannt werden können).
|
|-
|Ableitungsfähigkeit
|Inferenz, Schlüsseleigenschaft; dient der Abgrenzung von KI-Systemen von einfacheren herkömmlichen Softwaresystemen und Programmierungsansätzen. Nicht umfasst sind hingegen Systeme, die nur von Menschen programmierten Regeln folgen und automatisiert Operationen ausführen. Die Ableitungsfähigkeit bedeutet daher die Erlernung allgemeiner Konzepte statt fester, vorprogrammierter Regeln.
|Bsp: maschinelles Lernen, logik- und wissensgestützte Systeme (Schlussfolgerungen mittels Deduktion oder Induktion)
|-
|Ableitung aus Eingaben für implizite oder explizite Ziele
|Ableitungen müssen nach entweder:

* expliziten Zielen (klar definierte, direkt in den Code programmierte Ziele, Optimierung von Kostenfunktionen, Wahrscheinlichkeitsberechnung) oder
* impliziten Zielen (Ableitung des Ziels aus dem Verhalten oder den dahinterstehenden Annahmen des Systems; bspw Trainingsdaten oder Interaktion des Systems mit Umwelt) erfolgen.
|
|-
|Erzeugung von Ausgaben
|Ausgabe-Arten umfassen unter anderem

* Vorhersagen (Schätzungen unbekannter Werte basierend auf komplexen Datenmustern)
* Inhalte (Texte, Bilder, Videos oder Musik)
* Empfehlungen (Vorschläge für Maßnahmen, Produkte oder Dienstleistungen, die hochgradig personalisiert sind und Massendaten nutzen).
* Entscheidungen (Vollautomatisierte Schlussfolgerungen oder Auswahlentscheidungen, die Prozesse automatisieren, die üblicherweise menschlichem Urteilsvermögen vorbehalten sind)
|zB die generierten Inhalte von Chatbots, Produktvorschläge, Echtzeit-Vorhersagen, Auswahlentscheidungen
|-
|Beeinflussung physischer oder virtueller Umgebungen
|Frage, ob das System einen aktiven Einfluss auf die Umgebungen hat, in denen es eingesetzt wird, sei es auf materielle physische Objekte oder auf digitale Räume
|zB Roboterarm, Software-Ökosysteme, Datenströme
|}

==== GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck ====
'''General Purpose AI-Modelle''' (auf Deutsch "Modelle mit allgemeinem Verwendungszweck"<ref>Art 3 Z 63 KI-VO definiert ein solches Modell als "ein KI-Modell — einschließlich der Fälle, in denen ein solches KI-Modell mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wird —, das eine '''erhebliche allgemeine Verwendbarkeit aufweist''' und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein '''breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen''', und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann."</ref>) zeichnen sich durch ihre erhebliche allgemeine Verwendbarkeit und der Fähigkeit aus, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen. Der Begriff "Modell" darf dabei, da Modelle gesondert reguliert werden, nicht mit dem Begriff eines KI-Systems verwechselt werden. Denn damit "KI-Modelle zu KI-Systemen werden, ist die Hinzufügung weiterer Komponenten, zum Beispiel einer Nutzerschnittstelle, erforderlich" (ErwGr 97 AI Act). Man kann hier den Vergleich zu einem KFZ ziehen, wobei das KI-Modell den Motor darstellt, der die eigentliche "Arbeit" leistet. Um jedoch fahrtüchtig zu sein, bedarf es nicht nur eines Motors, sondern das Fahrzeug benötigt darüber hinaus eine Karosserie, Räder, ein Lenkrad etc. Das wiederum bezeichnet das KI-System, welches das Modell erst durch seine Schnittstellen, seine Benutzeroberfläche etc. "fahrtüchtig" und damit nutzbar macht. Ein KI-System bzw GPAI-System,<ref>Art 3 Z 66 KI-VO: "'KI-System mit allgemeinem Verwendungszweck' ein KI-System, das auf einem '''KI-Modell mit allgemeinem Verwendungszweck beruht''' und in der Lage ist, einer Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme zu dienen." (Hervorhebungen nicht im Original)</ref> das auf einem GPAI-Modell beruht, muss dabei wiederum nach dem risikobasierten Ansatz des AI Act eingestuft werden.

=== Personeller Anwendungsbereich ===
[[Datei:KI-Servicestelle bei der RTR, AI Act Akteure.svg|links|mini|390x390px|Überblick über die Interaktion der einzelnen Akteure im AI Act. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html. ]]

In Bezug auf die Akteure ist primär zwischen Anbietern und Betreibern zu unterscheiden.

'''Anbieter''' ist eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt (Art 3 Z 3 AI Act).

'''Betreiber''' (in früheren Fassungen "Nutzer") ist eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet (Art 3 Z 4 AI Act).

Daneben existieren auch weniger relevante Akteure wie Einführer, Händler und Bevollmächtigte.

=== (Geographischer) Anwendungsbereich (Art 2 AI Act) ===
Der (geographische) Anwendungsbereich des AI Act (Art 2) umfasst dabei primär:<ref>Sekundär werden noch weitere Beteiligte von geringerer Relevanz erfasst:

Einführer und Händler von KI-Systemen; Produkthersteller, die KI-Systeme zusammen mit ihrem Produkt unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen; Bevollmächtigte von Anbietern, die nicht in der Union niedergelassen sind; betroffene Personen, die sich in der Union befinden.</ref>

* Anbieter, die in der Union KI-Systeme in Verkehr bringen<ref>Art 3 Z 9 KI-VO: "'Inverkehrbringen' die erstmalige Bereitstellung eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck auf dem Unionsmarkt".

Art 3 Z 10 KI-VO: "'Bereitstellung auf dem Markt' die entgeltliche oder unentgeltliche Abgabe eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit".</ref> oder in Betrieb nehmen<ref>Art 3 Z 11 KI-VO: "'Inbetriebnahme' die Bereitstellung eines KI-Systems in der Union zum Erstgebrauch direkt an den Betreiber oder zum Eigengebrauch entsprechend seiner Zweckbestimmung".

Art 3 Z 10 KI-VO: "'Bereitstellung auf dem Markt' die entgeltliche oder unentgeltliche Abgabe eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit".</ref> oder KI-Modelle mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind
* Betreiber von KI-Systemen, die ihren Sitz in der Union haben oder sich in der Union befinden
* Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder sich in einem Drittland befinden, wenn die vom KI-System hervorgebrachte Ausgabe in der Union verwendet wird

=== Ausnahmen (Art 2 Abs 2 ff AI Act) ===
Art 2 Abs 2 ff AI Act enthält eine Reihe von Ausnahmen vom Anwendungsbereich, wobei hier die wichtigsten vorgestellt werden sollen:

* Bereiche, die '''nicht unter das Unionsrecht fallen''' (zB nationale Sicherheit): KI-Systeme (ausschließlich) für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit
* KI-Systeme/KI-Modelle, die eigens für den '''alleinigen Zweck der wissenschaftlichen Forschung und Entwicklung''' entwickelt und in Betrieb genommen werden.
* '''Forschungs-, Test- und Entwicklungstätigkeiten''' zu KI-Systemen/KI-Modellen, '''bevor''' diese in Verkehr gebracht oder in Betrieb genommen werden.<ref>Dabei ist zu beachten, dass Tests unter Realbedingungen nicht unter diesen Ausschluss fallen.</ref>
* Der AI Act gilt für Betreiber, die natürliche Personen sind und KI-Systeme im Rahmen einer '''ausschließlich persönlichen und nicht beruflichen Tätigkeit''' verwenden ("Haushaltsausnahme")
*
{| class="wikitable"
|+
!Hinweis zur Sonderregelung von älterem Produktsicherheitsrecht (zB Mobilität)
|-
|Produkte, die unter Produktsicherheitsvorschriften mit dem älteren Ansatz (old approach) fallen und in Anhang I Abschnitt B gelistet werden (zB Luftfahrt und Mobilität), unterliegen nur eingeschränkt dem AI Act (Art 2 Abs 2 AI Act). Sie sind zwar nicht vollständig vom Anwendungsbereich ausgenommen, für sie gelten jedoch nur wenige Bestimmungen (Art 6 Abs 1, Art 102-109, Art 112 und Art 57 AI Act zu Reallaboren).
In der Praxis werden die Anforderungen des AI Act dabei "indirekt" im Wege der delegierten Gesetzgebung/von Durchführungsrechtsakten dieser Produktsicherheitsrechtsakte zur Anwendung kommen.

Die Trennung von Anhang I in Abschnitt A, der direkt dem AI Act unterfällt, und Abschnitt B, für den diese Wirkung indirekt erzielt wird, sollte somit in der Praxis beachtet werden.
|}
*

=== Zeitlicher Anwendungsbereich (Art 113 AI Act) ===
Der AI Act trat am '''1. August 2024''' in Kraft und wird generell am '''2. August 2026''' anwendbar (Art 113 AI Act). Gestaffelt erlangen einige Bestimmungen jedoch bereits vorab oder danach Geltung:<ref>''Future of Privacy Forum (FPF)'', EU AI Act. A Comprehensive Implementation & Compliance Timeline, https://fpf.org/wp-content/uploads/2024/07/FPF_EU_AI_Act_Timeline_July_24.pdf. </ref>

* allgemeine Bestimmungen (inklusive KI-Kompetenz) und verbotene Praktiken ab '''2. Februar 2025'''
* Bestimmungen über Notifizierende Behörden und notifizierte Stellen; GPAI-Modelle, Governance, Sanktionen, Vertraulichkeit ab '''2. August 2025'''
* Artikel 6 Absatz 1 (eingebettete Hochrisiko-KI-Systeme) und die entsprechenden Pflichten ab dem '''2. August 2027'''
[[Datei:KI-Servicestelle bei der RTR, AI Act Zeitlicher Rahmen.svg|mini|394x394px|Überblick über den abgestuften zeitlichen Geltungsbereich des AI Act. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/Zeitplan.de.html.|zentriert]]

Art 111 Abs 2 AI Act enthält dabei jedoch eine sog „grandfathering“-Klausel, nach welcher der AI Act für Betreiber von Hochrisiko-KI-Systemen, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, nur dann gilt, wenn diese Systeme danach in ihrer Konzeption erheblich verändert wurden.<ref>''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 23, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref>

== Zentrale Inhalte ==

=== KI-Kompetenz/AI literacy (Art 4 AI Act) ===
Als allgemeine Bestimmung für alle KI-Systeme fordert Art 4 AI Act, dass die Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an "KI-Kompetenz" verfügen. Dabei sind ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen.

Die Verpflichtung zur Maßnahmenergreifung gilt für Betreiber und Anbieter gleichermaßen und ist ferner unabhängig von der Risikoklasse der infragestehenden KI-Anwendung.

Unter KI-Kompetenz versteht man grundsätzlich "die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden."<ref>Vgl die Definition in Art 3 Z 56 AI Act.</ref> Dies umfasst die notwendigen Kompetenzen, um fundierte Entscheidungen über KI-Systeme zu treffen, technische Elemente zu verstehen sowie korrekt anzuwenden, die Auswirkungen von KI-basierten Entscheidungen auf Betroffene zu verstehen und KI-generierte Ausgaben angemessen zu interpretieren.<ref name=":1">Vgl ErwGr 20 AI Act. </ref> Dazu gehört auch, den einschlägigen Akteuren der KI-Wertschöpfungskette jene erforderlichen Kenntnisse zu vermitteln, um die Einhaltung und Durchsetzung der Vorschriften des AI Act zu gewährleisten.

Weitere Konkretisierungen oder zwingende Mindestvorgaben für die Sicherstellung der KI-Kompetenz enthält der AI Act allerdings nicht und betont sogar, dass die Konzepte der KI-Kompetenz in Bezug auf den jeweiligen Kontext unterschiedlich sein können.<ref name=":1" /> Die EU-Kommission hat daher ein [https://digital-strategy.ec.europa.eu/de/library/living-repository-foster-learning-and-exchange-ai-literacy "Living Repository"] angelegt, in dem Unternehmen ihre Praktiken in Bezug auf KI-Kompetenz eingetragen haben. Das Repository wird laufend ergänzt, ist jedoch nicht rechtsverbindlich. Weiters bilden die darin enthaltenen Praktiken keine Garantie zur Compliance mit Art 4 AI Act, allerdings stellen sie eine gute Orientierung dar, welche Maßnahmen zur Sicherstellung von KI-Kompetenz in unterschiedlichen Branchen bereits ergriffen werden. Häufig genannte Praktiken umfassen:

* interne eLearning-Plattformen,
* interne Weiterbildungen und Trainingsprogramme,
* Kenntnis-basierte Schulungen,
* Video-/Podcast-Reihen,
* spielebasierte Trainings,
* Erstellung von KI-Verhaltenskodizes und Risikobewertungssystemen,
* eigene Chatbots zum Training im Umgang mit Sprachmodellen.

Denkbar ist überdies die Teilnahme an externen Fortbildungen und Schulungen, die Entwicklung von internen Richtlinien ("KI-Guidelines") oder die Schaffung von sog "KI-Beauftragten" in der Organisation. Ob die Schulungsmaßnahmen fortlaufend zu erfolgen haben, ist rechtlich nicht vorgeschrieben, wird allerdings anzunehmen sein.<ref>Dieser Ansicht folgend: ''Siglmüller'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 4 KI-Kompetenz Rz 5.</ref> Ebensowenig sind die genauen Inhalte der Kompetenzvermittlungsmaßnahmen definiert. Es kann jedenfalls davon ausgegangen werden, dass diese zielgruppengerecht und zugeschnitten auf unterschiedliche Bedürfnisse erfolgen sollten. Weiters werden sie sich bei manchen Branchen, KI-Einsatzgebieten oder Personengruppen nicht lediglich auf rechtliche oder technische Anforderungen beschränken, sondern ebenso soziale und ethische Komponenten umfassen. Bei der Entwicklung und Nutzung von GPAI-Modellen wird beispielsweise die Vermittlung von Kenntnissen im Zusammenhang mit Urheberrecht, Datenschutz, "Bias" (Verzerrungen) oder "Halluzinationen" (erfundene falsche Ausgaben) sinnvoll sein.<ref>MwN ''Müller/Scheichenbauer/Schneeberger,'' Wissenskultur im KI-Zeitalter – eine Auseinandersetzung mit der KI-Kompetenz nach Art 4 AI Act und ihren praktischen Implikationen, ZIIR 2025, 250.</ref>

Die EU-Kommission hat darüber hinaus eine [https://digital-strategy.ec.europa.eu/de/faqs/ai-literacy-questions-answers "FAQ-Seite"] mit Fragen und Antworten zur KI-Kompetenz angelegt, um einen besseren Überblick über die Anforderungen zu geben.

=== KI-Systeme mit inakzeptablem Risiko/verbotene Praktiken (Art 5 AI Act) ===
Nach Art 5 AI Act sind gewisse Praktiken im KI-Bereich verboten, da sie besonders schädlich sind, enormes Missbrauchspotenzial aufweisen und im Widerspruch zu europäischen Grundrechten und Grundfreiheiten stehen.<ref>Vgl ErwGr 28 AI Act. MwN ''Neuwirth'', Prohibited artificial intelligence practices in the proposed EU artificial intelligence act (AIA), CLSR 2023, https://doi.org/10.1016/j.clsr.2023.105798; ''Rostaski/Weiss'', § 3. Verbotene Praktiken, in ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023) 35.</ref> (Unverbindliche) '''Leitlinien''' der Kommission zu den verbotenen Praktiken konkretisieren die verbotenen Praktiken insbesondere durch zahlreiche Beispiele.<ref>Annex to the Communication to the Commission Approval of the content of the draft Communication from the Commission - Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act), C(2025) 884 final, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act.</ref> Folgende Praktiken sind davon umfasst:
{| class="wikitable"
|+
!Praktik
!Beispiele
!Nicht erfasste Praktiken
!Rechtsgrundlage
|-
|'''Unterschwellige Beeinflussung außerhalb des Bewusstseins oder manipulative/täuschende Techniken''', wodurch die freie Entscheidungsfähigkeit von Personen beeinträchtigt wird und ein Schaden mit hinreichender Wahrscheinlichkeit eintritt
|
* Ableitung sensibler Informationen aus Gehirnen von Nutzern über Maschine-Gehirn-Schnittstellen<ref>Vgl ErwGr 29 AI Act sowie Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 66. </ref>
* Chatbots, die zur Selbstverletzung verleiten<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 87.</ref>
* Unterschwellige visuelle oder auditive Reize bzw generelle sensorische Manipulation<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 65 und 68.</ref>
|Erlaubt ist hingegen der Einsatz eines KI-Systems, das personalisierte Empfehlungen auf der Grundlage transparenter Algorithmen und Nutzerpräferenzen verwendet, und sich nicht absichtlich manipulativer Techniken bedient.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 128.</ref>
|Art 5 Abs 1 lit a
|-
|'''Ausnutzen der Vulnerabilität/Schutzbedürftigkeit''' aufgrund des Alters, einer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation
|
* Eine KI-Begleit-App, die durch gewisse Sprachmuster und Verhaltensweisen gezielt emotionale Abhängigkeiten und ungesunde Bindungen bei älteren Menschen erzeugt.
* Ein KI-gestütztes Spielzeug, das Kinder zu riskanten Herausforderungen ermutigt oder durch süchtig machende Techniken zu übermäßigem Spielen anregt
* KI-gestützte "Grooming-Praktiken" (gezielte Kontaktaufnahme Erwachsener mit Minderjährigen in Missbrauchsabsicht), um Mädchen mit Behinderung im Internet anzusprechen und zu manipulieren<ref>Vgl Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 88 ff. </ref>
|
* KI-Systeme, die Kinder beim Lernen einer Fremdsprache durch den Einsatz unterschwelliger Techniken unterstützen soll, sofern sie transparent arbeitet und die Nutzerautonomie wahrt.
* KI-Systeme, die Benommenheit und Ermüdung bei Fahrern erkennen und sie im Einklang mit den Sicherheitsvorschriften mit Warnmeldungen auf Ruhepausen hinweisen, gelten ebenso nicht als Ausnutzung von Vulnerabilitäten.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 130ff. </ref>
|Art 5 Abs 1 lit b
|-
|'''Social scoring''' (Bewertung/Einstufung von Personen/Gruppen von Personen auf der Grundlage ihres sozialen Verhaltens/Eigenschaften/Persönlichkeitsmerkmale)
|
* Die Verwendung eines KI-Systems zur Schätzung der Betrugswahrscheinlichkeit bei Empfängern von Haushaltszulagen durch das Sozialamt, das sich auf Merkmale stützt, die in sozialen Kontexten ohne offensichtlichen Zusammenhang mit oder Relevanz für die Bewertung von Betrug erhoben oder abgeleitet werden, wie zB ein Ehepartner mit einer bestimmten Staatsangehörigkeit oder ethnischen Herkunft, der Besitz eines Internetanschlusses, das Verhalten auf sozialen Plattformen oder die Leistung am Arbeitsplatz etc.
* Die Nutzung eines KI-Systems durch eine öffentliche Stelle, um für die Früherkennung gefährdeter Kinder anhand von Kriterien wie der psychischen Gesundheit und Arbeitslosigkeit der Eltern, aber auch anhand von aus verschiedenen Kontexten abgeleiteten Informationen über das soziale Verhalten der Eltern Familienprofile zu erstellen. Auf der Grundlage der erzielten Bewertung werden Familien für Kontrollen ausgewählt und als „gefährdet“ geltende Kinder werden aus ihren Familien genommen, unter anderem auch in Fällen geringfügiger Übertretungen seitens der Eltern, wie zB gelegentlich verpasste Arzttermine oder verhängte Verkehrsstrafen.
* Eine Regierung führt ein umfassendes KI-gestütztes System ein, das die Bürgerinnen und Bürger auf der Grundlage ihres Verhaltens in verschiedenen Lebensbereichen wie sozialen Interaktionen, Online-Aktivitäten, Kaufgewohnheiten und Pünktlichkeit bei der Begleichung von Rechnungen überwacht und einstuft. Menschen mit einer niedrigeren Bewertung müssen damit rechnen, dass sie eingeschränkten Zugang zu öffentlichen Dienstleistungen erhalten, höhere Zinsen auf Kredite zahlen und auf Reisen und bei der Suche nach einer Wohnung oder sogar einem Arbeitsplatz Schwierigkeiten haben.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 166 ff. </ref>
|
* KI-Systeme zur Bonitätsprüfung natürlicher Personen auf Basis persönlicher Merkmale wie dem Einkommen vor Vergabe eines Kredits.
* KI-basierte Erhebung von Geschwindigkeitsüberschreitungen oder hochriskantem Fahrverhalten, die zur Erhöhung der KFZ-Versicherungsprämien führen.
* KI-gestützte gezielte kommerzielle Werbung fällt nicht in den Anwendungsbereich, wenn sie auf relevanten Daten (z. B. Nutzerpräferenzen) beruht, im Einklang mit den Rechtsvorschriften der Union über Verbraucherschutz, Datenschutz und digitale Dienste erfolgt und nicht zu einer Schlechterstellung oder Benachteiligung führt, die in keinem angemessenen Verhältnis zur Tragweite des sozialen Verhaltens des Nutzers steht (z. B. ausbeuterische und unfaire differenzierte Preisgestaltung).<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 177.</ref>
|Art 5 Abs 1 lit c
|-
|'''Bewertung des Risikos, dass eine Person eine Straftat''' begeht (ausschließlich aufgrund von Profiling)
|Eine Polizeidienststelle verwendet KI-gestützte Risikobewertungsinstrumente, um das Risiko zu bewerten, dass kleine Kinder und Jugendliche an „künftigen Gewalttaten und Eigentumsdelikten“ beteiligt sein werden. Das System bewertet Kinder auf der Grundlage ihrer Beziehungen zu anderen Menschen und deren vermeintlichen Risikoniveaus, dh es wird eventuell davon ausgegangen, dass bei Kindern ein höheres Risiko für die Begehung von Straftaten besteht, einfach weil sie mit einer anderen Person wie einem Geschwisterkind oder einem Freund verbunden sind, bei der eine hohe Risikobewertung vorliegt. Das Risikoniveau der Eltern kann sich ebenfalls auf das Risikoniveau eines Kindes auswirken.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 202.</ref>
|
* Standortbezogene oder geodatenbasierte Vorhersagen oder ortsbezogene Verbrechensvorhersagen (zB KI-System zur Berechnung der Kriminalitätswahrscheinlichkeit in bestimmten Stadtgebieten oder von Schmuggelrouten)
* KI-Systeme zur Unterstützung der durch Menschen durchgeführten Bewertung, die sich auf objektive und überprüfbare Tatsachen stützt, die in Zusammenhang mit einer kriminellen Aktivität stehen (zB Profiling zur Vorhersage gefährlichen Verhaltens in einer Menschenmenge, KI-basiertes Profiling von Personen, gegen die bereits ein Verdacht besteht, der auf mehreren überprüfbaren, objektiven Tatsachen beruht).
* KI-basiertes Profiling in Bezug auf juristische Personen
* KI-Systeme zur individuellen Vorhersage von Ordnungswidrigkeiten (zB Bagatellverkehrsdelikte)<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 212 ff.</ref>
|Art 5 Abs 1 lit d
|-
|Erstellung/Erweiterung von '''Datenbanken''' zur Gesichtserkennung durch '''ungezieltes Auslesen von Gesichtsbildern'''
|Ein Unternehmen für Gesichtserkennungssoftware sammelt Bilder von Gesichtern, die mit einem „automatisierten Bildausleser“, der das Internet durchsucht und Bilder mit menschlichen Gesichtern erkennt, aus sozialen Medien (zB Facebook, X) ausgelesen wurden. Der Bildausleser sammelt diese Bilder mit allen damit verbundenen Informationen (wie der Quelle des Bildes (URL), der Geolokalisierung und manchmal den Namen der einzelnen Personen). Die Gesichtsmerkmale werden dann aus den Bildern extrahiert und in mathematische Darstellungen umgewandelt, die für die Indexierung und den künftigen Vergleich mit Hashtags versehen werden. Wenn ein Nutzer das Bild einer Person in das KI-System hochlädt, wird dieses System bestimmen, ob dieses Bild mit einem Gesicht in der Datenbank übereinstimmt.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 232.</ref>
|
* Das ungezielte Auslesen anderer biometrischer Daten als Gesichtsbilder (zB Stimmaufnahmen)
* Gesichtsbilddatenbanken, die nicht für die Erkennung von Personen verwendet werden
* KI-Systeme, die Gesichtsbilder aus dem Internet sammeln, um KI-Modelle zur Erzeugung neuer Bilder fiktiver Personen zu entwickeln
|Art 5 Abs 1 lit e
|-
|'''Emotionserkennungssysteme''' am Arbeitsplatz oder in Bildungseinrichtungen
|
* Ein KI-System, das beispielsweise aus Gesten, Stirnrunzeln oder fehlendem Lächeln ableitet, dass ein Mitarbeiter unglücklich, traurig oder gegenüber den Kunden wütend ist
* Systeme, die aus Stimmführung oder Körpersprache ableiten, dass ein Schüler zornig und im Begriff ist, gewalttätig zu werden
* Ein KI-System, das Emotionen aus Tastenanschlägen (Art des Tippens), Gesichtsausdrücken, Körperhaltungen oder Bewegungen ableitet, beruht auf biometrischen Daten und fällt in den Anwendungsbereich des Verbots
* KI-Systeme, die den emotionalen Ton in hybriden Arbeitsteams überwachen, indem sie Emotionen aus Stimm- und Bildaufnahmen hybrider Videokonferenzen erkennen und ableiten, was in Regel der Förderung des sozialen Bewusstseins, des Managements emotionaler Dynamik und der Konfliktverhütung dienen würde
* Die Nutzung eines KI-Systems bei Online-Prüfungen zur Erkennung von Emotionen wie Erregungs- und Angstzustände
* Emotionserkennung zur Bewertung des Wohlbefindens, des Motivationsniveaus und der Arbeits- oder Lernzufriedenheit von Studierenden oder Arbeitnehmern.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 249 ff.</ref>
|
* Der Einsatz von KI-Erkennungssystemen, um auf die Ermüdung eines Berufspiloten oder -fahrers zu schließen, ihn zu warnen und ihm zu empfehlen, zur Vermeidung von Unfällen Pausen einzulegen, da Emotionserkennung keine physischen Zustände wie Schmerzen oder Ermüdung einschließt
* Ein KI-System, das aus schriftlichen Texten (Analysen von Inhalt und Stimmung) Emotionen ableitet, um den Stil oder den Ton eines bestimmten Artikels zu bestimmen, beruht nicht auf biometrischen Daten und fällt daher nicht in den Anwendungsbereich des Verbots
* Werden Emotionserkennungssysteme nur zu persönlichen Schulungszwecken eingesetzt, sind sie zulässig, sofern die Ergebnisse nicht Personen mit Personalverantwortung zur Verfügung gestellt werden und keine Auswirkungen auf das Arbeitsverhältnis haben
* Die durch eine Bildungseinrichtung erfolgende Verwendung einer KI-gestützten Software zur Verfolgung der Augenbewegungen bei Online-Prüfungen Studierender, um den Fixierungspunkt und die Bewegung der Augen zu verfolgen (um beispielsweise zu erkennen, ob unerlaubtes Material verwendet wird), ist nicht verboten, da das System Emotionen weder erkennt noch ableitet
* Emotionserkennung aus medizinischen Gründen zur Unterstützung von Arbeitnehmern oder Studierenden mit Autismus und zur Verbesserung der Barrierefreiheit für blinde oder gehörlose Menschen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 249 ff.</ref>
|Art 5 Abs 1 lit f
|-
|'''Biometrische Kategorisierung,''' Ableitung von sensiblen Daten (religiöse Weltanschauung, politische Einstellung)
|
* Ein KI-System, das Personen, die auf einer Plattform sozialer Medien aktiv sind, nach ihrer angenommenen politischen Ausrichtung kategorisiert, indem es die biometrischen Daten der von ihnen auf die Plattform hochgeladenen Fotos analysiert, um ihnen gezielte politische Nachrichten zu übermitteln
* ein System zur biometrischen Kategorisierung, das für sich in Anspruch nimmt, die religiöse Ausrichtung einer Person aus ihren Tätowierungen oder ihrem Gesicht ableiten zu können.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 280 ff.</ref>
|
* KI-Systeme, die mit der Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze, auch zu Strafverfolgungszwecken, befasst sind (zB bei Verdacht auf Darstellungen sexuellen Kindesmissbrauchs)
* die Kategorisierung von Patienten, bei der Bilder nach ihrer Haut- oder Augenfarbe verwendet werden, für medizinische Diagnosen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 284 ff.</ref>
|Art 5 Abs 1 lit g
|-
|'''Biometrische Echtzeit-Fernidentifizierungssysteme''' in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (zahlreiche Ausnahmen)
|
* Die polizeiliche Verwendung von Systemen zur biometrischen Echtzeit-Fernidentifizierung zu dem Zweck, Ladendiebe zu identifizieren und ihre Gesichtsbilder mit Kriminaldatenbanken zu vergleichen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 328.</ref>
|
* Die Nutzung von Echtzeit-Gesichtserkennungstechniken durch die Polizei nach einem schweren Terroranschlag auf einen Weihnachtsmarkt mit zwölf Toten, um den Täter zu identifizieren und festzustellen, wohin er flieht. In diesem Zusammenhang nutzen sie auch die Echtzeit-Gesichtserkennungstechnik des nahe gelegenen Bahnhofs und der Zielbahnhöfe der Züge, die kurz nach dem Angriff von dort abgehen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 354.</ref>
|Art 5 Abs 1 lit h
|}
*

 
Einige dieser Praktiken sind darüber hinaus bereits nach anderen Rechtsvorschriften verboten, so beispielsweise gewisse manipulative und täuschende Techniken als "dark patterns" nach dem [[Digital Services Act (DSA)|Digital Services Act]] (gilt nur für bestimmte Plattform-Anbieter) oder die Verarbeitung biometrischer Daten zur Identifizierung einer Person nach Art 9 Abs 1 DSGVO, sofern keine der in Abs 2 genannten Ausnahmen vorliegt. Gemäß der neuen Plattformarbeitsrichtlinie<ref>Richtlinie (EU) 2024/2831 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit, ABl L 11. 11. 2024.</ref>, die bis Dezember 2026 in nationales Recht umzusetzen ist, ist überdies der Einsatz von automatisierten Überwachungs- und Entscheidungssystemen zur Erfassung personenbezogener Daten über den emotionalen oder psychischen Zustand einer Person (Emotionserkennung) verboten.<ref>MwN ''Wendehorst'' in ''Martini/Wendehorst,'' KI-VO. Künstliche Intelligenz-Verordnung (2024) Art 5 Rz 104.</ref>

=== Hochrisiko-KI-Systeme (Art 6 AI Act) ===

==== Einstufung ====
Der AI Act klassifiziert Hochrisiko-KI-Systeme in Art 6. Dabei kennt er zwei Varianten dieser Systeme, die in der Literatur - nicht aber im AI Act selbst - als "eingebettete" und "eigenständige" Hochrisiko-KI-Systeme bezeichnet werden. <ref>MwN ''Martini'', § 4. Hochrisiko-KI-Systeme: Risikobasierter Ansatz, in ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023) 51 (61 ff).</ref>

Darüber hinaus enthält Art 6 Abs 3 AI Act Ausnahmen von der Einstufung als Hochrisiko-KI-System.

Nach Art 6 Abs 5 AI Act hat die Kommission nach Konsultation des Europäischen Gremiums für Künstliche Intelligenz spätestens bis zum 2. Februar 2026 '''Leitlinien''' zur praktischen Umsetzung und eine umfassende Liste praktischer Beispiele für Anwendungsfälle für KI-Systeme, die hochriskant oder nicht hochriskant sind, bereitzustellen.

===== "Eingebettete" Hochrisiko-KI-Systeme (embedded high-risk AI systems) (Art 6 Abs 1 AI Act) =====
Nach Art 6 Abs 1 AI Act gilt zunächst ein KI-System als Hochrisiko-KI-System, wenn die zwei folgenden Bedingungen erfüllt sind:
* das KI-System soll als Sicherheitsbauteil eines unter die in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden oder stellt selbst ein solches Produkt dar
* das Produkt, dessen Sicherheitsbauteil das KI-System ist, oder das KI-System selbst als Produkt muss im Rahmen dieser Harmonisierungsrechtsvorschriften einer Konformitätsbewertung durch Dritte unterzogen werden

Anhang I, Abschnitt A nennt dabei zwölf solche Harmonisierungsrechtsvorschriften (bezogen auf Maschinen, Spielzeug, Sportboote und Wassermotorräder, Aufzüge, Geräte und Schutzsysteme in explosionsgefährdeten Bereichen, Funkanlagen, Druckgeräte, Seilbahnen, persönliche Schutzausrüstungen, Geräte zur Verbrennung gasförmiger Brennstoffe, Medizinprodukte, In-vitro-Diagnostika).

Um diese Einstufung als Hochrisiko-KI-System durch ein Beispiel zu illustrieren:
{| class="wikitable"
|+
!Beispiel
|-
|Software kann ein '''Medizinprodukt''' im Sinne der Medizinprodukteverordnung (MPVO) darstellen.<ref>MwN ''Schreitmüller'', Regulierung intelligenter Medizinprodukte. Eine Analyse unter besonderer Berücksichtigung der MPVO und DSGVO (2023).</ref>
Medizinprodukte ab Risikoklasse IIa, das heißt mittlerem Risiko (zB Diagnose oder Überwachung), unterliegen einer Konformitätsbewertung unter Einbeziehung einer "benannten Stelle", das heißt einer externen Konformitätsbewertungsstelle.
Software als Medizinprodukt erfüllt damit - sofern sie unter die KI-Definition subsumiert werden kann - häufig beide Bedingungen:

* einerseits kann sie ein Produkt bzw Sicherheitskomponente eines Produktes darstellen, das unter die MPVO fällt, die in Anhang I Abschnitt A genannt wird, und
* anderseits unterliegt sie im Rahmen der MPVO in fast allen Fällen einer Konformitätsbewertung unter Einbeziehung einer Konformitätsbewertungsstelle, das heißt "Dritter" (mit Ausnahme eines Medizinproduktes der Klasse I).
Software als Medizinprodukt fällt somit gleichzeitig als Medizinprodukt unter die MPVO und, sofern die Software den KI-Begriff erfüllt, als Hochrisiko-KI-System unter den AI Act.
|}

===== "Eigenständige" Hochrisiko-KI-Systeme (stand-alone high-risk AI systems) (Art 6 Abs 2 AI Act) =====
Die zweite Variante von "eigenständigen" Hochrisiko-KI-Systemen wird durch Art 6 Abs 2 AI Act definiert, der dabei auf Anhang III verwiest. Dieser enthält acht Bereiche, untergliedert in konkretere Anwendungsfelder, die ebenfalls als hochriskant gelten: bspw biometrische Identifizierung, kritische Infrastrukturen, grundlegende öffentliche und private Dienste/Leistungen, Strafverfolgung, Migration, Asyl und Grenzkontrolle, Justiz und demokratische Prozesse.

Diese Liste kann dabei mittels delegierter Rechtsakte der Kommission geändert werten (Art 7 AI Act).

===== Ausnahmen (Art 6 Abs 3 AI Act) =====
Art 6 Abs 3 AI Act enthält als Abweichung '''Ausnahmen''' von der Einstufung als "eigenständiges" Hochrisiko-KI-System. Die Ausnahmen greifen dann, wenn sich zeigt, dass ein in Anhang III genanntes System kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis einer Entscheidungsfindung, an der das System beteiligt ist, wesentlich beeinflusst.

Art 6 Abs 3 2. UAbs enthält dabei vier alternative Bedingungen, die die genannten Kriterien erfüllen. ErwGr 53 liefert konkretisierende Beispiele. Ein KI-System gilt somit als nicht hochriskant, wenn
# es dazu bestimmt ist, eine eng gefasste Verfahrensaufgabe durchzuführen (bspw ein KI-System, das unstrukturierte Daten in strukturierte Daten umwandelt)
# es dazu bestimmt ist, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern (bspw KI-Systeme, deren Ziel es ist, die in zuvor verfassten Dokumenten verwendete Sprache zu verbessern, etwa den professionellen Ton, den wissenschaftlichen Sprachstil oder um den Text an einen bestimmten mit einer Marke verbundenen Stil anzupassen)
# es dazu bestimmt ist, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu gedacht ist, die zuvor abgeschlossene menschliche Bewertung ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen (bspw KI-Systeme, die in Bezug auf ein bestimmtes Benotungsmuster eines Lehrers dazu verwendet werden können, nachträglich zu prüfen, ob der Lehrer möglicherweise von dem Benotungsmuster abgewichen ist, um so auf mögliche Unstimmigkeiten oder Unregelmäßigkeiten aufmerksam zu machen)
# es dazu bestimmt ist, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist (bspw intelligente Lösungen für die Bearbeitung von Dossiers, wozu verschiedene Funktionen wie Indexierung, Suche, Text- und Sprachverarbeitung oder Verknüpfung von Daten mit anderen Datenquellen gehören)

Art 6 Abs 3 AI Act enthält dabei auch eine '''Rückausnahme''', die einen Bezug zur DSGVO herstellt. Ein KI-System nach Anhang III gilt "immer dann als hochriskant, wenn es ein Profiling natürlicher Personen vornimmt." Als Profiling gilt dabei iSd Art 4 Abs 4 DSGVO jede automatisierte Verarbeitung personenbezogener Daten, die darin besteht, bestimmte persönliche Aspekte einer Person zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten etc. zu analysieren oder vorherzusagen.

==== Anforderungen an Hochrisiko-KI-Systeme (Art 8-15 AI Act) ====
Die Europäische Kommission hat im Rahmen von Public Consultations unter anderem auch Rückmeldungen zu Anforderungen an Hochrisiko-KI-Systeme eingeholt, die eine Grundlage für Leitlinien bilden sollen, welche im Februar 2026 veröffentlicht werden sollen.<ref>European Commission, Commission launches public consultation on high-risk AI systems, https://digital-strategy.ec.europa.eu/en/news/commission-launches-public-consultation-high-risk-ai-systems (Stand 6.6.2025).</ref> Hochrisiko-KI-Systeme müssen einer Reihe von Anforderungen genügen, die in einem sog Konformitätsbewertungsverfahren geprüft werden, darunter:

===== Risikomanagementsystem (Art 9 AI Act) =====
Ein umfassendes Risikomanagementsystem muss eingerichtet, angewandt, dokumentiert und aufrechterhalten werden.

Dies umfasst die Ermittlung und Analyse von '''Risiken''', ihre Abschätzung und Bewertung sowie die Ergreifung von Risikomanagementmaßnahmen und die Abwägung der Maßnahmen mit dem Restrisiko.

Vorgesehen sind auch Testverfahren.

===== Daten und Daten-Governance (Art 10 AI Act) =====
Hochrisiko-KI-Systeme müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die gewissen '''Qualitätskriterien''' entsprechen.

So müssen die Datensätze neben Verfahren in Bezug auf konzeptionelle Entscheidungen, die Datenerhebung und Aufbereitung (hinreichend) '''relevant und so weit wie möglich repräsentativ, fehlerfrei und vollständig''' sein und Verzerrungen (Bias) müssen vermieden werden.

Merkmale/Elemente, die für '''besonderen geografischen, kontextuellen, verhaltensbezogenen oder funktionalen Rahmenbedingungen''' typisch sind, müssen berücksichtigt werden.

In Bezug auf '''Bias''' ist auch eine Regelung zur Verarbeitung von besonders sensiblen personenbezogenen Daten zur Erkennung und Korrektur enthalten, die mit der DSGVO interagiert (Art 10 Abs 5 AI Act).

===== Technische Dokumentation (Art 11 AI Act) =====
Als Basis der Konformitätsbewertung muss eine technische Dokumentation erstellt werden, bevor das Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wird. Diese ist stets auf dem neuesten Stand zu halten.

Aus ihr muss der '''Nachweis''' hervorgehen, wie das Hochrisiko-KI-System die Anforderungen der Art 8 bis 15 AI Act erfüllt.

Durch die Dokumentation sollen den zuständigen nationalen Behörden und den notifizierten Stellen alle Informationen zur Verfügung stehen, die erforderlich sind, um zu beurteilen, ob das KI-System diese Anforderungen erfüllt.

KMUs können diese Dokumentation in '''vereinfachter Weise''' bereitstellen.

===== Aufzeichnungspflichten (Art 12 AI Act) =====
Hochrisiko-KI-Systeme müssen mit Funktionsmerkmalen konzipiert und entwickelt werden, die eine '''automatische Aufzeichnung''' von Vorgängen und Ereignissen („Protokollierung“) während des Betriebs der Hochrisiko-KI-Systeme ermöglichen.

Die Protokollierung (zB von Situationen, die dazu führen können, dass das System ein Risiko birgt oder dass es zu einer wesentlichen Änderung kommt) gewährleistet, dass das Funktionieren des KI-Systems während seines gesamten Lebenszyklus '''rückverfolgbar''' ist.

===== Transparenz und Bereitstellung von Informationen für die Betreiber (Art 13 AI Act) =====
Hochrisiko-KI-Systeme werden so konzipiert und entwickelt, dass ihr Betrieb hinreichend '''transparent''' ist, damit die Nutzer die Ergebnisse des Systems angemessen '''interpretieren''' und verwenden können.

Auch müssen den Nutzern/Betreibern entsprechende '''Betriebsanleitungen''' (zB zu Merkmalen, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems) zur Verfügung gestellt werden.

===== Menschliche Aufsicht (Art 14 AI Act) =====
Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie während der Dauer der Verwendung des KI-Systems von natürlichen Personen '''wirksam beaufsichtigt''' werden können.

Dies dient der Verhinderung/Minimierung der Risiken für Gesundheit, Sicherheit oder Grundrechte und erfordert bspw die Möglichkeit die Fähigkeiten und Grenzen des KI-Systems angemessen und verstehen und seinen Betrieb zu überwachen, Maßnahmen gegen automation bias und die Option, das System nicht zu verwenden, seine Ausgabe außer Acht zu lassen oder in den Betrieb einzugreifen bzw ihn mit einer "Stopptaste" zu unterbrechen.

===== Genauigkeit, Robustheit und Cybersicherheit (Art 15 AI Act) =====
Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie ein '''angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit''' erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus beständig funktionieren.

Dies umfasst somit Maßnahmen in Hinblick auf '''innere Fehlerquellen''' (Performanzmetriken für Genauigkeit, Widerstandsfähigkeit gegenüber Fehlern, Störungen, Unstimmigkeiten für Robustheit; Maßnahmen gegen Rückkopplungsschleifen), als auch '''Angriffe von Außen''' (Cybersicherheit).

==== Pflichten für Anbieter von Hochrisiko-KI-Systemen (Art 16-21 AI Act) ====
Anbieter von Hochrisiko-KI-Systemen müssen als wichtigste Pflichten ua (Art 16 AI Act):

* sicherstellen, dass diese Systemen die Anforderungen der Art 8-15 AI Act erfüllen
* damit verbunden sicherstellen, dass sie einem Konformitätsbewertungsverfahren unterzogen werden (resultierend in einer Konformitätserklärung und einer CE-Kennzeichnung)
* über ein Qualitätsmanagementsystem (Art 17 AI Act) verfügen (ua Konzept zur Einhaltung der Regulierungsvorschriften, Techniken, Verfahren und systematische Maßnahmen für die Entwicklung, Qualitätskontrolle und Qualitätssicherung des Hochrisiko-KI-Systems; Untersuchungs-, Test- und Validierungsverfahren; Systeme und Verfahren für das Datenmanagement)
* Dokumentation (Art 18 AI Act) und Protokolle (Art 19 AI Act) aufbewahren
* einer Registrierungspflicht nachkommen (Art 49 AI Act) und
* erforderliche Korrekturmaßnahmen ergreifen und Informationen bereitstellen (Art 20 AI Act)

==== Konformitätsbewertungsverfahren (Art 43 AI Act) ====
Zentrale Anbieterpflicht ist die Durchführung eines sog Konformitätsbewertungsverfahrens. In diesem Verfahren wird überprüft, ob das Hochrisiko-KI-System die Anforderungen nach Art 8-15 AI Act erfüllt (Art 3 Z 20 AI Act).

Dabei existieren zwei verschiedene Varianten dieses Verfahrens (Art 43 AI Act).

Diese unterscheiden sich primär darin, ob eine notifizierte Stelle, das heißt eine Stelle, die Konformitätsbewertungstätigkeiten einschließlich Prüfungen, Zertifizierungen und Inspektionen durchführt und dabei als Dritte auftritt und die nach dem AI Act "notifiziert" wurde (Art 3 Z 21, 22 AI Act). Die notifizierten Stellen finden sich in einer entsprechenden [https://webgate.ec.europa.eu/single-market-compliance-space/notified-bodies/notified-body-list?filter=countryId:40,notificationStatusId:1 Datenbank].

* '''interne Kontrolle''' (Anhang VI): Eigenzertifizierung, ohne Beiziehung einer notifizierten Stelle (vorgesehen für eigenständige Hochrisiko-KI-Systeme mit Ausnahme des Bereiches Biometrie)
* '''Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Dokumentation''' unter Beteiligung einer notifizierten Stelle (Anhang VII) (primär vorgesehen für eingebettete Hochrisiko-KI-Systeme)

Bei eingebetteten Hochrisiko-KI-Systemen ist vorgesehen, dass die nach dem Harmonisierungsrechtsakt einschlägige Konformitätsbewertung (zB nach Medizinprodukteverordnung) durchgeführt wird und die Aspekte des AI Act in dieses Verfahren einbezogen werden (Art 43 Abs 3 AI Act). Ein solches "kombiniertes" Verfahren kann für einer notifizierten Stelle durchgeführt werden, sofern diese die notwendige Expertise, etc aufweist.

Bei wesentlichen Änderungen des Systems ist eine erneute Durchführung notwendig. Dies gilt für Systeme, die im Betrieb weiterlernen, nicht für vorab durch den Anbieter festgelegte Änderungen des Systems und seiner Leistung (Art 43 Abs 4 AI Act).

Der Anbieter hat daraufhin eine '''EU-Konformitätserklärung''' (Art 47 AI Act) auszustellen, eine '''CE-Kennzeichnung''' (Art 48 AI Act) anzubringen und das (selbständige) Hochrisiko-KI-System in einer Datenbank zu '''registrieren''' (Art 49 AI Act).

==== Pflichten für Betreiber von Hochrisiko-KI-Systemen ====

===== Betreiberpflichten nach Art 26 AI Act =====
Betreiber von Hochrisiko-KI-Systemen unterliegen im Vergleich zu Anbietern nur eingeschränkten Pflichten. Sie müssen ua

* geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass sie KI-Systeme '''entsprechend den beigefügten Betriebsanleitungen verwenden'''
* die '''menschliche Aufsicht''' an natürliche Personen übertragen, die über die erforderliche Kompetenz, Ausbildung und Befugnis ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#KI-Kompetenz/AI_literacy_(Art_4_AI_Act) "KI-Kompetenz"] nach Art 4<ref>Vgl ''Wendt'' in ''Wendt/Wendt,'' Das neue Recht der Künstlichen Intelligenz2 (2025) § 7 Pflichten bei Hochrisiko-KI-Systemen Rz 40. </ref>) verfügen und ihnen die erforderliche Unterstützung zukommen lassen.
* soweit die '''Eingabedaten''' ihrer Kontrolle unterliegen dafür sorgen, dass diese der Zweckbestimmung des Hochrisiko-KI-Systems entsprechend und ausreichend repräsentativ sind
*den Betrieb des Hochrisiko-KI-Systems anhand der Betriebsanleitung '''überwachen''' und gegebenenfalls Anbieter iSv Art 72 AI Act '''informieren'''. Besteht Grund zur Annahme, dass die Verwendung gemäß der Betriebsanleitung dazu führen kann, dass dieses Hochrisiko-KI-System ein Risiko im Sinne des Art 79 Abs 1 AI Act birgt, so informieren Betreiber unverzüglich den Anbieter oder Händler und die zuständige Marktüberwachungsbehörde und setzen die Verwendung dieses Systems aus. Ähnliches gilt bei Feststellung eines schwerwiegenden Vorfalls.
*Aufbewahrung von automatisiert erzeugten '''Protokollen''' für einen Zeitraum von zumindest 6 Monaten (wobei hier entgegenstehende datenschutzrechtliche Regelungen vorgehen würden<ref>Vgl ''Wendt'' in ''Wendt/Wendt,'' Das neue Recht der Künstlichen Intelligenz2 (2025) § 7 Pflichten bei Hochrisiko-KI-Systemen Rz 42.</ref>)
*'''Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer''', vor Verwendung oder Inbetriebnahme des Hochrisiko-KI-Systems am Arbeitsplatz. Dies umfasst sowohl den Einsatz von "eingebetteten" als auch "eigenständigen" Hochrisiko-KI-Systemen. Weiters sind die Mitwirkungspflichten des Betriebsrats zu berücksichtigen (vgl §§ 96 f ArbVG). Nicht umfasst sind wahrscheinlich Informationspflichten gegenüber Bewerbern, da diese tendenziell nicht unter den von dieser Bestimmung geforderten "Arbeitnehmer-Begriff" fallen.
*'''Information an natürliche Personen''', dass sie der Verwendung eines Hochrisiko-KI-Systems unterliegen, wenn das Hochrisiko-KI-Systeme natürliche Personen betreffende Entscheidungen trifft oder bei solchen Entscheidungen Unterstützung leistet. Diese Bestimmung gilt lediglich für den Einsatz von "eigenständigen" Hochrisiko-KI-Systemen nach Art 6 Abs 2 iVm Anhang III.Die danach mitzuteilende Information sollte die Zweckbestimmung und die Art der getroffenen Entscheidung beinhalten (vgl ErwGr 93) sowie - nach einer hier vertretenen Auffassung - eine vorab Information über das Recht auf Erklärung nach Art 86 AI Act, welches von KI-Entscheidungen Betroffenen das Recht zugesteht, unter gewissen Voraussetzungen vom Betreiber eine klare und aussagekräftige Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess sowie zu den wichtigsten Elementen der getroffenen Entscheidung zu erhalten.<ref>Siehe die entsprechende Argumentationslinie im Detail: ''Research Institute'', Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025) 100 ff, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf. </ref>

===== Grundrechte-Folgenabschätzung (Art 27 AI Act) =====
Als Gegenstück zum Risikomanagement (Art 9 AI Act), das Anbieter von Hochrisiko-KI-Systemen betrifft, müssen gewisse Betreiber<ref>Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, handelt, und Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III Nummer 5 Buchstaben b [Kreditwürdigkeitsprüfung und Bonitätsbewertung] und c [Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen]. Eine Ausnahme besteht wiederum im Bereich der kritischen Infrastruktur (Anhang III Nummer 2).</ref> von Hochrisiko-KI-Systemen vor der ersten Verwendung eine Abschätzung der Risiken auf Grundrechte durchführen (Art 27 Abs 1 AI Act).<ref>MwN ''Müller/Schneeberger'', Menschenrechtsfolgenabschätzungen im Artificial Intelligence Act, juridikum 2024, 265.</ref>

Die Abschätzung umfasst dabei

* eine Beschreibung der Verfahren, bei denen das Hochrisiko-KI-System verwendet wird
* eine Beschreibung des Zeitraums und der Häufigkeit der Verwendung
* die Kategorien der natürlichen Personen und Personengruppen, die von seiner Verwendung betroffen sein könnten
* die spezifischen Schadensrisiken, die sich auf die ermittelten Kategorien natürlicher Personen oder Personengruppen auswirken könnten
* eine Beschreibung der Umsetzung von Maßnahmen der menschlichen Aufsicht
* die Maßnahmen, die im Falle des Eintretens dieser Risiken zu ergreifen sind.

Das KI-Büro wird dabei ein Muster für einen Fragebogen entwickeln, um dieser Pflicht in vereinfachter Weise nachkommen zu können (Art 27 Abs 5 AI Act).

Art 27 Abs 4 macht überdies die Verzahnung der Grundrechte-Folgenabschätzung (GRFA) mit anderen Folgenabschätzungen deutlich und schreibt bspw vor, dass bei Vorliegen einer Datenschutz-Folgenabschätzung nach Art 35 DSGVO die GRFA diese ergänzen bzw in diese integriert werden solle.<ref>Vgl ''Piltz/Zwerschke'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 27 Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme Rz 32.</ref>

Sowohl die Verpflichtungen nach Art 26 als auch die Durchführung einer GRFA nach Art 27 treffen den Betreiber unabhängig davon, ob jemand (bspw Betroffene) deren Einhaltung einfordern. Im Unterschied dazu enthält der AI Act in den Artt 85 ff sog "Betroffenenrechte", die aktiv von betroffenen Personen geltend zu machen sind. Dazu zählt insbesondere das [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung_der_Entscheidungsfindung_im_Einzelfall_(Art_86_AI_Act) Recht auf Erklärung nach Art 86], welches das einzige Betroffenenrecht darstellt, das direkt gegen den Betreiber durchsetzbar ist.

==== Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act) ====
[[Datei:KI-Servicestelle bei der RTR, Rollenverteilung Hochrisiko-KI-Systeme.svg|links|mini|Übersicht über die Rollenverteilung und mögliche Rollenwechsel von Betreiber zu Anbieter bei Hochrisiko-KI-Systemen. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html.]]

Die Einstufung als Betreiber oder Anbieter ist dabei nicht statistisch, wie Art 25 AI Act zeigt. Dieser normiert Fälle, in denen Betreiber (und Händler, Einführer oder sonstige Dritte) als Anbieter eines Hochrisiko-KI-Systems gelten und damit auch den Anbieterpflichten (Art 16 AI Act) unterliegen.

Ein solcher "Rollenwechsel" findet in folgenden Konstellationen statt (Art 25 Abs 1 AI Act):

* wenn die genannten Personen ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System '''mit ihrem Namen oder ihrer Handelsmarke versehen''', unbeschadet vertraglicher Vereinbarungen, die eine andere Aufteilung der Pflichten vorsehen;
* wenn sie eine '''wesentliche Veränderung''' eines Hochrisiko-KI-Systems, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, so vornehmen, dass es weiterhin ein Hochrisiko-KI-System gemäß Art 6 AI Act bleibt;
* wenn sie die '''Zweckbestimmung eines KI-Systems''', das ''nicht'' als hochriskant eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so '''verändern''', dass das betreffende KI-System zu einem Hochrisiko-KI-System im Sinne von Art 6 AI Act wird.

In diesen Szenarien gilt der ursprüngliche Anbieter (Erstanbieter) nicht mehr als Anbieter dieses spezifischen KI-Systems (Art 25 Abs 2 AI Act). Der Erstanbieter hat jedoch mit dem neuen Anbieter zusammenzuarbeiten, insb Informationen zur Verfügung zu stellen, für technischen Zugang und sonstige Unterstützung zu sorgen.<ref>Diese Pflicht zur Übergabe der Dokumentation gilt nicht, wenn der Anbieter festgelegt hat, dass sein KI-System nicht in ein Hochrisiko-KI-System umgewandelt werden darf.</ref>

{| class="wikitable"
|+
!Hinweis:
|-
|Aufgrund von Art 25 AI Act muss beachtet werden, dass die Rollenverteilung eine dynamische und nicht statische ist. So könnte zB ein Betreiber eines Large Language Models, der dieses zur Generierung von medizinischen Diagnosen verwendet, wenn diese Verwendung entgegen der Zweckbestimmung des (ursprünglichen) Anbieters erfolgt, durch diese Verwendung zum neuen Anbieter werden und auch dessen Pflichten übernehmen. Auch ein Zusammentreffen der Rolle von Anbieter und Betreiber in einem Akteur ist möglich.
|}
=== Transparenzpflichten (Art 50 AI Act) ===
Unabhängig von der Risikoeinstufung eines KI-Systems sieht Art 50 AI Act Transparenzpflichten für gewisse KI-Systeme vor. Die Informationen müssen spätestens zum Zeitpunkt der ersten Interaktion oder Aussetzung in klarer und eindeutiger Weise bereitgestellt werden sowie den Anforderungen an die Barrierefreiheit genügen.

* Anbieter haben bei KI-Systemen, die für die direkte '''Interaktion mit natürlichen Personen''' bestimmt sind (zB Chatbots, Sprachassistenten, Social Bots), sicherzustellen, dass diese so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI-System interagieren.<ref>Eine solche Kennzeichnung ist nicht notwendig, wenn es aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist, dass mit einem KI-System interagiert wird. Diese Pflicht gilt ebenfalls nicht für gesetzlich zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten zugelassene KI-Systeme, wenn geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen, es sei denn, diese Systeme stehen der Öffentlichkeit zur Anzeige einer Straftat zur Verfügung.</ref> Diese Pflicht kann entfallen, wenn die Interaktion mit dem KI-System aus Sicht einer angemessen informierten, aufmerksamen und verständigen Person offensichtlich ist oder beim Einsatz von KI-Systemen, die für die Strafverfolgung zugelassen sind.<ref>Vgl ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 43.</ref>
{| class="wikitable"
|+
*
!Beispiele<ref>Vgl ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 40.</ref>
|-
|'''Chatbots''' können durch einen textlichen Hinweis zu Beginn des Gesprächs oder ein dauerhaft angezeigtes grafisches Symbol vorgestellt werden.
Bei '''Voicebots''' kommt eine der Interaktion vorausgehende Ansage, welche auf den KI-Einsatz hinweist, in Betracht.

'''Social Bots''' können eine Information vor und mit jeder Interaktion des Bots in sozialen Netzwerken erfordern, da das System stets mit einem neuen Personenkreis in Interaktion tritt (zB AI-Influencer).
|}
* Anbieter von KI-Systemen die '''synthetische Audio-, Bild-, Video- oder Textinhalte''' erzeugen, müssen sicherstellen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind.<ref>Diese Pflicht gilt nicht, soweit die KI-Systeme eine unterstützende Funktion für die Standardbearbeitung ausführen oder die vom Betreiber bereitgestellten Eingabedaten oder deren Semantik nicht wesentlich verändern oder wenn sie zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen sind.</ref> Mögliche Methoden wären bspw Wasserzeichen, Metadatenidentifizierungen, Kryptografische Methoden (zB "Hashing"), Protokollierungsmethoden oder Fingerabdrücke.<ref>Vgl ErwGr 133 Satz 4 sowie mwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 84 ff.</ref> Die Kommission hat dazu am 17. Dezember 2025 einen ersten [https://ec.europa.eu/newsroom/dae/redirection/document/123074 Entwurf eines Verhaltenskodex für die Kennzeichnung von KI-generierten Inhalten] veröffentlicht.<ref>Nähere Informationen unter: https://digital-strategy.ec.europa.eu/de/policies/code-practice-ai-generated-content.</ref>
* Betreiber eines '''Emotionserkennungssystems''' oder eines Systems zur '''biometrischen Kategorisierung''' müssen die davon betroffenen natürlichen Personen über den Betrieb des Systems informieren und personenbezogene Daten datenschutzkonform<ref>Dabei wird explizit auf die DSGVO, die VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG und die RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates verwiesen.</ref> verarbeiten.<ref>Diese Pflicht gilt nicht für gesetzlich zur Aufdeckung, Verhütung oder Ermittlung von Straftaten zugelassene KI-Systeme, die zur biometrischen Kategorisierung und Emotionserkennung im Einklang mit dem Unionsrecht verwendet werden, sofern geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen.</ref>
* Betreiber eines KI-Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein '''Deepfake''' sind, müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.<ref>Diese Pflicht gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist. Ist der Inhalt Teil eines offensichtlich künstlerischen, kreativen, satirischen, fiktionalen oder analogen Werks oder Programms, so beschränken sich die Transparenzpflichten darauf, das Vorhandensein solcher erzeugten oder manipulierten Inhalte in geeigneter Weise offenzulegen, die die Darstellung oder den Genuss des Werks nicht beeinträchtigt.</ref> Denkbar ist bspw eine Umsetzung in Form eines sichtbaren Wasserzeichens, eines textlichen Hinweises, durch Hinzufügen von sog C2PA-Content Credentials<ref>Die C2PA („Coalition forContent Provenanceand Authenticity“) ist ein branchenübergreifendes Non-profit-Projekt, das die Entwicklung gemeinsamer technischer Standards zur Ermittlung der Herkunft von digitalen Inhalten zum Ziel hat. Siehe dazu https://c2pa.org/. So hat sich bspw LinkedIn bei der Erkennung KI-generierter Inhalte diesen Standards unterworfen: https://www.linkedin.com/help/linkedin/answer/a6282984. MwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 150.</ref> oder bei Audioinhalten durch eine Ansage zu Beginn des Audioinhalts.<ref>''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 148 ff. </ref>
* Betreiber eines KI-Systems, das '''Text erzeugt oder manipuliert, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren''', müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde.<ref>Diese Pflicht gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist oder wenn die durch KI erzeugten Inhalte einem Verfahren der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und wenn eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt.</ref> Diese Verpflichtung entfällt, wenn die betreffenden Inhalte vor ihrer Veröffentlichung einer menschlichen oder redaktionellen Kontrolle unterzogen wurden und eine Person die redaktionelle Verantwortung dafür trägt. Da die Anforderungen an die menschliche bzw redaktionelle Kontrolle nicht konkretisiert werden, unterwerfen sich bspw im journalistischen Bereich zahlreiche Medien freiwilligen Leitlinien (so etwa die [https://www.blm.de/files/pdf2/ki-leitlinien.pdf Leitlinien des Medienrats der Bayerischen Landeszentrale für neue Medien (BLM) zum Einsatz von Künstlicher Intelligenz im Journalismus]).<ref>MwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 163 f.</ref>

=== KI-Systeme mit minimalem Risiko ===
Für KI-Systeme, die sich nicht unter die aufgezählten Bestimmungen (verbotene Praktiken, Hochrisiko-KI-Systeme, Transparenzpflichten) einteilen lassen, teilweise als "KI-Systeme mit minimalem Risiko" bezeichnet, sieht der AI Act keine zusätzlichen Pflichten vor. Andere nationale oder unionsrechtliche Vorschriften wie die DSGVO können dennoch auf diese Systeme anwendbar sein. Auf freiwilliger Ebene ist jedoch auch bei Systemen, die kein hohes Risiko bergen, eine (teilweise) Unterwerfung unter den AI Act möglich. Dies soll durch die Aufstellung von sog "Verhaltenskodizes" gefördert werden (Art 95 AI Act).

=== GPAI-Modelle (Art 51 ff AI Act) ===
Als Reaktion auf den sprunghaften Durchbruch generativer KI-Modelle, die für viele verschiedene Zwecke eingesetzt werden können, in den Jahren 2022 und 2023 wurden unter Durchbrechung des bisherigen zweck- und risikoorientierten Regelungsansatzes im Entwurfsstadium des AI Act nachträglich Regeln für solche Modelle eingefügt. Diese sind seit 2. August 2025 in Geltung. Ein GPAI-Modell (in früheren Entwurfsfassungen foundation model/Basismodell) ist dabei in Art 3 Z 63 AI Act definiert als ein KI-Modell, das

* das eine erhebliche allgemeine Verwendbarkeit aufweist,
* in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und
* das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann.

In den von der EU-Kommission im Juli 2025 veröffentlichten Leitlinien zu GPAI-Modellen werden eine kumulierte Menge der für das Training verwendeten Berechnungen gemessen in Gleitkommaoperationen (floating point operations [FLOPs]),<ref>Definiert als "jede Rechenoperation oder jede Zuweisung mit Gleitkommazahlen, bei denen es sich um eine Teilmenge der reellen Zahlen handelt, die auf Computern typischerweise durch das Produkt aus einer ganzen Zahl mit fester Genauigkeit und einer festen Basis mit ganzzahligem Exponenten dargestellt wird (Art 3 Z 67 AI Act). Grafisch dargestellt in ''RTR'', FLOPs und der AI Act, https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/2024-07-19_FLOPs-AIA-DE.svg.</ref> von mehr als 1023 und die Fähigkeit, geschriebene oder gesprochene Sprache (aber auch Bilder oder Videos aus Text) zu generieren, als Anhaltspunkte für das Vorliegen eines GPAI-Modells angegeben, es sei denn, das Modell erfüllt die oben angegebenen Kriterien der Allgemeinheit nicht (zB weil es spezifisch nur für die Transkription von Sprache in Text trainiert wurde).<ref>Leitlinien der Kommission zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, Rz 13 ff.</ref> Somit ist davon auszugehen, dass die üblichen [https://de.wikipedia.org/wiki/Large_Language_Model LLM]s, wie die GPT-Serie von OpenAI, die Gemini-Serie von Google oder die Claude-Serie von Anthropic als GPAI-Modelle im Sinne dieser Definition einzustufen sind.

Die Befugnisse für die '''Aufsicht, Ermittlung, Durchsetzung und Überwachung''' in Bezug auf Anbieter von GPAI-Modellen werden (ausschließlich) der Kommission zugewiesen und in den Art 88-94 AI Act abweichend geregelt.

==== Abgrenzung der Rollen entlang der Wertschöpfungskette ====
In Bezug auf GPAI-Modelle können (anknüpfend an die allgemeinen Rollendefinitionen des AI Act) folgende Rollen unterschieden werden:

# '''Anbieter (Providers) von GPAI-Modellen:''' Entwickeln ein GPAI-Modell oder lassen es entwickeln und bringen es ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr oder nehmen es unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb, sei es entgeltlich oder unentgeltlich (Art 3 Z 3 AI Act);<ref name=":3">Vgl Leitlinien der Kommission zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, Rz 72 ff.</ref> sie treffen primär die nachfolgend beschriebenen Pflichten.
# '''Nachgelagerte Modifizierer (Downstream Modifiers) von GPAI-Modellen''': Fine-tunen/modifizieren<ref>Vgl ErwGr 97 Satz 5.</ref> bestehende GPAI-Modelle anderer Anbieter; laut der Kommission ist nicht jeder Modifizierer dadurch gleich als Anbieter des modifizierten GPAI-Modells anzusehen, dies jedoch dann, wenn die Modifikation des GPAI-Modells zu einer wesentlichen Änderung der Universalität, der Leistungsfähigkeit oder des systemischen Risikos des GPAI-Modells führt, wobei als Indiz dafür gilt, dass die Anzahl der Berechnungen für die Modifikation ein Drittel jener für das Training des ursprünglichen GPAI-Modells übersteigt.<ref>Leitlinien der Kommission zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, Rz 60 ff.</ref>
# '''Nachgelagerte Anbieter (Downstream Providers) von KI-Systemen:''' Integrieren GPAI-Modelle in KI-Systeme; ein wesentlicher Zweck der Regulierung von GPAI-Modellen ist, dass nachgelagerte Anbieter, ein GPAI-Modell in ihr KI-System integrieren, Informationen über dieses Modell erhalten und darauf basierend ihren eigenen Verpflichtungen (nach den allgemeinen Regeln des AI Act für KI-Systeme) nachkommen zu können.
# '''Betreiber (Deployers):''' Verwenden ein KI-System im praktischen Einsatz.

==== Differenzierung: GPAI-Modelle ohne/mit systemischem Risiko (Art 51-52 AI Act) ====
Wie bereits in Bezug auf den Anwendungsbereich erläutert muss zwischen KI-Systemen und KI-Modellen unterschieden werden. Ein KI-Modell ist dabei nur ein Bestandteil eines KI-Systems, weitere Komponenten wie eine Nutzerschnittstelle sind erforderlich, damit ein Modell zu einem KI-System wird (ErwGr 97 AI Act). Bspw bietet ChatGPT eine Nutzerschnittstelle, um auf diverse dahinterstehende GPT-Modelle zurückzugreifen. Während KI-Systeme der Hauptgegenstand der Regulierung durch den AI Act sind (risikobasierten Ansatz), unterliegen auf Ebene der Modelle nur GPAI-Modelle einer direkten Regulierung (Art 51 ff AI Act).

Diese Regulierung unterscheidet zwischen GPAI-Modellen ohne und GPAI-Modellen mit systemischem Risiko. Ein solches '''systemisches Risiko''' liegt vor (Art 51 AI Act),

* wenn das Modell über "Fähigkeiten mit hohem Wirkungsgrad" verfügt, die mithilfe geeigneter technischer Instrumente und Methoden, einschließlich Indikatoren und Benchmarks, bewertet werden. Dies wird angenommen, wenn die kumulierte Menge der für sein Training verwendeten Berechnungen, mehr als 1025 FLOPs beträgt.<ref>Zur Berechnung dieser Maßzahl siehe Annex der Leitlinien der Kommission zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, Rz 117 ff.</ref> Liegen solche Fähigkeiten mit hohem Wirkungsgrad vor, hat der Anbieter die Kommission (unverzüglich) zu informieren (Art 52 AI Act). Oder
* wenn die Kommission in einer Entscheidung festgestellt hat, dass es über solche Fähigkeiten oder eine solche Wirkung verfügt (unter Einbeziehung der Kriterien in Anhang XIII bspw Anzahl der Parameter, Größe des Datensatzes, Multimodalität, etc).

==== Pflichten für Anbieter von GPAI-Modellen (Art 53 AI Act) ====
Anbieter von GPAI-Modellen (ohne systemisches Risiko) müssen (Art 53 Abs 1 AI Act):

# eine technische Dokumentation des Modells erstellen und aktualisieren (Mindestelemente in Anhang XI).<ref>Das heißt (soweit es anhand der Größe und des Risikoprofils des betreffenden Modells angemessen ist) erstens eine '''allgemeine Beschreibung des KI-Modells''' (bspw der Aufgaben, die das Modell erfüllen soll, sowie der Art und des Wesens der KI-Systeme, in die es integriert werden kann; die anwendbaren Regelungen der akzeptablen Nutzung; das Datum der Freigabe und die Vertriebsmethoden; die Architektur und die Anzahl der Parameter; die Modalität [zum Beispiel Text, Bild] und das Format der Ein- und Ausgaben; die Lizenz) und zweitens eine '''ausführliche Beschreibung der Elemente des Modells''' und relevante Informationen zum Entwicklungsverfahren (bspw die technischen Mittel [zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente], die für die Integration des KI-Modells mit allgemeinem Verwendungszweck in KI-Systeme erforderlich sind; die Entwurfsspezifikationen des Modells und des Trainingsverfahrens einschließlich Trainingsmethoden und -techniken, die wichtigsten Entwurfsentscheidungen mit den Gründen und getroffenen Annahmen; gegebenenfalls, was das Modell optimieren soll und welche Bedeutung den verschiedenen Parametern dabei zukommt; gegebenenfalls Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschließlich der Art und Herkunft der Daten und der Aufbereitungsmethoden [zum Beispiel Bereinigung, Filterung usw.], der Zahl der Datenpunkte, ihres Umfangs und ihrer Hauptmerkmale; gegebenenfalls die Art und Weise, wie die Daten erlangt und ausgewählt wurden, sowie alle anderen Maßnahmen zur Feststellung, ob Datenquellen ungeeignet sind, und Methoden zur Erkennung ermittelbarer Verzerrungen; die für das Trainieren des Modells verwendeten Rechenressourcen [zum Beispiel Anzahl der Gleitkommaoperationen], die Trainingszeit und andere relevante Einzelheiten im Zusammenhang mit dem Trainieren; bekannter oder geschätzter Energieverbrauch des Modells).</ref> Diese muss auf Anfrage Behörden zur Verfügung gestellt werden
# Informationen und die Dokumentation (Mindestelemente in Anhang XII)<ref>Das heißt erstens eine '''allgemeine Beschreibung des KI-Modells''' (bspw der Aufgaben, die das Modell erfüllen soll, sowie der Art und des Wesens der KI-Systeme, in die es integriert werden kann; die anwendbaren Regelungen der akzeptablen Nutzung; das Datum der Freigabe und die Vertriebsmethoden; gegebenenfalls wie das Modell mit Hardware oder Software interagiert, die nicht Teil des Modells selbst ist, oder wie es zu einer solchen Interaktion verwendet werden kann; gegebenenfalls die Versionen der einschlägigen Software im Zusammenhang mit der Verwendung des KI-Modells mit allgemeinem Verwendungszweck; die Architektur und die Anzahl der Parameter; die Modalität (zum Beispiel Text, Bild) und das Format der Ein- und Ausgaben; die Lizenz für das Modell) und zweitens eine '''Beschreibung der Bestandteile des Modells und seines Entwicklungsprozesses (bspw''' die technischen Mittel [zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente], die für die Integration des KI-Modells mit allgemeinem Verwendungszweck in KI-Systeme erforderlich sind; Modalität [zum Beispiel Text, Bild usw.] und Format der Ein- und Ausgaben und deren maximale Größe [zum Beispiel Länge des Kontextfensters usw.]; gegebenenfalls Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschließlich der Art und Herkunft der Daten und der Aufbereitungsmethoden.)</ref> erstellen und aktualisieren und sie Anbietern von KI-Systemen zur Verfügung stellen, die beabsichtigen, das KI-Modell mit allgemeinem Verwendungszweck in ihre KI-Systeme zu integrieren. Diese Informationen und die Dokumentation müssen die Anbieter von KI-Systemen in die Lage versetzen, die Fähigkeiten und Grenzen des KI-Modells mit allgemeinem Verwendungszweck gut zu verstehen und ihren Pflichten gemäß dem AI Act nachzukommen.
# eine Strategie zur Einhaltung des Urheberrechts der Union und damit zusammenhängender Rechte auch durch modernste Technologien, auf den Weg bringen
# eine hinreichend detaillierte Zusammenfassung der für das Training des GPAI-Modells verwendeten Inhalte erstellen und veröffentlichen
Die Pflichten 1 und 2 "gelten nicht für Anbieter von KI-Modellen, die im Rahmen einer freien und quelloffenen Lizenz bereitgestellt werden, die den Zugang, die Nutzung, die Änderung und die Verbreitung des Modells ermöglicht und deren Parameter, einschließlich Gewichte, Informationen über die Modellarchitektur und Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden. Diese Ausnahme gilt nicht für KI-Modellen [sic!] mit allgemeinem Verwendungszweck mit systemischen Risiken." (Art 53 Abs 2 AI Act) In den Leitlinien der Kommission ist die (strenge) Auslegung der einzelnen Kriterien dieser Definition ausführlich dargelegt.<ref name=":3" />

===== Pflichten für Anbieter von GPAI-Modellen mit systemischem Risiko (Art 55 AI Act) =====
Anbieter von GPAI-Modellen mit systemischem Risiko müssen (zusätzlich) (Art 55 Abs 1 AI Act):

# eine Modellbewertung mit standardisierten Protokollen und Instrumenten, die dem Stand der Technik entsprechen, durchführen (inklusive der Durchführung und Dokumentation von Angriffstests beim Modell gehören, um systemische Risiken zu ermitteln und zu mindern)
# mögliche systemische Risiken auf Unionsebene bewerten und mindern
# einschlägige Informationen über schwerwiegende Vorfälle und mögliche Abhilfemaßnahmen erfassen und dokumentieren und die Behörden darüber unterrichten
# ein angemessenes Maß an Cybersicherheit für die Modelle und die physische Infrastruktur des Modells gewährleisten
Details zur Umsetzung insbesondere dieser risiko- und sicherheitsbezogenen Pflichten sind im Kapitel Sicherheit des [https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai General-Purpose AI Code of Practice] festgelegt. Siehe dazu sogleich.

===== Praxisleitfäden (codes of practice) (Art 56 AI Act) =====
Die genannten Pflichten sollen dabei durch sog Praxisleitfäden auf Unionsebene konkretisiert werden, die unter Berücksichtigung internationaler Ansätze zur ordnungsgemäßen Anwendung des AI Act beitragen sollen.

Für die Ausarbeitung solcher Leitfäden können alle '''Anbieter''' von GPAI-Modellen sowie die einschlägigen zuständigen nationalen '''Behörden''' ersucht werden, sich an der Ausarbeitung von Praxisleitfäden zu beteiligen. Organisationen der '''Zivilgesellschaft''', die Industrie, die '''Wissenschaft''' und andere einschlägige '''Interessenträger''' wie nachgelagerte Anbieter und unabhängige Sachverständige können den Prozess ebenfalls unterstützen (Art 56 Abs 3 AI Act).

Am 10. Juli 2025 wurde der Praxisleitfaden "[https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai General-Purpose AI Code of Practice]" veröffentlicht und von der EU-Kommission und vom KI-Gremium am 1. August 2025 gem Art 56 Abs 6 AI Act als angemessen bewertet.<ref>Europäische Kommission, Erstellung eines allgemeinen KI-Verhaltenskodex, https://digital-strategy.ec.europa.eu/de/policies/ai-code-practice.</ref> Zu diesem wurde auch eine [https://digital-strategy.ec.europa.eu/de/faqs/questions-and-answers-code-practice-general-purpose-ai FAQ-Seite] veröffentlicht. Auch ein [https://ec.europa.eu/newsroom/dae/redirection/document/118118 Musterdokumentationsformular für Modelle] ist Teil des GPAI Code of Practice. Zusätzlich hat die EU-Kommission am 18. Juli 2025 auch [https://ec.europa.eu/newsroom/dae/redirection/document/118340 Leitlinien zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck nach dem AI Act] veröffentlicht.

Für Anbieter von GPAI-Modellen, die den GPAI Code of Practice unterzeichnen und diesen einhalten, können dadurch nachweisen, dass sie ihre Pflichten nach Art 53 Abs 1 und Art 55 Abs 1 AI Act erfüllen.<ref>Vgl Art 50 Abs 7 und Art 53 Abs 4 AI Act, Leitlinien der Kommission zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, Rz 94 sowie Europäische Kommission, Der General-Purpose AI Code of Practice, https://digital-strategy.ec.europa.eu/de/policies/contents-code-gpai.</ref> Damit sollen Rechtssicherheit geschaffen sowie Compliance und Vollzug vereinfacht werden. Es handelt sich dabei aber um eine freiwillige Maßnahme und es steht Anbietern von GPAI-Modellen somit frei, die entsprechenden Bestimmungen des AI Act auch auf andere Weise umzusetzen.

Auf der oben verlinkten Website des GPAI Code of Practice ist angegeben, welche Anbieter von GPAI-Modellen diesen unterzeichnet haben. Darunter finden sich die meisten Anbieter der gängigen LLMs, wie Anthropic, Google, OpenAI und Mistral AI.

== Durchsetzung/Rechtsbehelfe (Art 85-87 AI Act) ==
Der AI Act normiert nur wenige Rechtsbehelfe für Betroffene.
{| class="wikitable"
|+
!Hinweis:
|-
|In Bezug auf mögliche Rechtsbehelfe muss der AI Act, der diesbezüglich nur eingeschränkte Möglichkeiten bereithält, im Zusammenhang mit der PLD gesehen werden.
|}

=== Recht auf Beschwerde bei der Marktüberwachungsbehörde (Art 85 AI Act) ===
Zunächst kann jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass gegen die Bestimmungen des AI Act verstoßen wurde, unbeschadet anderer Rechtsbehelfe, bei der betreffenden Marktüberwachungsbehörde Beschwerden einreichen. Diese Beschwerden werden für die Zwecke der Durchführung von Marktüberwachungstätigkeiten berücksichtigt.

Stand November 2025 wurde in Österreich noch keine Behörde als zuständige Marktüberwachungsbehörde eingerichtet oder benannt. Bereits mit 2. November 2024 sind jedoch einige Behörden und öffentliche Stellen im Grundrechtsbereich gemäß Art 77 Abs 2 mit Aufsichts- und Durchsetzungsbefugnissen für Grundrechte insb im Zusammenhang mit Hochrisiko-KI ausgestattet worden, darunter die Volksanwaltschaft, die Datenschutzbehörde, die Arbeiterkammer, die Gleichbehandlungskommission, die Behindertenanwaltschaft, die KommAustria uvm.<ref>Mehr dazu unter: https://www.digitalaustria.gv.at/themen/kuenstliche-intelligenz/behoerden-art77-ai-act.html.</ref> Dabei treffen auch die (künftig) zuständige Marktüberwachungsbehörde umfassende Kooperationspflichten, wie etwa die Meldung schwerwiegender Grundrechtsvorfälle in diesem Kontext an die genannten Einrichtungen (vgl Art 73 Abs 7 und Art 79 Abs 2 AI Act).<ref>Vgl ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 103, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref> Dazu hat die Kommission entsprechende Leitlinien zu veröffentlichen, die sich gerade in Ausarbeitung befinden.<ref>Nähere Informationen unter: https://digital-strategy.ec.europa.eu/de/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks.</ref>

=== Recht auf Erläuterung der Entscheidungsfindung im Einzelfall (Art 86 AI Act) ===
Zweitens haben Personen,

* die von einer Entscheidung im Einzelfall betroffen sind,
* die der Betreiber auf der Grundlage der Ausgaben eines in Anhang III aufgeführten Hochrisiko-KI-Systems getroffen hat (somit nur eigenständige Hochrisiko-KI-Systeme;<ref>Eine Ausnahme besteht für Hochrisiko-KI-Systeme im Bereich kritische Infrastruktur.</ref> eingebettete Hochrisiko-KI-Systeme wie Medizinprodukte sind nicht erfasst)
* und die rechtliche Auswirkungen hat oder
* sie in ähnlicher Art erheblich auf eine Weise beeinträchtigt, die ihrer Ansicht nach ihre Gesundheit, ihre Sicherheit oder ihre Grundrechte beeinträchtigt,
das Recht, vom Betreiber eine klare und aussagekräftige '''Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess''' und zu den '''wichtigsten Elementen der getroffenen Entscheidung''' zu erhalten (Recht auf Erläuterung der Entscheidungsfindung im Einzelfall gemäß Art 86 Abs 1 AI Act oder auch gemeinhin als '''"Recht auf Erklärung"''' bezeichnet).<ref>MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf; ''Müller/Scheichenbauer/Schneeberger'', Der Auskunftsanspruch im Zeitalter KI-gestützter Entscheidungsprozesse. Querverbindungen von Art 15 Abs 1 lit h iVm Art 22 DSGVO und Art 86 AI Act in der Praxis, in ''Jahnel'' (Hrsg), Jahrbuch Datenschutzrecht 2024 (2025) 157; ''Poindl/Müller,'' Das Recht auf Erklärung im AI Act. Betroffenenrecht mit Potenzial oder Papiertiger?, VbR 2025, 40. </ref> Dabei ist es unerheblich, ob das KI-System die Entscheidung gänzlich autonom getroffen hat oder unterstützend beteiligt war, es darf lediglich keine untergeordnete Rolle im Entscheidungsprozess gespielt haben. Steht das Recht auf Erklärung zu, hat die betroffene Person einerseits das Recht, eine Erklärung über die Rolle des KI-Systems im Entscheidungsprozess zu verlangen, worunter einerseits Informationen über die zentralen Aufgaben des Systems im Entscheidungsprozess fallen (zB Zielgruppenselektion, Datenanalyse, Vorgabe der Entscheidung usw.) und andererseits auch der Grad dessen Beteiligung (gering, mittel, hoch), was umgekehrt auch den Grad menschlicher Beteiligung an der Entscheidungsfindung erfordert. Weiters sind die wichtigsten Elemente der Entscheidung zu beauskunften, beispielsweise Eingabedaten, wesentliche Entscheidungsgründe, kontrafaktische Erklärungen (inwiefern hätten andere Parameter zu einer anderen Entscheidungen geführt), die Auswirkungen der Entscheidung, die Gewichtung der einzelnen Kriterien und die Verarbeitungslogik (Informationen über die grobe Funktionsweise des KI-Systems, keine komplette Offenlegung des algorithmischen Codes). Weiters muss die Erklärung präzise, korrekt, verständlich, nicht zu technisch (keine komplexen mathematischen Formeln), aber dennoch vollständig sein.<ref>MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf; </ref> Letzter Referenzpunkt ist stets, ob die betroffene Person auf Basis der erlangten Informationen weitere Rechte geltend machen kann, da das Recht auf Erklärung auch oft als "Türöffner" für die Geltendmachung weiterer Rechte dient (so wird bspw eine Klage wegen Diskriminierung in einem Entscheidungsprozess erst erhoben werden können, wenn die betroffene Person genügend Informationen hat, um die Diskriminierung darzulegen, bspw die Gewichtung von bestimmten persönlichen Merkmalen, die ausschlaggebend für die Entscheidung war).

Es handelt sich somit um ein nachgelagertes bzw ''ex post'' Recht, das nicht nur globale, abstrakte Systemerklärungen erfordert, sondern auch lokale, einzelfallbezogene Auskünfte umfasst, damit die betroffene Person die Informationen wirksam nutzbar machen kann . Das Recht auf Erklärung steht Betroffenen gegenüber Betreibern und nicht gegenüber Anbietern zu, wobei letztere wiederum Betreibern entsprechende Betriebsanleitungen bereitzustellen haben (Art 13 AI Act).

Das Recht auf Erklärung gilt nicht, sofern Ausnahmen nach Unionsrecht oder nationalem Recht bestehen (Art 86 Abs 2). Zu denken wäre hier etwa an Beschränkungen der Informationspflicht aufgrund geschützter Betriebs- oder Geschäftsgeheimnisse, wobei diese nicht zu einer pauschalen Auskunftsverweigerung führen dürfen. Art 86 Abs 1 gilt überdies nur insoweit, als dieses Recht nicht anderweitig im Unionsrecht festgelegt ist (Art 86 Abs 3 AI Act). In Hinblick auf diese [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung Subsidiarität] ist insbesondere an das Auskunftsrecht nach Art 15 DSGVO (iVm Art 22 DSGVO) zu denken.

Das Recht auf Erklärung ist immer dann relevant, wenn Unternehmen, Behörden etc. KI in Entscheidungsfindungsprozessen einsetzen, die Auswirkungen auf bestimmte Personen(-gruppen) haben. Zu denken ist etwa an KI-basierte Entscheidungen über die Vergabe von Krediten, über die Berücksichtigung einer Bewerbung, über die Höhe einer Versicherungsprämie oder personalisierte Werbeschaltungen auf Basis von Emotionserkennung.

Zum Umgang mit dem Recht auf Erklärung in der Praxis hat das ''Research Institute'' im Auftrag des Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz Leitlinien entwickelt:

* [https://www.sozialministerium.gv.at/dam/jcr:f1685e43-21b8-48f3-9fe5-2c61898960ae/Final_Aufkl%C3%A4rung%204.0_Unternehmensleitfaden_April2025.pdf Leitfaden für Unternehmen] im Umgang mit Art 86 AI Act
* [https://www.sozialministerium.gv.at/dam/jcr:40ba630c-39af-4b8d-8768-a69192427b09/Final_Aufkl%C3%A4rung%204.0_Konsumentinnenleitfaden_April2025.pdf Leitfaden für Konsument:innen und ihre Interessenvertretungen] zur Durchsetzung ihrer Rechte
* [https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf Theoretischer Grundlagenbericht] zur wissenschaftlichen Fundierung der ausgesprochenen Empfehlungen

=== Meldung von Verstößen und Schutz von Hinweisgebern (Art 87 AI Act) ===
Zusätzlich normiert Art 87 AI Act, dass für die Meldung von Verstößen und den Schutz von Personen, die solche Verstöße melden, die Richtlinie zum Schutz von Whistleblowern gilt.<ref>RL (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, ABl L 2019/305, 17.</ref>

== Bedeutung von Normen und Standards (Art 40-42 AI Act) ==
Die Kommission hat die Entwicklung von '''harmonisierten Normen''', die derzeit nicht existieren beauftragt.<ref>Commission Implementing Decision on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation in support of Union policy on artificial intelligence, C(2023)3215, https://ec.europa.eu/transparency/documents-register/detail?ref=C(2023)3215&lang=en.</ref> Solche Normen werden im Amtsblatt der EU veröffentlicht.

Stimmen Hochrisiko-KI-Systeme oder GPAI-Modelle mit solchen harmonisierten Normen überein, wird eine Konformität mit den Anforderungen an Hochrisiko-KI-Systeme (Art 8 ff AI Act) oder gegebenenfalls mit den Pflichten für die Anbieter von GPAI-Modellen (Art 53 ff AI Act) vermutet ('''Konformitätsvermutung'''), soweit diese Anforderungen oder Verpflichtungen von den Normen abgedeckt sind (Art 40 AI Act). Diesen harmonisierten Normen kommt somit eine hohe Bedeutung zu, für Rechtssicherheit zu sorgen und die abstrakten Anforderungen des AI Act zu konkretisieren.<ref>MwN ''Ebers'', Standardisierung Künstlicher Intelligenz und KI-Verordnungsvorschlag, RDi 2021, 588.</ref>
{| class="wikitable"
|+
!Hinweis:
|-
|Derartige harmonisierte Normen befinden sich derzeit in Entwicklung und wurden noch nicht veröffentlicht (siehe unterhalb).
|}
Subsidiär kann die Kommission, wenn strenge Bedingungen erfüllt sind (harmonisierte Normen wurden nicht ausgearbeitet oder entsprechen nicht dem Auftrag), Durchführungsrechtsakte zur Festlegung '''gemeinsamer Spezifikationen''' erlassen, mit denen ebenfalls eine solche Konformitätsvermutung einhergeht (Art 41 AI Act).

Ein Kurzüberblick über die Bedeutung von harmonisierten Normen und in Entwicklung befindliche Normen wurde vom Joint Research Centre der Kommission publiziert.<ref>''Soler Garrido/de Nigris/Bassani/Sanchez/Evas/André/Boulangé'', Harmonised Standards for the European AI Act (2024), https://publications.jrc.ec.europa.eu/repository/handle/JRC139430.</ref>

Weitere Konformitätsvermutungen werden in Art 42 AI Act in Bezug auf die Daten-Governance (Art 10 AI Act) und die Cybersicherheit (Art 15 AI Act) für Hochrisiko-KI-Systeme normiert, die mit entsprechenden Daten trainiert und getestet wurden bzw die Cybersicherheitszertifizierungen durchlaufen sind, normiert.

Das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (cenelec) wurden mittels Durchführungsbeschluss aufgefordert, bis zum 30. April 2025 bestimmte angeführte Normen auszuarbeiten.<ref>Vgl https://ec.europa.eu/growth/tools-databases/enorm/mandate/593_en</ref> Der ursprüngliche Zeitplan konnte nicht eingehalten werden und es erfolgte eine neuerliche Fristverlängerung mittels eines neuerlichen Durchführungsrechtsaktes.<ref>Vgl Commisson Implementing Decision on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation as regards high-risk AI-systems in support of Regulation (EU) 2024/1689 of the European Parliament and of the Council and repealing Implementing Decision C(2023)3215 <nowiki>https://ec.europa.eu/transparency/documents-register/detail?ref=C(2025)3871&lang=en</nowiki></ref> Seit November 2025 liegt der erste Entwurf einer harmonisierten Norm zum Qualitätsmanagement "EprEN 18286, Artificial intelligence – Quality management system for EU AI Act regulatory purposes nach Art 17 AI Act zur öffentlichen Kommentierung vor.<ref>Vgl https://adamleonsmith.substack.com/p/pren-18286</ref> Die Konsultation zu diesem Normentwurf läuft bis zum 22. Jänner 2026. In den kommenden Monaten sollen weitere Normentwürfe folgen – unter anderem zu Risikomanagement, Cybersicherheit, Vertrauenswürdigkeit und Konformitätsbewertung.

Zudem verabschiedeten CEN/cenelec im Oktober 2025 ein Maßnahmenpaket, um die Fertigstellung wichtiger Normen, die im Rahmen von CEN-CLC/JTC 21 „Künstliche Intelligenz” entwickelt wurden, sowie der im Rahmen des Normungsantrags M/593 (und seiner Änderung M/613) geforderten Ergebnisse zu beschleunigen. Diese Maßnahmen betreffen eine Reihe von Arbeitspunkten, die die technische Grundlage für die künftigen europäischen Normen zur Unterstützung des AI Act bilden. Die Vorstände kamen überein, im Falle einer positiven Abstimmung über die Anfrage die direkte Veröffentlichung der Entwürfe ohne separate formelle Abstimmung zuzulassen und CEN-CLC/JTC 21 zu beauftragen, eine kleine Redaktionsgruppe aus bereits aktiven Experten einzurichten, um sechs der am stärksten verzögerten Entwürfe fertigzustellen, bevor sie den jeweiligen Arbeitsgruppen zur Information und für abschließende Kommentare vorgelegt werden.<ref>Vgl https://www.cencenelec.eu/news-events/news/2025/brief-news/2025-10-23-ai-standardization/</ref>

Als Reaktion auf die verzögerten Standards wurden im Entwurf Digital Omnibus on AI Regulation Proposal<ref>Vgl https://ec.europa.eu/newsroom/dae/redirection/document/121744</ref> bestimmte Maßnahmen vorgeschlagen, um eine zeitnahe, reibungslose und verhältnismäßige Umsetzung bestimmter Bestimmungen des AI-Acts sicherzustellen. Als eine Maßnahme wurde dabei die Kopplung des Zeitplans für die Umsetzung der Vorschriften für hohe Risiken an die Verfügbarkeit von Normen vorgeschlagen.

== Governance und Aufsicht ==

=== Büro für Künstliche Intelligenz ===
Innerhalb der Europäischen Kommission wurde das „Büro für Künstliche Intelligenz“ (KI-Büro, AI Office) eingerichtet.<ref>Beschluss der Kommission vom 24. Januar 2024 zur Einrichtung des Europäischen Amts für künstliche Intelligenz, C(2024) 390.</ref> Es soll insbesondere KI-Expertise in der EU aufbauen (Art 64 Abs 1 AI Act), hat aber auch einige konkrete Aufgaben in der Umsetzung des AI Act. Zu diesen gehören insbesondere die Überwachung von Anbietern von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modellen), die Ausarbeitung und Aktualisierung von Leitlinien, Durchführungsrechtsakten und delegierten Rechtsakten, sowie die Stärkung der Entwicklung und Nutzung vertrauenswürdiger KI. Darüber hinaus fungiert das KI-Büro als Sekretariat des Europäischen Gremiums für Künstliche Intelligenz (Art 65 Abs 8 AI Act).

Als Teil dieser Infrastruktur und zur Unterstützung von Unternehmen, Behörden und anderen Stakeholdern stellt die Europäische Kommission die „[https://ai-act-service-desk.ec.europa.eu AI Act Single Information Platform]“ bereit. Herzstück ist außerdem der AI Act Service Desk, eine Anlaufstelle, über die Fragen in der jeweiligen EU-Amtssprache eingereicht und von einem Expert*innenteam beantwortet werden, das eng mit dem KI-Büro zusammenarbeitet. Ergänzend dazu gibt es ein umfangreiches, laufend aktualisiertes FAQ sowie Tools wie einen Compliance Checker.

=== Europäisches Gremium für Künstliche Intelligenz ===
Das Europäische Gremium für Künstliche Intelligenz (KI-Gremium, AI Board) setzt sich aus einer/einem kompetenten Vertreter*in je Mitgliedstaat zusammen (Art 65 AI Act). Es dient als Kooperations- und Koordinationsplattform zwischen den Mitgliedstaaten, gibt Empfehlungen und Stellungnahmen ab und unterstützt eine möglichst einheitliche Anwendung des AI Act (siehe zu den Aufgaben und Instrumenten des KI-Gremiums Art 66 AI Act).

=== Nationale Behörden ===
Die Umsetzung und Durchsetzung des AI Act obliegt auf mitgliedstaatlicher Ebene primär den nationalen zuständigen Behörden. Jeder Mitgliedstaat muss eine notifizierende Behörde (zuständig für die Einrichtung und Überwachung von Konformitätsbewertungsstellen) und mindestens eine Marktüberwachungsbehörde (zuständig für die Ex-post-Kontrolle von KI-Systemen und die Ahndung von Verstößen) als zuständige nationale Behörden einrichten oder benennen (Art 70 Abs 1 AI Act) sowie eine Marktüberwachungsbehörde benennen, die als zentrale Anlaufstelle (single point of contact) fungiert (Art 70 Abs 2 AI Act). Die Marktüberwachungsbehörden fungieren auch als Beschwerdestellen (Art 85 AI Act) und verfügen über weitreichende Befugnisse, darunter das Recht, Zugang zu Daten und Dokumentationen von Hochrisiko-KI-Systemen zu verlangen (Art 74 Abs 12 AI Act) und unter Umständen auch zu deren Quellcode (Art 74 Abs 13 AI Act) sowie Maßnahmen bis hin zum Verbot der Inbetriebnahme zu ergreifen (Art 79 Abs 5 AI Act).

= Synergien =

=== Grundlegende Überschneidungen zwischen dem AI Act und der Datenschutz-Grundverordnung (DSGVO) ===

* Da KI-Systeme bzw -Modelle häufig personenbezogene Daten verarbeiten - bspw im Rahmen des Trainings eines KI-Modells oder zur Entscheidungsunterstützung in Bezug auf konkrete Personen -, stellt sich unweigerlich die Frage nach dem Zusammenwirken des AI Act mit der DSGVO.<ref>Der Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA) des LfDI Baden-Württemberg enthält eine Auswahl von Orientierungshilfen verschiedener Aufsichtsbehörden und Gremien zu den Schnittstellen von DSGVO und KI: https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0. MwN ''Holtz/Ledendal,'' AI Data Governance - Overlaps Between the AI Act and the GDPR (iE, 2026): https://uu.diva-portal.org/smash/record.jsf?pid=diva2%3A1996843&dswid=-4177 sowie der [https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/DE-Bridge-Blueprint-v.0.9.pdf "Bridge Blueprint"-Entwurf] zur einheitlichen Anwendung von Datenschutz- und KI-Regulierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). </ref> Letztere knüpft ihren Anwendungsbereich nämlich an die Verarbeitung personenbezogener Daten iSd Art 4 Abs 1 DSGVO, worunter alle Informationen zu verstehen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO ist seit 2018 in Anwendung und verfolgt den Grundsatz, dass jegliche Verarbeitung personenbezogener Daten verboten ist, es sei denn, es liegt ein Erlaubnistatbestand nach Art 6 Abs 1 DSGVO vor. Für die Verarbeitung sog "sensibler Daten" nach Art 9 DSGVO (zB Gesundheitsdaten, die ethnische Herkunft, die religiöse Weltanschauung etc.) legt sie noch strengere Maßstäbe an. Damit verfolgt die DSGVO einen horizontalen sowie prinzipienbasierten Ansatz, wonach bei der Verarbeitung personenbezogener Daten bestimmte Anforderungen und Grundsätze einzuhalten sind, ungeachtet der verwendeten Technologie, des Sektors oder des Einsatzgebiets.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 32, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.</ref> Darüber hinaus orientiert sich die Verordnung daran, inwieweit eine bestimmte Datenverarbeitung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt ("risikobasierter Ansatz"), wonach sich letztendlich die Strenge der von ihr vorgeschriebenen Verpflichtungen bemisst.
* Der AI Act erkennt das Primat der DSGVO in Art 2 Abs 7 an und statuiert, dass er deren Anwendungsbereich unberührt lässt. Somit gehen im Falle der Verarbeitung personenbezogener Daten durch eine KI-Anwendung die Regelungen der DSGVO grundsätzlich vor, während der AI Act dem ergänzend eine produktsicherheitsrechtliche Komponente beifügt, die während der Entwicklung und des Einsatzes von KI zu beachten ist.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 33, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.</ref>
* Überschneidungen beider Rechtsakte ergeben sich bspw, sobald ein KI-Modell mit personenbezogenen Daten '''trainiert''' werden soll. In diesem Fall braucht es eine Rechtsgrundlage nach Art 6 Abs 1 DSGVO (und ggf Art 9 DSGVO), wobei hier am ehesten die berechtigten Interessen des Verantwortlichen nach lit f leg cit infrage kommen. So hat sich bspw der Facebook-Mutterkonzern Meta auf berechtigte Interessen berufen, um sein Sprachmodell "LLaMA" hinter seiner "Meta AI" mit Nutzerdaten zu trainieren. Dagegen erhob die Verbraucherschutzzentrale NRW Antrag auf Erlass einer einstweiligen Verfügung, letztendlich entschied jedoch das OLG Köln in seinem Beschluss vom 23.05.2025 (15 UKl 2/25), dass sich Meta für das KI-Training mit Nutzerdaten auf berechtigte Interessen stützen könne.<ref>Nähere Informationen unter: https://www.verbraucherzentrale.nrw/urteilsdatenbank/digitale-welt/olg-koeln-weist-eilantrag-der-verbraucherzentrale-nrw-gegen-meta-wegen-kitraining-zurueck-108065.</ref>

=== Folgenabschätzungen: Datenschutz- und Grundrechte-Folgenabschätzung ===
* Der Anwendungsbereich einer Datenschutz-Folgenabschätzung (Art 35 DSGVO) kann sich mit einer Grundrechte-Folgenabschätzung (Art 27 AI Act) überschneiden, wobei eine integrierte Folgenabschätzung durchgeführt werden kann.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 23 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>
* Umgekehrt ist laut Art 35 DSGVO immer dann eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, insbesondere bei Verwendung neuer Technologien. Darunter fallen gemäß §2 Abs 2 Z 4 DSFA-V<ref>Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), BGBl. II Nr. 278/2018.</ref> insbesondere Datenverarbeitung unter Einsatz von künstlicher Intelligenz, welcher jedenfalls die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach sich zieht. Somit löst auch der Einsatz von KI unter gewissen Voraussetzungen datenschutzrechtliche Pflichten aus.

=== Verarbeitung von sensiblen Kategorien personenbezogener Daten (Art 9 DSGVO) ===
* Um Verzerrungen (Bias) zu zu erkennen und zu korrigieren, dürfen Anbieter, wenn es unbedingt erforderlich ist, unter strengen Auflagen sensible Kategorien von personenbezogenen Daten (Art 9 DSGVO) verarbeiten (Art 10 Abs 5 AI Act).<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 24 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>
* Bei der Entwicklung/Training leistungsfähigerer KI-Modelle kann es zu Friktionen zwischen Art 15 AI Act, der angemessene Genauigkeit iSv Performanz fordert, und Art 9 DSGVO, der die Verarbeitung sensibler personenbezogener Daten prinzipiell verbietet, kommen.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 25 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref> Zwar gab der Europäische Datenschutzausschuss Ende 2024 eine Stellungnahme zum Training von KI-Modellen heraus, diese behandelt die potentielle Friktion mit Art 9 DSGVO jedoch nur am Rande.<ref>''EDPB'', Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (2024), https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en.</ref>

=== Unterschiedliche Verantwortlichkeiten ===

* Die DSGVO stellt primär auf den Verantwortlichen ab. Diese Rolle wird häufig der Betreiber iSd AI Act einnehmen. Die meisten Pflichten nach dem AI Act sind aber primär an Anbieter adressiert. Daher kann es zu einem Auseinanderfallen der Verantwortlichkeiten kommen.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 24, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>

=== Risikoanalyse: Digital Services Act (DSA) vs AI Act ===
* Der DSA legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten. Ebenso zielt das Regelwerk auf den Schutz sowie die Gewährleistung einer effektiven Grundrechtsausübung und normiert umfassende Verpflichtungen für Anbieter von Online-Diensten in Form eines abgestuften Regelungsansatzes, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Dabei kennt der DSA folgende Anbieterkategorien: Anbieter von allgemeinen Vermittlungsdiensten, Hostingdiensten, Online- sowie Transaktionsplattformen und sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs). Überschneidungen mit dem AI Act können sich auf zweierlei Weise ergeben: Einerseits können KI-Anwendungen zur Generierung oder Manipulation von Inhalten verwendet werden, die dann über Vermittlungsdienste geteilt werden. Andererseits können KI-Systeme das Kernangebot des Diensteanbieters ausmachen, in der Inhaltsmoderation eingesetzt werden oder Produkt- bzw Service-Empfehlungen auf Basis von Nutzerverhalten ("Empfehlungsalgorithmen") schalten.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 48, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref> Allgemeine Synergien sind dem [[Digital Services Act (DSA)|Eintrag über den DSA]] zu entnehmen.
* Weiters kann es bei VLOPs und VLOSEs, die generative KI, bspw GPAI-Modelle, integrieren, zu einer Überschneidung zwischen [[Digital Services Act (DSA)|DSA]] und AI Act in Bezug auf die notwendige Risikoanalyse kommen. So fordern die Artikel 34 und 35 DSA die Analyse jener potenzieller systemischer Risiken, die sich durch das Design, die Funktion oder die Nutzung ihrer Services ergeben, insbesondere im Zusammenhang mit algorithmischen Systemen oder Systemen zur Inhaltsmoderation. Demgegenüber legt der AI Act in Art 17 die Verpflichtung für Anbieter von Hochrisiko-KI-Systemen zur Etablierung eines Risikomanagementsystems gemäß Art 9 AI Act fest und sieht spezielle Anforderungen für Anbieter von GPAI-Modellen mit systemischem Risiko vor (Art 55 Abs 1 lit b AI Act). Daher wird teilweise für eine konsolidierte und technologieübergreifende Risikoanalyse plädiert, wobei dem Umstand, dass mehrere Technologien verknüpft sind, entsprechend Rechnung getragen werden muss.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 19 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref> Im Fall von Anbietern von Hochrisiko-KI-Systemen sieht der AI Act sogar explizit die Möglichkeit vor, Risikomanagementprozesse nach anderen unionsrechtlichen Bestimmungen mit jenen nach dem AI Act zu kombinieren (vgl Art 9 Abs 10 AI Act).<ref>MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 49, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>

=== Überlappende Anforderungen mit anderem Produktsicherheitsrecht ===

* Art 8 Abs 2 AI Act betont für Produkte, die bereits untere andere Produktsicherheitsvorschriften fallen (Anhang I Abschnitt A), "im Hinblick auf die Gewährleistung der Kohärenz, der Vermeidung von Doppelarbeit und der Minimierung zusätzlicher Belastungen" die Anbieter die Wahl haben, die erforderlichen Test- und Berichterstattungsverfahren, Informationen und Dokumentationen gegebenenfalls in existierende Dokumentationen und Verfahren zu integrieren.

=== Integriertes/kombiniertes Risikomangement ===

* Anbieter von Hochrisiko-KI-Systemen, die den Anforderungen an interne Risikomanagementprozesse gemäß anderen einschlägigen Bestimmungen des Unionsrechts unterliegen, können die in Art 9 AI Act enthaltenen Aspekte als Bestandteil der nach diesem Recht festgelegten Risikomanagementverfahren integrieren bzw die Verfahren kombinieren (Art 9 Abs 10 AI Act).

=== Cybersicherheitsanforderungen ===

* Art 15 Abs 1 AI Act normiert, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden müssen, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen. Neben den in Art 15 Abs 5 AI Act konkretisierten speziellen Maßnahmen an die Cybersicherheit von KI-Systemen bleiben auch andere Anforderungen, bspw nach [[Network and Information Security Directive (NIS II-RL)|NIS2-RL]] anwendbar.

=== Recht auf Erläuterung ===

* In Bezug auf das in [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung_der_Entscheidungsfindung_im_Einzelfall_(Art_86_AI_Act) Art 86 AI Act normierte Recht auf Erläuterung] besteht potentiell eine Subsidiarität gegenüber anderen Auskunftsansprüchen, insb der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO iVm Art 22 DSGVO. Demnach steht Personen, die von einer automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling betroffen sind, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie ähnlich erheblich beeinträchtigt, das Recht zu, neben allgemeinen Informationen über die Verarbeitung ihrer personenbezogenen Daten aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und Auswirkungen einer derartigen Verarbeitung zu verlangen. Inhaltlich richtet sich der Auskunftsanspruch nach Art 15 Abs 1 lit h DSGVO gemäß rezenter EuGH-Judikatur insb auf die Erläuterung des Verfahrens und der Grundsätze, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen und zu dem bestimmten Ergebnis geführt haben.<ref>Vgl EuGH 27. 2. 2025, C‑203/22, Dun & Bradstreet Austria, ECLI:EU:C:2025:117, Rz 58. </ref> Die Frage nach einer potenziellen Subsidiarität von Art 86 AI Act gegenüber den entsprechenden datenschutzrechtlichen Vorschriften hängt von unterschiedlichen Fallszenarien ab, in denen die jeweils verwendeten Technologien und verarbeiteten Datenkategorien zu unterschiedlichen Ergebnissen führen können:
{| class="wikitable"
|+
!
!Art 86 AI Act
!Art 15 Abs 1 lit h iVm Art 22 DSGVO
!Rechtsfolge
|-
|Hochrisiko-KI-Einsatz in Entscheidungsfindungsprozessen, in denen entweder keine personenbezogenen Daten gemäß Art 4 Z 1 DSGVO verarbeitet werden (zB Verarbeitung lediglich aggregierter Daten) oder keine vollautomatisierte Entscheidung iSd Art 22 DSGVO getroffen wird (etwa weil ein Mensch maßgeblich an der Entscheidungsfindung beteiligt ist)
|Anwendbar
|Nicht anwendbar
|Das Recht auf Erklärung steht vollumfänglich wie in Art 86 Abs 1 dargelegt zu (bei Vorliegen der übrigen Voraussetzungen). Der betroffenen Person sind somit klare und aussagekräftige Erläuterungen zur Rolle des KI-Systems im Entscheidungsprozess und zu den wichtigsten Elementen der getroffenen Entscheidung zu übermitteln, wobei die Erklärung einzelfallbezogen und auf das konkrete Ergebnis gerichtet sein muss. Der Anwendungsbereich von Art 15 (Abs 1 lit h iVm Art 22) DSGVO ist hingegen nicht eröffnet. Das Recht, die Entscheidung anzufechten, steht - zumindest gemäß AI Act - nicht zu.
|-
|Es findet eine vollautomatisierte Entscheidungsfindung auf Basis der Verarbeitung personenbezogener Daten statt, allerdings ohne Beteiligung eines Hochrisiko-KI-Systems iSd Art 6 Abs 2 iVm Anhang III AI Act (bspw wird die Entscheidung durch einen herkömmlichen Algorithmus getroffen, der Anforderungen an ein KI-System nach Art 3 Z 1 AI Act nicht erfüllt oder das KI-System fällt nicht in den Hochrisiko-KI-Bereich)
|Nicht anwendbar
|Anwendbar
|Der Auskunftsanspruch gemäß Art 15 (Abs 1 lit h iVm Art 22) DSGVO steht bei Vorliegen der übrigen Voraussetzungen zu, während das Recht auf Erklärung nach Art 86 AI Act keine Anwendung findet. Es sind der betroffenen Person somit Informationen über die involvierte Logik, Tragweite und Auswirkungen der Entscheidung zu übermitteln, wobei Informationen über die Rolle des eingesetzten Systems nicht darunter fallen. Im Unterschied zu Art 86 AI Act ist in Bezug auf Art 15 Abs 1 lit h DSGVO jedoch noch unklar, ob auch eine Verpflichtung zu einer einzelfallbezogenen Begründung der konkret erzielten Ergebnisse besteht, die über eine abstrakte/allgemeine Erklärung hinausgeht.<ref>Vgl etwa das EuGH-Urteil in der RS Dun & Bradstreet, welches stärker auf das lokale Element, dh die Einzelentscheidung, abzustellen scheint (EuGH 27. 2. 2025, C‑203/22, Dun & Bradstreet Austria, ECLI:EU:C:2025:117). MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 71, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref> Art 22 Abs 3 DSGVO enthält jedoch im Gegensatz zum AI Act das Recht, die Entscheidung anzufechten.
|-
|Verarbeitung personenbezogener Daten im Rahmen der Entscheidungsfindung, Einsatz eines Hochrisiko-KI-Systems, vollautomatisierte Entscheidungsfindung
|Anwendbar
|Anwendbar
|Der Anspruch nach Art 86 AI Act tritt ergänzend zu jenem nach der DSGVO hinzu und richtet sich auf jene Informationen, die nach Art 15 DSGVO nicht zu beauskunften sind (bspw die Rolle des KI-Systems im Entscheidungsprozess sowie jedenfalls einzelfallbezogene, lokale Erklärungen). Es handelt sich somit um eine sog "Lückenfüller-Position" von Art 86 AI Act.<ref>Dieser Ansicht folgend und mwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 96 ff, <nowiki>https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf</nowiki>.</ref>
|}
In der Regel werden Betroffene in der Praxis wohl beide Ansprüche gleichzeitig geltend machen. Dies ist allerdings nur möglich, sofern beide Ansprüche auch gegenüber der selben Person bzw Einrichtung geltend zu machen sind. Denn während das Recht auf Erklärung nach Art 86 AI Act gegen den Betreiber des KI-Systems zusteht, ist der Auskunftsanspruch gemäß Art 15 Abs 1 lit h DSGVO gegen jene Person oder Stelle zu richten, welche die Entscheidung getroffen hat (welche zwar meist aber nicht zwangsläufig mit der Person des datenschutzrechtlich Verantwortlichen iSd Art 4 Z 7 DSGVO ident sein wird<ref>Dieser Argumentation folgend: ''Ziegenhorn,'' Wer ist Adressat des Art. 22 DSGVO? Zur Abgrenzung des Entscheiders vom Verantwortlichen, CR 2024, 586.</ref>). Die unterschiedlichen Rollen nach AI Act und DSGVO können somit zusammenfallen, müssen dies allerdings nicht, wodurch sich unterschiedliche Verpflichtungen für die beteiligten Akteure ergeben können.

=== Produkthaftungsrichtlinie neu und Vorschlag für eine AI Liability Directive [zurückgezogen] ===

* Die Produkthaftungsrichtlinie neu (PHRL neu) und insbesondere der (zurückgezogene)<ref>Annexes to the Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. Commission work programme 2025, (11.2.2025) COM(2025) 45 final, 26.</ref> Vorschlag für eine AI Liability Directive (AILD) nehmen direkt auf den AI Act Bezug und verweisen bei der Begriffsverwendung häufig auf diesen. Die AILD kann somit nicht ohne den Kontext des AI Act verstanden werden. So sollten die Pflichten in Bezug auf Hochrisiko-KI-Systeme (Art 8-15 AI Act) wichtige Sorgfaltspflichten in der AILD bilden ([[KI-Haftungsregelungen#AI Act und AILD|siehe ausführlicher im Rahmen der Haftungsregeln]]).

= Sanktionen/sonstige Konsequenzen =

=== Sanktionen (Art 99 AI Act) ===
Art 99 Abs 1 AI Act überträgt die Festsetzung von Sanktionen primär den MS und normiert nur grobe '''Richtlinien''' dafür. Die Kommission hat jedoch Leitlinien (Art 96 AI Act) zu veröffentlichen, die zu berücksichtigen sind.
{| class="wikitable"
|+
!Hinweis
|-
|Zum derzeitigen Stand gibt es noch kein nationales Begleit- bzw Durchführungsgesetz, das die Sanktionen konkretisiert. Auch die notifizierende(n) Behörde(n) und die Marktüberwachungsbehörde(n) (Art 70 AI Act) wurden in Österreich noch nicht benannt.
|}
Somit sind nach dieser Bestimmung Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen, zu denen auch Verwarnungen und nicht monetäre Maßnahmen gehören können, von den MS zu erlassen. MS müssen alle Maßnahmen ergreifen, die für deren ordnungsgemäße und wirksame Durchsetzung notwendig sind.

Die vorgesehenen Sanktionen müssen '''wirksam, verhältnismäßig''' und '''abschreckend''' sein und die '''Interessen von KMU''' sowie deren wirtschaftliches Überleben berücksichtigen.

Jeder MS erlässt auch Vorschriften darüber, in welchem Umfang '''gegen Behörden und öffentliche Stellen''' im MS Geldbußen verhängt werden können (Art 99 Abs 8 AI Act).

Die höchsten Geldstrafen drohen für eine Verletzung gegen die verbotenen Praktiken (Art 5 AI Act). Bei Missachtung des Verbots werden '''Geldbußen von bis zu 35 000 000''' Euro oder — im Falle von Unternehmen — von bis zu '''7% des gesamten weltweiten Jahresumsatzes''' des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 3 AI Act).

Für Verstöße gegen andere Bestimmungen werden '''Geldbußen von bis zu 15 000 000 Euro''' oder — im Falle von Unternehmen — von bis zu '''3 % des gesamten weltweiten Jahresumsatze'''s des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 4 AI Act):

* Verstöße gegen Pflichten der Anbieter (Art 16 AI Act)
* Verstöße gegen Pflichten der Bevollmächtigten (Art 22 AI Act)
* Verstöße gegen Pflichten der Einführer (Art 23 AI Act)
* Verstöße gegen Pflichten der Händler (Art 24 AI Act)
* Verstöße gegen Pflichten der Betreiber (Art 26 AI Act)
* Verstöße gegen für notifizierte Stellen geltende Anforderungen und Pflichten (Art 31, Art 33 Abs 1, 3, 4, Art 34 AI Act)
* Verstöße gegen Transparenzpflichten für Anbieter und Betreiber (Art 50)
Für die Bereitstellung von '''falschen, unvollständigen''' oder '''irreführenden Informationen''' an notifizierte Stellen oder zuständige nationalen Behörden werden '''Geldbußen von bis zu 7 500 000 Euro''' oder — im Falle von Unternehmen — von bis zu '''1% des gesamten weltweiten Jahresumsatzes''' des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 5 AI Act).

Um nicht die Wirtschaft zugunsten von größeren Unternehmen zu verzerren sieht Art 99 Abs 6 AI Act '''Sondervorschriften für KMUs''' vor. Diesbezüglich gilt für jede genannte Geldbuße der jeweils niedrigere Betrag aus den genannten Prozentsätzen oder Summen.

Art 99 Abs 7 AI Act präzisiert, welche '''Kriterien''' bei der Entscheidung, ob eine Geldbuße verhängt wird, und bei der Festsetzung der Höhe der Geldbuße zu berücksichtigen sind.<ref>In jedem Einzelfall sind alle relevanten Umstände der konkreten Situation zu berücksichtigen. Darüber hinaus sind bspw die Art, Schwere und Dauer des Verstoßes und seiner Folgen; Größe, Jahresumsatz und Marktanteil des Akteurs; jegliche anderen erschwerenden oder mildernden Umstände etc.</ref>

=== Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der Union (Art 100 AI Act) ===
Parallel dazu gibt Art 100 AI Act Kriterien für die Verhängung von '''Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der Union''' durch den Europäischen Datenschutzbeauftragen vor.

Diesbezüglich drohen bei Missachtung der Verbotenen Praktiken (Art 5 AI Act) Geldbußen von bis zu 1 500 000 EUR und bei bei Nichtkonformität des KI-Systems anderen Anforderungen oder Pflichten Geldbußen von bis zu 750 000 EUR (Art 100 Abs 2, 3 AI Act).

=== Geldbußen für Anbieter GPAI-Modellen (Art 101 AI Act) ===
Art 101 AI Act wiederum normiert Sonderbestimmungen für Geldbußen für Anbieter von [[Artificial Intelligence Act (AIA)#GPAI-Modelle (Art 51 ff AI Act)|GPAI-Modellen]], die sich somit nur an einen eingeschränkteren Personen- bzw Unternehmenskreis richten als die "allgemeinen" Sanktionsbestimmungen des Art 99 AI Act.

Diesbezüglich liegt die Zuständigkeit, anders als bei den allgemeinen Sanktionen, bei der Europäischen Kommission. Diese kann gegen Anbieter von GPAI-Modellen '''Geldbußen von bis zu 3% ihres gesamten weltweiten Jahresumsatzes''' im vorangegangenen Geschäftsjahr oder '''15 000 000 Euro''' verhängen, je nachdem, welcher Betrag höher ist.

Dazu muss sie feststellen, dass der Anbieter vorsätzlich oder fahrlässig

* gegen die einschlägigen Bestimmungen des AI Act verstoßen hat (diese Blankettstrafnorm erfasst somit undefiniert alle relevanten Bestimmungen für GPAI-Modelle)
* der Anforderung eines Dokuments oder von Informationen durch die Kommission (Art 91 AI Act) nicht nachgekommen ist oder falsche, unvollständige oder irreführende Informationen bereitgestellt hat
* einer geforderten Maßnahme nicht nachgekommen ist (Art 93 AI Act, bspw Maßnahmen, um die Verpflichtungen gem Art 53, 54 AI Act einzuhalten oder Risikominderungsmaßnahmen)
* der Kommission keinen Zugang zu dem GPAI-Modell oder dem GPAI-Modell mit systemischem Risiko gewährt hat, um eine Bewertung durchführen (Art 92 AI Act, bspw um die Einhaltung der Pflichten aus dieser Verordnung durch den Anbieter zu beurteilen oder systemische Risiken auf Unionsebene zu ermitteln)
Bei der Festsetzung der Höhe der Geldbuße oder des Zwangsgelds muss der '''Art, der Schwere und der Dauer des Verstoßes''' sowie den Grundsätzen der Verhältnismäßigkeit und der Angemessenheit gebührend Rechnung getragen werden.

Geldbußen müssen wiederum wirksam, verhältnismäßig und abschreckend sein (Art 101 Abs 3 AI Act).

== Fallbeispiele ==

=== Beispiel 1: KI-gestütztes Kreditscoring ===
{| class="wikitable"
!Sachverhalt
|Ein KI-System, das bestimmungsgemäß für Kreditscoring eingesetzt wird, führt zur Verweigerung eines Kredits bzw günstigerer Kreditkonditionen für eine Interessentin.
Durch die Trainingsdaten des Systems wurde suggeriert, dass Frauen aufgrund eines niedrigeren Durchschnittseinkommens weniger kreditwürdig wären.
|-
!Einordnung AI Act
|Es liegt ein Hochrisiko-KI-System gemäß Artikel 6 Absatz 2 in Verbindung mit Anhang III Z 5 lit b vor (siehe im Detail [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 AI Act)|Hochrisiko-KI-Systeme im AI Act]]).
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 1: KI-gestütztes Kreditscoring|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 2: KI-Chatbot-Assistent für Bankkund*innen ===
{| class="wikitable"
!Sachverhalt
|Ein KI-Chatbotassistenz wird von einer Bank im Überweisungsprozess eingesetzt, um Kund*innen die Dateneingabe zu erleichtern.
Bei einem Kunden kommt es in der Folge (ohne sein Verschulden) dadurch zu einer fehlerhaften Überweisung, wobei der zehnfache Betrag überwiesen wird, weil das KI-System bei der Überweisungssumme eine Kommastelle falsch übernommen hat.<ref>Eventuelle sektorale bankenrechtliche Sonderbestimmungen, die auf dieses Beispiel Anwendung finden könnten, werden in diesem Kontext nicht behandelt und einbezogen.</ref>
|-
!Einordnung AI Act
|Auch wenn grundsätzlich ein KI-System im Sinne des AI Act vorliegt, würde hierbei grundsätzlich weder eine prinzipiell verbotene Praxis gemäß Art 5 AI Act, noch ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegen.
Es könnte allerdings, insbesondere je nach den Umständen des Kontextes, die Informationspflicht des Anbieters gemäß Art 50 Abs 1 AI Act einschlägig sein, wobei auf die Interaktion mit einem Chatbot hingewiesen werden muss (siehe im Detail [[Artificial Intelligence Act (AIA)#Transparenzpflichten (Art 50 AI Act)|Transparenzpflichten]]). Je nach Ausgestaltung könnte die Bank die Rolle des Anbieters, des Betreibers des KI-Systems oder beide Rollen zugleich einnehmen.
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 2: KI-Chatbot-Assistent für Bankkund*innen|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 3: KI-Assistenzsystem auf Betriebssystemebene für private Computer ===
{| class="wikitable"
!Sachverhalt
|Ein KI-Assistenzsystem, das standardmäßig auf Betriebssysstemebene bei einer bestimmten Marke privater Computer impementiert ist, wird durch eine Nutzerin des Computers aufgefordert, eine bestimmte Dateien (Scans von wichtigen, privaten Dokumenten) zu suchen.
Aufgrund einer Cybersicherheits-Schwachstelle ist es einem Angreifer allerdings zuvor gelungen, in das System einzudringen, sodass das Assistenzsystem die Dateien an den Angreifer schickt und anschließend auf dem Computer der Nutzerin löscht.

'''Variante:''' Es liegt kein Cyberangriff vor. Bei den von der Nutzerin gesuchten Dateien handelt es sich um Scans von einem Beschluss eines Grundbuchsgerichts zur Löschung eines Pfandrechts. Für die Nutzerin ist weiters nicht erkennbar, dass bei der Eingabe ihrer Suche ein KI-Assistenzsystem aktiv wird. Dieses interpretiert das Wort „''Löschung''“ im Suchbefehl als Anweisung, die entsprechenden Dateien direkt zu löschen, was daraufhin auch passiert.
|-
!Einordnung AI Act
|Für die Nutzerin als Betreiberin liegt vermutlich die "Haushaltsausnahme" vor, wodurch der AI Act nicht zur Anwendung kommt (Art 2 Abs 10 AI Act).
Für den Anbieter: Auch wenn grundsätzlich ein KI-System im Sinne des AI Act vorliegt, würde hierbei grundsätzlich weder eine prinzipiell verbotene Praxis gemäß Art 5 AI Act, noch ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegen. Selbst wenn das Assistenzsystem in einem Hochrisikobereich iSv Anhang III (zB durch Justizbehörden) Verwendung finden würde, könnte eine Ausnahme nach Art 6 Abs 3 AI Act vorliegen, wenn es kein erhebliches Risiko birgt. Es könnte allerdings, insbesondere je nach den Umständen des Kontextes, die Informationspflicht des Anbieters gemäß Art 50 Abs 1 AI Act einschlägig sein (siehe im Detail [[Artificial Intelligence Act (AIA)#Transparenzpflichten (Art 50 AI Act)|'''Transparenzpflichten''']]). Dies ist primär davon abhängig, ob man das Assistenzsystem als ein System klassifiziert, das "für die direkte Interaktion mit natürlichen Personen bestimmt" ist.
|-
!EInordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 3: KI-Assistenzsystem auf Betriebssystemebene für private Computer|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 4: KI-System zur Hautkrebserkennung, Diagnoseerstellung und Therapieempfehlung ===
{| class="wikitable"
!Sachverhalt
|Ein KI-System wird in einer Klinik zur Erkennung von Hautkrebs eingesetzt, wobei Bildaufnahmen der entsprechenden Hautstellen analysiert werden. Daraufhin erstellt das System eine vorläufige Diagnose und eine Empfehlung für eine Therapie.
Die Trainingsdaten des Systems bezogen sich jedoch überwiegend auf Personen mit hellerer Hautfabe, weshalb das System Hautkrebs bei Personen mit dünklerer Hautfarbe seltener erkennt bzw häufiger fehlerhafte Diagnosen und Therapievorschläge erstellt.

Im Fall eines Patienten folgt die behandelnde Ärztin den fehlerhaften Empfehlungen ohne ausreichende Prüfung, wodurch der Patient einen körperlichen Schaden erleidet.
|-
!Einordnung AI Act
|Da das KI-System ein entsprechendes Medizinprodukt nach der Medizinprodukteverordnung darstellt, die in Anhang I Abschnitt A genannt wird, und ein Konformitätsbewertungsverfahren unter Einbindung Dritter durchlaufen muss, handelt es sich um ein Hochrisiko-KI-System im Sinne des Art 6 Abs 1 AI Act.
Auf Seiten des Anbieters wurden insbesondere die Anforderungen an Trainingsdaten gemäß Art 10 AI Act verletzt.

Grundsätzlich würde die im Sachverhalt genannte Klinik wohl den Betreiber im Sinne des AI Acts darstellen (vgl jedoch die [[Artificial Intelligence Act (AIA)#Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act)|Möglichkeit der Änderung der Rolle]]). Diesbezüglich könnte eine Verletzung gegen die Pflicht zur menschlichen Aufsicht (Art 14 AI Act) vorliegen, wenn der Betrieb des Systems nicht entsprechend überwacht wird.
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 4: KI-System zur Hautkrebserkennung, Diagnoseerstellung und Therapieempfehlung|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 5: Transkriptionstool im Rahmen der Rechtspflege ===
{| class="wikitable"
!Sachverhalt
|Im Rahmen des Verfassens von Urteilen oder Protokollen wird das gesprochene Wort (Diktat des Entscheidungsorgans) digital aufgezeichnet und anschließend transkribiert. Das System ist in der Lage, mithilfe KI-gestützter Spracherkennung die jeweils Sprechenden (Speaker Diarisation) sowie juristische Begriffe und Redewendungen zu erkennen.
|-
!Einordnung AI Act
|Der Transkriptionssoftware liegt ein Sprachmodell (LLM) zugrunde, das auf maschinellem Lernen basiert. Dieses wird durch ein User-Interface praktisch nutzbar gemacht und stellt somit ein KI-System iSd AI Act dar.
Der Einsatz von KI in der Rechtspflege zu gewissen Zwecken kann in den Hochrisiko-KI-Bereich gemäß Art 6 Abs 2 iVm Anhang III Nr 8 lit a AI Act fallen. Solche Systeme sind jedoch nicht als hochriskant einzustufen, sofern sie für rein begleitende administrative Tätigkeiten bestimmt sind, worunter jedenfalls Spracherkennungsprogramme für das Diktieren von Entscheidungen fallen können (ErwGr 61). In einem nächsten Schritt ist die Ausnahmeregelung des Art 6 Abs 3 AI Act zu prüfen, wonach das System höchstwahrscheinlich gemäß lit a leg cit aus dem Hochrisiko-KI-Bereich ausgenommen ist, da es rein für Protokollierungszwecke eingesetzt wird und damit nur eine eng gefasste Verfahrensaufgabe übernimmt. Ebenso ist denkbar, gemäß lit d leg cit aus dem Hochrisiko-KI-Bereich ausgenommen zu sein, sofern das System lediglich eine vorbereitende Aufgabe für die Urteilserstellung übernimmt.

Bejaht man hingegen das Vorliegen von Hochrisiko-KI, so treffen deren Anbieter die Pflichten der Art 8 ff AI Act und den Betreiber insbesondere die Pflichten nach Art 26 und 27 AI Act.
Sofern es sich um ein KI-Modell mit allgemeinem Verwendungszweck (mit systemischem Risiko) handelt, treffen den Anbieter diesbezüglich Verpflichtungen.
Unabhängig von der Risikoeinstufung des Modells bzw Systems sind darüber hinaus die Transparenzpflichten nach Art 50 AI Act zu beachten sowie ein ausreichendes Maß an KI-Kompetenz unter den Beschäftigten, die mit dem Transkriptionstool arbeiten, herzustellen.
|}

=== Beispiel 6: KI-System zur Filterung und Priorisierung von Bewerbungen ===
{| class="wikitable"
!Sachverhalt
|Ein Unternehmen möchte eine neue Stelle besetzen und erhält unzählige Bewerbungen. Daher entschließt es sich, ein KI-basiertes System einzusetzen, das Bewerbungen filtert und mit einem Einstufungswert versieht, wodurch die Bewerbungen priorisiert werden. Die zuständigen HR-Mitarbeiter*innen weichen nicht mehr von dem Wert ab und vergeben die Stelle schließlich an jene Person, die den höchsten Einstufungswert erhalten hat.
|-
!Einordnung AI Act
|Sofern es sich bei der Anwendung um ein KI-System nach Art 3 Z 1 AI Act handelt, ist der Anwendungsbereich des AI Act grundsätzlich eröffnet. Das Unternehmen ist jedenfalls als dessen Betreiber zu qualifizieren, da es das System in eigener Verantwortung zu beruflichen Zwecken einsetzt. Sofern es das KI-System auch selbst entwickelt / entwickeln lässt und es unter eigener Marke bzw eigenem Namen in Betrieb nimmt, ist es sogar Anbieter.<ref>Vgl jedoch die [[Artificial Intelligence Act (AIA)#Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act)|Möglichkeit der Änderung der Rolle]].</ref>
Darüber hinaus stellt das System ein "eigenständiges" Hochrisiko-KI-System nach Art 6 Abs 2 iVm Anhang III Punkt 4a AI Act dar, da es bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet wird, um Bewerbungen zu filtern und Bewerber zu bewerten. Eine Ausnahme nach Art 6 Abs 3 AI Act vom Hochrisiko-KI-Bereich liegt nicht vor, da das KI-System das Ergebnis der Entscheidungsfindung wesentlich beeinflusst (von dem KI-generierten Eignungswert wird nicht mehr abgewichen). Je nach Rolle treffen das Unternehmen nun weitereichende Verpflichtungen. In den meisten Fällen wird das Unternehmen wohl als Betreiber zu klassifizieren sein, weshalb es unter anderem die Betreiberpflichten nach Art 26 AI Act zu erfüllen und unter gewissen Voraussetzungen eine Grundrechte-Folgenabschätzung nach Art 27 AI Act durchzuführen hat. Art 26 Abs 7 sieht grundsätzlich auch die spezielle Betreiberpflicht vor, vor Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems am Arbeitsplatz die Arbeitnehmervertreter und betroffenen Arbeitnehmer über den KI-Einsatz zu informieren. Inwieweit diese Verpflichtung auch gegenüber Bewerbern gilt, die streng genommen (noch) keine Arbeitnehmer sind, ist fraglich und wird wohl zu verneinen sind. Diese vermeintliche Rechtsschutzlücke wird jedoch ohnehin wieder durch die Verpflichtung gemäß Art 26 Abs 11 AI Act ausgeglichen, von Hochrisiko-KI-Entscheidungen betroffene Personen über diesen KI-Einsatz zu informieren.
|}

= Digitaler Omnibus =
Am 19. November 2025 stellte die Europäische Kommission das sogenannte '''„Digital Omnibus Package“''' vor, ein Legislativpaket mit dem Ziel, den digitalen Rechtsrahmen der EU zu vereinfachen.<ref name=":2">Vgl https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2718. </ref> Ziel der Maßnahme ist, Verwaltungs- und Umsetzungskosten zu senken, Rechtsklarheit zu erhöhen und insbesondere kleine und mittlere Unternehmen (KMU) zu entlasten, da Unternehmen zunehmend Schwierigkeiten bei der Umsetzung und Koordination von Vorgaben wie etwa dem AI Act sehen. Das Paket umfasst Änderungen und Anpassungen unterschiedlicher Rechtsrahmen, so auch einige Bestimmungen des AI Act.<ref>Vgl https://ec.europa.eu/newsroom/dae/redirection/document/121744.</ref> Inhaltliche Änderungen betreffen einerseits die Verpflichtung zur Sicherstellung von KI-Kompetenz (Art 4), welche nunmehr nicht Unternehmen bzw. Einrichtungen selbst treffen soll, sondern die Kommission und die Mitgliedstaaten sind dazu angehalten, Anbieter und Betreiber zur Sicherstellung eines angemessenen Maßes an KI-Kompetenz zu unterstützen. Ebenso stellt die Kommission eine Verzögerung der Anwendbarkeit der Hochrisiko-KI-Bestimmungen in Aussicht, welche mit 2. August 2026 bzw 2. August 2027 Anwendung erlangen sollten. Grund ist das Fehlen von entsprechenden Standards, die eigentlich bis August 2025 zu setzen waren und ohne die laut Kommission die Einhaltung der entsprechenden AI Act-Bestimmungen nicht möglich sei. Die Anwendbarkeit der Hochrisiko-KI-Bestimmungen soll sich um bis zu maximal 16 Monate verzögern, wobei die Vorschriften Geltung erlangen, sobald die Kommission die Verfügbarkeit der erforderlichen Standards und Unterstützungsinstrumente bestätigt.<ref name=":2" /> Darüber hinaus enthält der Vorschlag einen neuen Art 4a, der die Verarbeitung sensibler personenbezogener Daten zur Erkennung und Minderung von Bias unter gewissen Voraussetzungen ermöglicht.

= Weiterführende Literatur =

== Kommissionsleitlinien und sonstige Materialen/Verhaltenskodizes ==

* Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) vom 6. Februar 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118628
* Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) vom 4. Februar 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118661
* ''Europäische Kommission,''Living Repository zur Förderung des Lernens und des Austausches über KI-Kompetenz vom 04. Februar 2025 (mit Update von April 2025): https://ec.europa.eu/newsroom/dae/redirection/document/112203
* ''Europäische Kommission,''Praxisleitfaden für KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI Code of Practice) vom 10. Juli 2025: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
*# Kapitel zu Transparenz: https://ec.europa.eu/newsroom/dae/redirection/document/118120
*# Kapitel zu Urheberrecht: https://ec.europa.eu/newsroom/dae/redirection/document/118115
*# Kapitel zu Sicherheit: https://ec.europa.eu/newsroom/dae/redirection/document/118119
*''Europäische Kommission,''Leitlinien zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck nach dem AI Act vom 18. Juli 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118340
*''Europäische Kommission,''Leitlinien und Meldevorlagen zur Meldung schwerwiegender KI-Vorfälle gemäß Art 73 AI Act (''Entwurf, noch in Ausarbeitung''): https://digital-strategy.ec.europa.eu/de/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks
*''Europäische Kommission,'' AI Act Service Desk. Frequently Asked Questions (FAQs): https://ai-act-service-desk.ec.europa.eu/en/faq.
*''Europäische Kommission,''Whistleblower Tool for AI Act, https://digital-strategy.ec.europa.eu/en/news/commission-launches-whistleblower-tool-ai-act.
*''Europäische Kommission'', Entwurf eines Verhaltenskodex zur Transparenz von KI-generierten Inhalten vom 17. Dezember 2025: https://ec.europa.eu/newsroom/dae/redirection/document/123074.

== Einführungsbücher ==
* ''Hense/Mustac'', AI Act kompakt. Compliance Management- & Use Cases in der Unternehmenspraxis (2024)
* ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023)
* ''Ulbricht/Brajovic/Duhme'', Praxishandbuch KI und Recht (2024)
* ''Schwartmann/Keber/Zenner'' (Hrsg), KI-Verordnung. Leitfaden für die Praxis² (2024)
* ''Voigt/Hullen'', Handbuch KI-Verordnung. FAQ zum EU AI Act (2024)
* ''Wendt/Wendt'', Das neue Recht der Künstlichen Intelligenz. Artificial Intelligence Act (AI Act)2 (2025)
* ''Windholz'', Praxishandbuch KI-VO (2024)

== Kommentare ==
* ''Bomhard/Pieper/Wende'', KI-VO. Künstliche Intelligenz-Verordnung (2025)
* ''Ebers/Zou'', Artificial Intelligence Act. A Commentary (2025, iE)
* ''Feiler/Forgó'', KI-VO. EU-Verordnung über Künstliche Intelligenz (2024)
* ''Heinze/Steinrötter/Zerdick'', KI-Verordnung. Gesetz über künstliche Intelligenz (2025)
* ''Martini/Wendehorst'', KI-VO. Künstliche Intelligenz-Verordnung (2024) (2. Auflage 2026, iE)
* ''Pehlivan/Forgó/Valcke'', The EU Artificial Intelligence (AI) Act. A Commentary (2024)
* ''Reusch/Chibanguza'', KI-VO. Künstliche Intelligenz-Verordnung (2026, iE)
* ''Schefzig/Kilian,'' BeckOK KI-Recht3 (2025)
* ''Schwartmann/Keber/Zenner'', KI-VO (2024)
* ''Wendt/Wendt'', Artificial Intelligence Act. Article-by-Article Commentary (2026, iE)
* ''Wendt/Wendt'', Artificial Intelligence Act. Gesetz über Künstliche Intelligenz (2025)
* ''Zankl'', KI-Verordnung. Verordnung über künstliche Intelligenz (Artificial Intelligence Act) (2025)

== Weiterführende Materialien/Links ==
* ''BITKOM'', Get Started Guide. AI Act (Stand April 2024), https://www.bitkom.org/sites/main/files/2024-04/bitkom-get-started-guide-ai-act.pdf
* ''BITKOM'', Umsetzungsleitfaden zur KI-Verordnung. Compliance in der Praxis – Schritt für Schritt (Version 1.0 - Stand 29.10.2024), https://www.bitkom.org/sites/main/files/2024-10/241028-bitkom-umsetzungsleitfaden-ki.pdf
* ''BITKOM'', Umsetzungsleitfaden zur KI-Verordnung. Click-Through-Tool, https://www.bitkom.org/Klick-Tool-Umsetzungsleitfaden-KI-Verordnung
* ''CNIL'', Self-assessment guide for artificial intelligence (AI) systems, https://www.cnil.fr/en/self-assessment-guide-artificial-intelligence-ai-systems
* ''EDPB'', Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (2024), https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en
* ''European Parliament'', Legislative train: the AI Act, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-regulation-on-artificial-intelligence
* ''Future of Life Institute (FLI)'', AI Act Explorer, https://artificialintelligenceact.eu/ai-act-explorer/
* ''Future of Life Institute (FLI)'', EU AI Act Compliance Checker, https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/
* ''Gesellschaft für Datenschutz und Datensicherheit (GDD)'', GDD-Praxishilfe Europäische Datenstrategie: KI-VO, Data Act etc. - Adressaten und Regelungsschwerpunkte der neuen Digitalakte (Stand Juli 2024), https://www.gdd.de/wp-content/uploads/2024/07/GDD-Praxishilfe-Europaeische-Datenstrategie-KI-VO-Data-Act-etc-1.pdf
* ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.
* ''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024), https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.
* ''Hochrangige Expertengruppe für Künstliche Intelligenz,'' Ethik-Leitlinien für eine vertrauenswürdige KI (2019), https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=60425
* [https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0 Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA)]
* ''Österreichische Datenschutzbehörde'', FAQ zum Thema KI und Datenschutz (Stand: 2. Juli 2024), https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html
* ''Plattform Lernende Systeme'', AI Act der Europäischen Union. Regeln für vertrauenswürdige KI (Juni 2024), https://www.plattform-lernende-systeme.de/files/Downloads/Publikationen/KI_Kompakt/KI_Kompakt_AI_Act_Plattform_Lernende_Systeme_2024.pdf
* ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.
* ''WKO'', KI-Guidelines für KMU. Empfehlungen zum positiven Umgang mit künstlicher Intelligenz (Stand 11.03.2024), https://www.wko.at/digitalisierung/ki-guidelines-fuer-kmu

== Einzelnachweise ==

Hauptseite

2025-12-19T09:32:13Z

Mirjam.tercero: /* Einführung in das ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Dazu wurden essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert. So soll ein rascher Gesamtüberblick über den rechtlichen Stand ermöglicht werden. Aktuelle Änderungen wurden in den einzelnen Kapiteln mit '''Stand Dezember 2025''' gelb hervorgehoben.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt, wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]] (only in parts)

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen zu Beginn jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)/de|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Beteiligte Organisationen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der urpsrünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die großzügige Unterstützung von '''AIT''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Data Act (DA)

2025-12-19T08:30:40Z

Mirjam.tercero: /* Leitdokumente der Europäischen Kommission */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriften in einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach dem Entwurf um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur besseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''HamBfDI'', Der Data Act als Herausforderung für den Datenschutz, <nowiki>https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/2</nowiki><nowiki/>50429_Information_Data_Act_und_Datenschutz.pdf (Stand 29.04.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente und Hilfestellung der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': https://ec.europa.eu/eusurvey/runner/DataActLegalHelpdesk

== Nachweise ==

Data Act (DA)

2025-12-17T10:32:46Z

Mirjam.tercero: /* Datenzugang und Datenverwendung (Kapitel II bis III) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriften in einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach dem Entwurf um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur besseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''HamBfDI'', Der Data Act als Herausforderung für den Datenschutz, <nowiki>https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/2</nowiki><nowiki/>50429_Information_Data_Act_und_Datenschutz.pdf (Stand 29.04.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Liste der Beteiligten im ATLAWS-Projekt

2025-12-12T14:08:24Z

Mirjam.tercero:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt und haben das Projekt durch ihre finanzielle Unterstützung ermöglicht:
{| class="wikitable"
|+
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:BMBWF Logo.png|links|mini|215x215px]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
!
!
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:

[https://www.medunigraz.at/ Medizinische Universität Graz]

[https://www.uibk.ac.at/de/ Universität Innsbruck]

[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Liste der Beteiligten im ATLAWS-Projekt

2025-12-12T14:07:53Z

Mirjam.tercero:

Folgende Organisationen waren am co-creation-Prozess von ATLAWS beteiligt:
{| class="wikitable"
|+
|-
![[Datei:Gaia-x-Hub-Austria.png|links|mini]]
! rowspan="2" |[https://www.gaia-x.at/ Gaia-X Hub Austria]
Koordinierungsstelle:

[https://www.ait.ac.at/ Austrian Institute of Technology GmbH (AIT)]
|-
![[Datei:AIT Logo.png|links|mini]]
|-
![[Datei:Ossbig logo.png|links|mini]]
![https://www.ossbig.at/ Open Source Software Business Innovation Group (OSSBIG Austria)]
|-
![[Datei:Ispa logo.png|links|mini|279x279px]]
![https://www.ispa.at/ Internet Service Providers Austria (ISPA) – Verband der österreichischen Internet-Anbieter]
|-
![[Datei:BMF Logo.png|links|mini]]
![https://www.bmf.gv.at/ Bundesministerium für Finanzen (BMF)]
|-
![[Datei:BMBWF Logo.png|links|mini|215x215px]]
![https://www.bmbwf.gv.at/ Bundesministerium für Bildung, Wissenschaft und Forschung (BMBWF)]
|-
![[Datei:Austriatech.jpg|links|mini]]
![https://austriatech.at/ AustriaTech – Gesellschaft des Bundes für technologiepolitische Maßnahmen GmbH]
|-
!
!
|-
![[Datei:Uniko Logo.jpg|links|mini]]
! rowspan="4" |[https://uniko.ac.at/ Österreichische Universitätenkonferenz (uniko)]
via uniko:

[https://www.medunigraz.at/ Medizinische Universität Graz]

[https://www.uibk.ac.at/de/ Universität Innsbruck]

[https://www.plus.ac.at/ Paris Lodron Universität Salzburg]
|-
![[Datei:Logo-meduni-graz.png|links|mini|70x70px]]
|-
|[[Datei:Logo-uibk.png|links|mini|164x164px]]
|-
|[[Datei:PLUS Logo Farbe.png|links|mini|150x150px]]
|}
**

Hauptseite

2025-12-12T14:05:08Z

Mirjam.tercero: /* Einführung in das ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden. Aktuelle Änderungen wurden in den einzelnen Kapiteln mit '''Stand Dezember 2025''' gelb hervorgehoben.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]]

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)/de|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Beteiligte Organisationen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der urpsrünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die großzügige Unterstützung von '''AIT''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Hauptseite

2025-12-12T14:04:28Z

Mirjam.tercero: /* Beteiligte Organisationen im ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden. Aktuelle Änderungen wurden in den einzelnen Kapiteln mit Stand Dezember 2025 gelb hervorgehoben.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]]

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)/de|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Beteiligte Organisationen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der urpsrünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die großzügige Unterstützung von '''AIT''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Hauptseite

2025-12-12T14:00:13Z

Mirjam.tercero: /* Einführung in das ATLAWS-Projekt */

<languages/>
<translate>

Herzlich Willkommen im ATLAWS-Wiki


ATLAWS - Atlas for Tracking Law And Watching Standards<ref>[https://www.atlaws.eu www.atlaws.eu]</ref>

</translate>
[[Datei:ATLAWS Landkarte.png|mini|<translate> alternativtext=ATLAWS Landkarte</translate>]]
<translate>

= Einführung in das ATLAWS-Projekt = 


Das ATLAWS Projekt hat sich zum Ziel gesetzt, einen „'''digitalen Atlas'''“ für EU-Digital-Rechtsakte zu schaffen. Damit sollen essentielle Informationen übersichtlich dargestellt, sachlich durch einen Co-Creation-Prozess mit den [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] aufbereitet und mit Schlüsselinformationen zu (thematisch zusammenhängenden) Rechtsakten und Normen angereichert werden. So soll ein rascher Gesamtüberblick über den aktuellen rechtlichen Stand ermöglicht werden.


Der ATLAWS soll es Organisationen auch erlauben, in Details der Rechtsakte einzutauchen, um etwa Fragen zur Anwendbarkeit und zu drohenden Konsequenzen beantworten zu können.


Ziel ist einerseits eine '''systematische Informationsaufbereitung''', das heißt ein Ansatz, der sowohl die Feinheiten der einzelnen Rechtsakte als auch Synergieeffekte zwischen diesen berücksichtigt, und andererseits eine '''zielgruppenspezifische Informationsaufbereitung''', das heißt wie bei elektronischen Landkarten sollen Informationen genau in dem Detailgrad (der „Flughöhe“) abrufbar sein, auf der diese gerade benötigt werden.


Der ATLAWS soll dabei auf den ersten Blick '''vier Fragen''' beantworten:
# Welche „Acts“, Gesetze, Richtlinien etc. sind für Organisationen relevant?
# Welche Regeln müssen Organisationen einhalten?
# Wo bestehen Überschneidungen (Synergien) mit anderen Rechtsakten?
# Welche Strafen bzw. sonstige Konsequenzen (Verlust von Förderungen oder Kund*innen aus dem öffentlichen Bereich) drohen bei Nichtbeachtung?


Das ATLAWS-Projekt verfolgt einen co-creation-Ansatz, um die Ausarbeitung, die primär durch [[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Mitarbeiter*innen des Research Institute]] erfolgt, durch die Perspektive der [[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|beteiligten Organisationen]] anzureichern und so einen gegenseitigen Austausch zu fördern.


Nähere Informationen zum ursprünglichen Projekt finden Sie [https://wiki.atlaws.eu/images/2/28/Pitch_ATLAWS_RI_final_2024-05-15_%281%29.pdf hier].


Grundlegende Informationen zum Projekt finden sich auf folgender [https://www.atlaws.eu/ Überblicksseite].


For the [[Special:MyLanguage/Main|english version follow the link.]]

= Cluster = 


Um den co-creation-Prozess und die Mitwirkung durch die ATLAWS-Beteiligten zu fördern, wurden die Rechtsakte in vier thematische Cluster unterteilt, zu denen jeweils eigene Workshops abgehalten wurden. Die vier Cluster, eine erste Beschreibung des Clusters finden Sie durch Klick auf den Titel, sind:

=== [[Special:MyLanguage/Cybersecurity|Cybersecurity]] === 


* [[Network and Information Security Directive (NIS2-RL)/de|Network and Information Security Directive (NIS2-RL)]]
* [[Critical Entities‘ Resilience Directive (CER)/de|Critical Entities‘ Resilience Directive (CER-RL)]]
* [[Digital Operational Resilienec Act (DORA)/de|Digital Operational Resilience Act (DORA)]]
* [[Cyber Resilience Act (CRA)/de|Cyber Resilience Act (CRA)]]
* [[Cyber Solidarity Act/de|Cyber Solidarity Act]]
* [[Cyber Security Act (CSA)/de|Cyber Security Act (CSA)]]

=== [[Special:MyLanguage/Künstliche Intelligenz|Künstliche Intelligenz]] === 


* [[Special:MyLanguage/Artificial Intelligence Act (AIA)|Artificial Intelligence Act (AIA)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Produkhaftungsrichtlinie neu|Product Liability Directive (PLD)]]
* [[Special:MyLanguage/KI-Haftungsregelungen#Vorschlag für AI Liability Directive|AI Liability Directive (AILD)]] [zum derzeitigen Stand von der Kommission zurückgezogen]

=== [[Special:MyLanguage/Digitale Dienste und Märkte|Digitale Dienste und Märkte]] === 


* [[Special:MyLanguage/Digital Markets Act (DMA)|Digital Markets Act (DMA)]]
* [[Special:MyLanguage/Digital Services Act (DSA)|Digital Services Act (DSA)]]
* [[Special:MyLanguage/Regulation on electronic identification and trust services (eIDAS)|Regulation on electronic identification and trust services (eIDAS [2.0])]]
* [[Special:MyLanguage/Ecodesign|Ecodesign for Sustainable Products Regulation (ESPR]])

=== [[Special:MyLanguage/Datenstrategie|Datenstrategie]] === 


* [[Special:MyLanguage/Data Act (DA)|Data Act (DA)]]
* [[Special:MyLanguage/Data Governance Act (DGA)|Data Governance Act (DGA)]]
* [[Special:MyLanguage/Interoperability Act (IA)|Interoperability Act (IA)]]
* [[Special:MyLanguage/European Health Data Space (EHDS)|European Health Data Space (EHDS)]]


= Beteiligte Organisationen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Beteiligten im ATLAWS-Projekt|Liste der urpsrünglich Beteiligten im ATLAWS-Projekt]]

Die Aktualisierung im Dezember 2025 wurde dankenswerterweise durch die Unterstützung von '''AIT''', '''OSSBIG''' und '''ISPA''' ermöglicht.


= Co-Creation-Workshops =
Informationen und Materialien (Präsentationen, Aufzeichnungen) zu den abgehaltenen Workshops finden Sie [[Special:MyLanguage/Co-creation-workshops|hier]].


= Mitarbeiter*innen im ATLAWS-Projekt =
[[Special:MyLanguage/Liste der Mitarbeiter und Mitarbeiterinnen|Liste der Mitarbeiter*innen]]

= Hinweise = 

== Hinweis zum gendergerechten Sprachgebrauch == 


Die relevanten Gesetzestexte verwenden für die Beschreibung natürlicher und juristischer Personen in der Regel das generische Maskulinum. Bei Begriffen wie bspw "Hersteller", "Anbieter" oder "Nutzer" handelt es sich somit um keine von den Verfasser*innen gewählten Bezeichnungen, sondern um legal definierte Rechtsbegriffe.


In allen anderen Fällen wird im Sinne eines diskriminierungsfreien Sprachgebrauchs das Gendersternchen verwendet.

== Disclaimer zu Rechtsberatung und Haftung == 


Die Inhalte in diesem Wiki stellen lediglich allgemeine Information dar und ersetzen keine Rechtsberatung.


Das Research Institute übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieser Inhalte.

= Hilfe = 


Besuche unsere [[Special:MyLanguage/Hilfe|Hilfe-Seite]].

= Einzelnachweise = 
</translate>

Digital Markets Act (DMA)

2025-12-09T14:01:49Z

Mirjam.tercero: /* Fallbeispiele */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=1925|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828|Kurztitel=Gesetz über digitale Märkte/Digital Markets Act|Bezeichnung=DMA|Rechtsmaterie=Binnenmarkt, Wettbewerb|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/265, 1|Anzuwenden=2. Mai 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergien
!Konsequenzen
|-
|Sicherstellung fairer und offener digitaler Märkte
|Von EU Kommission benannte '''Gatekeeper''': Unternehmen mit einem signifikanten Einfluss auf den Binnenmarkt (richtet sich nach Umsatz, Nutzerzahl und Marktposition), die einen zentralen Plattformdienst anbieten
|Einführung einer Ex-ante-Regulierung: Gatekeeper müssen bestimmte Verhaltensweisen unterlassen und proaktive Maßnahmen setzen
|Direkte Verknüpfung mit dem [[Digital Services Act (DSA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Sanktionen wegen Nichteinhaltung werden direkt von der Europäischen Kommission verhängt, Nationale Behörden können bei der Durchsetzung dieser eine Rolle spielen
|-
|Förderung von Wettbewerb und Innovation
|Zentrale Plattformdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("'''Marktortprinzip'''"): Vermittlungsdienste, Betriebssysteme, soziale Netzwerke, Webbrowser, Suchmaschinen, Kommunikationsdienste, Werbedienste, Video-Sharing Plattformen
|Verpflichtungen für Gatekeeper, um fairen Wettbewerb zu gewährleisten, zB Verbot der Selbstbevorzugung ihrer eigenen Produkte und Dienste.
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|'''Geldbußen''' von bis zu '''10% des weltweiten Jahresumsatzes''' des betreffenden Gatekeepers im vorangegangenen Geschäftsjahr für Verstöße gegen die Verpflichtungen des DMA
|-
|Schutz von Unternehmen und Verbrauchern vor unfairen Praktiken
|Gatekeeper
|Regeln für Zugang zu Plattformen, Datenzugang, Interoperabilität und Transparenz
|Ergänzung (keine Verdrängung) von bestehenden nationalen oder europäischen Wettbewerbsvorschriften
|'''Geldbußen''' von bis zu '''20% des weltweiten Jahresumsatzes''' bei wiederholten Verstößen gegen dieselbe Verpflichtung bzw betreffend denselben Plattformdienst
|-
|Verwirklichung des Binnenmarktes
|Gatekeeper
|Verpflichtungen zum Schutz der Endnutzer und gewerblichen Nutzer
|Die von den Gatekeepern ergriffenen Maßnahmen müssen mit den relevanten Vorschriften, insbesondere in den Bereichen Cybersicherheit, Verbraucherschutz, Produktsicherheit und Barrierefreiheit, im Einklang stehen.
|'''Zwangsgelder''': bis zu '''5% des durchschnittlichen weltweiten Tagesumsatzes''', falls ein Unternehmen bestimmten Beschlüssen nicht nachkommt
|-
|Rechtssicherheit
|Anwendbarkeit seit dem 2. Mai 2023
|Zusätzlicher Schutz von personenbezogenen Daten im Zusammenhang mit zentralen Plattformdiensten
|Grundrechtsbezüge, insbesondere das Recht auf Datenschutz und Nichtdiskiminierung
|Bei systematischen Verstößen können sogar '''strukturelle Maßnahmen''' ergriffen werden, die eine Anpassung oder Veränderung der Unternehmensstruktur umfassen
|}
== Einleitung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der '''Digital Markets Act (DMA)''' legt einheitliche Regeln für große Online-Plattformen fest, um ein reibungsloses Funktionieren des Binnenmarktes zu gewährleisten und faire Wettbewerbsbedingungen im digitalen Sektor sicherzustellen. Ziel des DMA ist es, die Marktmacht sogenannter „Gatekeeper" („Torwächter“) zu regulieren, die aufgrund ihrer Größe und ihres Einflusses eine zentrale Rolle im digitalen Raum spielen. Dadurch soll ein innovationsfreundliches Umfeld geschaffen werden, das den Wettbewerb stärkt und den Zugang für kleinere Unternehmen erleichtert. Der DMA zielt auch darauf ab, den Verbraucherschutz zu verbessern und das Potenzial des digitalen Binnenmarktes voll auszuschöpfen. Der DMA normiert spezifische Verpflichtungen für Gatekeeper, um wettbewerbsverzerrende Praktiken zu verhindern, wie die Bevorzugung eigener Produkte oder die Einschränkung des Zugangs zu wichtigen Plattformdiensten. Zusammen mit dem [[Digital Services Act (DSA)]] bildet der DMA das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll.

Der DMA besteht aus 54 Artikeln und ist wie folgt strukturiert:

* '''Kapitel 1 und 2''' enthalten Bestimmungen zum Anwendungsbereich, zu den Kriterien für Gatekeeper und zu wesentlichen Definitionen (Art 1-4).
* '''Kapitel 3''' legt die Pflichten der Gatekeeper fest, darunter das Verbot bestimmter Praktiken und Anforderungen an Interoperabilität und fairen Zugang (Art 5-15, wobei die wichtigsten Bestimmungen in den Art 5-7 zu finden sind).
* '''Kapitel 4 und 5''' behandeln die Durchsetzung, einschließlich Sanktionen, Marktuntersuchungen durch die EU-Kommission und die Zusammenarbeit mit nationalen Behörden (Art 16-43).
* '''Kapitel 6''' regelt die Veröffentlichung von Beschlüssen, die richterliche Überprüfung von Sanktionen sowie das Inkrafttreten der Verordnung (Art 44-54).

== Anwendungsbereich ==

=== Räumlich ===
Der DMA gilt für alle Anbieter von zentralen Plattformdiensten (ZPD), die in der EU tätig sind, also ihre Leistungen für Nutzer in der EU anbieten. Es spielt keine Rolle, ob der Anbieter seinen Sitz innerhalb oder außerhalb der Europäischen Union hat (Art 1 Abs 2 DMA), womit der DMA dem sogenannten Marktortprinzip folgt.

=== Sachlich ===
Sachlich ist der DMA auf '''zentrale Plattformdienste''' (ZPD, eine Definition und Auflistung der als zentrale Plattformdienste geltenden Dienste findet sich in Art 2 Z 2 iVm Art 2 Z 3-13 DMA) anwendbar, die von „Gatekeeper"- („Torwächter“) Unternehmen bereitgestellt werden. Der Begriff „Gatekeeper“ bezieht sich auf große digitale Plattformen, die eine zentrale Rolle auf den digitalen Märkten spielen und durch ihre Marktstellung einen erheblichen Einfluss auf andere Marktteilnehmer haben.

Die EU-Kommission hat die Kompetenz, Unternehmen als Gatekeeper zu benennen, wenn alle der drei folgenden Kriterien erfüllt sind (Art 3 Abs 1 DMA):

* Das Unternehmen hat einen erheblichen Einfluss auf den Binnenmarkt,

* es stellt einen zentralen Plattformdienst bereit, der gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dient,
* und es hat hinsichtlich seiner Tätigkeiten eine gefestigte und dauerhafte Position inne (bzw es ist absehbar, dass es eine solche Position in naher Zukunft erlangen wird).
[[Datei:DMA designations 2025update.jpg|mini|500x500px|Torwächter oder "Gatekeeper" nach dem DMA © Europäische Kommission<ref>''European Commission'', Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (Stand 10.10.2025).</ref>]]
Es wird davon ausgegangen, dass ein Unternehmen diese jeweiligen Anforderungen erfüllt, wenn es – je nach Anforderung – bestimmte Umsatzgrenzen überschreitet und eine gewisse Nutzerzahl aufweist (Siehe dazu die Voraussetzungen in Art 3 Abs 2 lit a-c DMA). Um als Gatekeeper eingestuft zu werden, müssen somit sowohl qualitative (Art 3 Abs 1 lit a-c DMA) als auch quantitative (Art 3 Abs 2 lit a-c DMA) Kriterien erfüllt sein.

Die Unternehmen Alphabet, Amazon, Apple, Booking, ByteDance, Meta und Microsoft wurden von der EU-Kommission bereits als Gatekeeper eingestuft. Folgende ZPD dieser Unternehmen unterliegen derzeit der Regulierung:<ref>''European Commission'', Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en. </ref>

* Vermittlungsdienste (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Booking)
* Soziale Netzwerke (Facebook, Instagram, LinkedIn, TikTok)
* Werbeservices (Amazon Advertising, Google Ads und Meta Ads)
* Betriebssysteme (Google Android, iOS, iPadOS, Windows-PC-OS)
* Webbrowser (Chrome und Safari)
* Kommunikationsservices (Facebook Messenger und WhatsApp, beide im Besitz von Meta)
* Video-Sharing-Plattformen (YouTube)
* Suchmaschinen (Google)
Auffallend ist, dass somit derzeit kein Gatekeepter wegen eines Cloud-Dienstes designiert wurde.

=== Zeitlich ===
Der DMA ist am 1. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 2. Mai 2023 vollumfänglich anwendbar (Art 54 DMA). Da es sich beim DMA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.

== Zentrale Inhalte ==
Der DMA konzentriert sich auf die Sicherstellung fairer und offener digitaler Märkte, indem er gezielte Verpflichtungen für sogenannte Gatekeeper, also große Online-Plattformen mit erheblichem Markteinfluss, festlegt. Er normiert klare Regeln zur Verhinderung unlauterer Praktiken, die den Wettbewerb behindern könnten, wie etwa die Selbstbevorzugung eigener Produkte oder die Einschränkung der Interoperabilität. Der DMA ist somit eine „ex ante Regulierung“, die bereits vorab bestimmte Verpflichtungen für Anbieter zentraler Plattformdienste festlegt und seine Anwendbarkeit an eine Benennung als Gatekeeper durch die EU-Kommission knüpft.<ref>''European Commission'', About the Digital Markets Act, https://digital-markets-act.ec.europa.eu/about-dma_en. </ref>

Zu den Kernpflichten des DMA gehören das Verbot diskriminierender Geschäftsmodelle, die Verpflichtung zur Sicherstellung eines fairen Zugangs zu Plattformen und der Schutz der Interessen von Geschäftsnutzern und Verbrauchern. Der DMA sieht darüber hinaus umfassende Überwachungs- und Durchsetzungsmechanismen vor, inklusive der Möglichkeit, empfindliche Sanktionen bei Verstößen zu verhängen. Abschließend regelt der DMA die länderübergreifende Zusammenarbeit der nationalen Behörden unter der Leitung der EU-Kommission zur Sicherstellung einer einheitlichen Umsetzung und Durchsetzung der Verordnung.

'''<big>Pflichtenkatalog</big>'''

In den folgenden Abschnitten werden die in Kapitel 3 des DMA festgelegten Pflichten der Gatekeeper, aus denen regelmäßig auch Rechte für Endnutzer hervorgehen, nach thematischen Schwerpunkten gegliedert. Das Kapitel umfasst die Art 5-15, wobei die relevantesten Bestimmungen in den Art 5-7 zu finden sind.

=== Schutz personenbezogener Daten ===
Der DMA knüpft in seiner Definition von personenbezogenen Daten an dem Begriffsverständnis der DSGVO an (Art 2 Z 25 DMA), wonach personenbezogene Daten alle Informationen umfassen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Vgl die genaue Definition in Art 4 Z 1 DSGVO). Ohne die ausdrückliche Einwilligung des Endnutzers ist dem Gatekeeper die Zusammenführung personenbezogener Daten zwischen seinen Diensten und Drittanbietern wie folgt untersagt (Art 5 Abs 2 DMA):

* Gatekeeper dürfen personenbezogene Daten von Endnutzern, die einen Drittdienst nutzen, welcher auf zentrale Plattformdienste des Gatekeepers zugreift oder damit interagiert, nicht für Online-Werbung verwenden.
* Es ist ihnen zudem untersagt, personenbezogene Daten aus einem zentralen Plattformdienst mit Daten aus anderen Plattformdiensten oder von Dritten zu verknüpfen.
* Eine Weiterverwendung personenbezogener Daten zwischen verschiedenen Diensten des Gatekeepers sowie die automatische Anmeldung von Endnutzern bei anderen Diensten zur Datenverknüpfung ist ebenfalls verboten.

=== Wettbewerbsschutz und Transparenz ===
Der DMA enthält zahlreiche Bestimmungen, die Gatekeepern wettbewerbsverzerrende Praktiken untersagen oder sie verpflichten, Informationen offenzulegen, um einen transparenten und fairen digitalen Markt zu fördern:

* Gewerbliche Nutzer sind frei, über welche und wie viele Kanäle sie ihren Endnutzern ihre Produkte und Dienstleistungen anbieten, auch zu anderen Preisen oder Bedingungen als jenen beim Gatekeeper (Art 5 Abs 3 DMA). Damit wird sogenannten '''Meistbegünstigungsklauseln''' Einhalt geboten, die Geschäftsnutzer dazu zwingen, auf dem ZPD immer die besten Konditionen anzubieten. Diese Klauseln hindern die gewerblichen Nutzer daran, ihre Produkte oder Dienstleistungen auf anderen Kanälen (zB eigenen Websites oder konkurrierenden Plattformen) zu günstigeren Bedingungen zu verkaufen. Ergänzend dazu dürfen Geschäftsnutzer Endnutzer, die sie über die Plattform des Gatekeepers akquiriert haben, auch auf andere Plattformen und Angebote hinweisen und auf der Gatekeeper-Plattform kostenlos für diese Alternativen werben (Art 5 Abs 4 DMA: '''Kommunikation zu Endnutzern''').
* Zusätzlich zu diesen Vorgaben verbietet der DMA Gatekeepern die '''Nutzung von Daten im Wettbewerb''' (Art 6 Abs 2), um die Nutzung von Plattform-Daten ihrer Geschäftsnutzer nicht zu ihren eigenen wettbewerblichen Vorteilen zu missbrauchen.
* Ein weiteres wichtiges Verbot betrifft das sogenannte '''„Self-preferencing'''“ (Art 6 Abs 5 DMA): Produkte und Dienstleistungen von Dritten dürfen im Ranking, bei der Indexierung und der Auffindbarkeit auf der Plattform nicht schlechter platziert werden als die Angebote des Gatekeepers. Das Ranking muss für die Nutzer transparent, fair und diskriminierungsfrei erfolgen.
* Der DMA verpflichtet Gatekeeper, '''Informationen zu Werbepreisen''' sowohl für Anzeigenkunden als auch für Herausgeber transparent offenzulegen (Art 5 Abs 9 und 10 DMA). Zusätzlich werden im DMA umfassende Offenlegungspflichten für Werbeanzeigen auf zentralen Plattformdiensten (ZPD) geregelt (Art 6 Abs 8 DMA). Werbetreibende und Publisher erhalten unentgeltlich detaillierte '''Informationen über die Wirksamkeit ihrer Werbeanzeigen''' und Zugang zu Tools zur Leistungsmessung, um eine transparente Analyse sicherzustellen. Darüber hinaus erhalten gewerbliche Nutzer laut Art 6 Abs 10 DMA kostenlosen '''Echtzeitzugang zu aggregierten und nicht aggregierten Nutzungsdaten''' des ZPD, um fundierte Geschäftsentscheidungen treffen zu können.
* Der Gatekeeper muss Drittunternehmen, die Suchmaschinen betreiben, fairen und diskriminierungsfreien '''Zugang zu Suchmaschinendaten''' gewähren, wobei personenbezogene Daten anonymisiert werden (Art 6 Abs 11 DMA).
* Zudem müssen gewerbliche Nutzer zu Plattformdiensten wie App-Stores oder sozialen Netzwerken '''faire und transparente Zugangsbedingungen''' erhalten, die öffentlich einsehbar sind (Art 6 Abs 12 DMA). Die '''Kündigung eines zentralen Plattformdienstes''' muss für gewerbliche Nutzer unter fairen und verhältnismäßigen Bedingungen möglich sein, ohne unnötige Hürden (Art 6 Abs 13 DMA).

=== Schutz der Endnutzer ===
* Artikel 5 Abs 5 DMA ermöglicht Endnutzern den '''Zugriff auf digitale Inhalte''' wie Videos, Musik oder Abonnements über die zentrale Plattform, selbst wenn diese Inhalte außerhalb der Plattform erworben wurden.
* Gatekeeper dürfen '''Rechtsbehelfe der Nutzer nicht einschränken''', sodass diese weiterhin ihre rechtlichen Ansprüche geltend machen können (Art 5 Abs 6 DMA, gilt auch für gewerbliche Nutzer).
* Zudem gilt ein '''Koppelungsverbot''', das es Gatekeepern untersagt, den Zugang zu einem Dienst an die Nutzung eines anderen Dienstes – wie Identifizierungsdienste, Webbrowser-Engines oder Zahlungsdienste – zu binden (Art 5 Abs 7 DMA, gilt auch für gewerbliche Nutzer). Darüber hinaus dürfen Gatekeeper keine '''Registrierungspflicht''' für andere Dienste auferlegen, um Zugang zu ihren Plattformen zu erhalten (Art 5 Abs 8 DMA, gilt auch für gewerbliche Nutzer).
* Gatekeeper müssen zudem sicherstellen, dass Endnutzer die Möglichkeit haben, '''vorinstallierte Software zu deinstallieren''' und ihre '''Standard-Einstellungen zu ändern''' (Art 6 Abs 3 DMA).
* Nutzern muss es auch gestattet sein, '''Apps aus externen Quellen zu installieren''' (Art 6 Abs 4 DMA), ohne durch den Gatekeeper eingeschränkt zu werden.

* Schließlich darf die '''Wechselmöglichkeit zu konkurrierenden Diensten''' nicht behindert oder eingeschränkt werden (Art 6 Abs 6 DMA).

=== Interoperabilität ===
Ein weiteres Ziel des DMA ist es, Interoperabilität zu gewährleisten, also die Fähigkeit zum Zusammenspiel verschiedener Systeme. Dies soll verhindern, dass Nutzer eines ZPD aufgrund der marktbeherrschenden Stellung des Anbieters gezwungen sind, dort zu bleiben, weil ein Wechsel zu einem konkurrierenden Produkt mit zu großen Hürden verbunden wäre:

* Der Gatekeeper öffnet seine Plattform für '''Diensteanbieter und Hardware-Anbieter''', indem kostenlos wirksame '''Interoperabilität''' gewährleistet wird (Art 6 Abs 7 DMA).
* Gatekeeper müssen '''Endnutzern''' und von ihnen beauftragten Dritten auf Anfrage kostenlos die '''Übertragung von Nutzerdaten''' ermöglichen, die im Zusammenhang mit der Nutzung der Plattform entstanden sind. Dies schließt auch kostenlose Werkzeuge zur einfachen Datenübertragung und einen Echtzeitzugang zu diesen Daten ein (Art 6 Abs 9 DMA).

Besonders für die Interoperabilität von sogenannten '''nummernunabhängigen interpersonellen Kommunikationsdiensten''' (im üblichen Sprachgebrauch: Messengerdienste) wie zB Facebook Messenger und WhatsApp legt Art 7 DMA zahlreiche Verpflichtungen fest, auf die hier aber nicht näher eingegangen wird.

=== Marktuntersuchung ===
Die Europäische Kommission ist gemäß Art 16 DMA befugt, umfassende Untersuchungen durchzuführen, um gegebenenfalls Durchführungsrechtsakte gegenüber Gatekeepern zu erlassen. Die im DMA festgelegten Zwecke dieser Untersuchungen umfassen:

==== Die Benennung von Gatekeepern (Art 17): ====
Die EU Kommission prüft, ob ein Unternehmen nach Art 3 Abs 8 DMA als Gatekeeper einzustufen ist, oder ermittelt die einschlägigen zentralen Plattformdienste, die nach Art 3 Abs 9 DMA im Beschluss enthalten sein müssen. In dem Artikel ist eine nicht bindende Frist von 12 Monaten vorgesehen, die lediglich als Richtlinie dient. Die Untersuchung wird mit einem Durchführungsrechtsakt abgeschlossen, in dem die Entscheidung der Kommission dargelegt wird.

==== Die Feststellung systematischer Verstöße eines Gatekeepers gegen den DMA (Art 18): ====
Ergibt die Untersuchung, dass ein Gatekeeper seine Verpflichtungen aus dem DMA systematisch verletzt hat und sich die Torwächter-Position nicht geschwächt hat, kann die Kommission verhaltensbezogene oder strukturelle (bezogen auf die Unternehmensstruktur) Abhilfemaßnahmen setzen. Als Hinweis auf eine systematische Nichteinhaltung dient Abs 3 dieses Artikels: Wenn innerhalb von acht Jahren drei Nichteinhaltungsbeschlüsse (Art 29 DMA) wegen Verstößen gegen die Verpflichtungen nach Art 5-7 DMA erlassen werden, ist von einer systematische Nichteinhaltung auszugehen. Für diese Marktuntersuchung inklusive Durchführungsrechtsakt besteht eine bindende Frist von 12 Monaten, die jedoch um bis zu sechs Monate aus objektiven Gründen (Abs 7) verlängert werden kann.

==== Die Aufnahme neuer Dienste und Praktiken in den Anwendungsbereich des DMA (Art 19): ====
Diese Art der Marktuntersuchung ermöglicht es der EU-Kommission, Anpassungen des DMA anzustoßen, um wirksam auf neue, bislang nicht erfasste Plattformdienste und Praktiken zu reagieren. Falls die Beurteilung, die innerhalb von 18 Monaten abzuschließen ist, zeigt, dass weitere Dienste oder Verpflichtungen vom DMA geregelt werden sollen, hat die Kommission verschiedene Optionen zur Reaktion:

* '''Gesetzgebungsvorschlag:''' Die Kommission kann dem Europäischen Parlament und dem Rat einen Änderungsvorschlag vorlegen, um neue zentrale Plattformdienste (nach Art 2 Z 2 DMA) oder Verpflichtungen (in Kapitel 3) in den DMA aufzunehmen oder bestehende Verpflichtungen oder Dienste zu streichen.
* '''Delegierte Rechtsakte:''' Alternativ kann die Kommission durch delegierte Rechtsakte die bestehenden Verpflichtungen anpassen. Dabei können spezifische Regelungen der Art 5-7 DMA ergänzt oder geändert werden (Rechtsgrundlage: Art 12 DMA). Delegierte Rechtsakte bieten der Kommission eine gewisse Flexibilität, ohne ein vollständiges Gesetzgebungsverfahren durchlaufen zu müssen. Diese müssen jedoch innerhalb festgelegter Fristen vom Europäischen Parlament und dem Rat überprüft und genehmigt werden (Vgl Art 49 DMA).

=== Untersuchungs-, Durchsetzungs- und Überwachungsbefugnisse ===
Um die Durchsetzung des DMA zu gewährleisten, ist die Kommission mit umfangreichen Befugnissen ausgestattet, die in Kapitel V zu finden sind:

* Unternehmen können zur Bereitstellung von Informationen und Zugang zu Daten, Algorithmen und Tests aufgefordert werden (Art 21 DMA: '''Auskunftverlangen''').
* Die Kommission kann natürliche oder juristische Personen zum Zweck der Informationsbeschaffung im Rahmen einer Untersuchung befragen und die Befragung aufzeichnen, wobei die Einwilligung der betroffenen Person erforderlich ist (Art 22 DMA: '''Befragung und Aufnahme von Aussagen''').
* Die Kommission kann umfassende '''Nachprüfungen''' bei Unternehmen durchführen (Art 23 DMA): Ihre Befugnisse umfassen den Zugang zu Geschäftsunterlagen, IT-Systemen, Algorithmen und Betriebsräumen der Unternehmen sowie die Möglichkeit, Aussagen von Mitarbeitenden zu protokollieren. Die Kommission kann nationale Behörden um Unterstützung bitten und, falls erforderlich, Polizeigewalt einsetzen. Dafür notwendige Gerichtliche Genehmigungen werden nur zur Überprüfung der Rechtmäßigkeit und Verhältnismäßigkeit des Einsatzes von Zwangsmaßnahmen eingeholt, jedoch ohne die Notwendigkeit der Nachprüfung infrage zu stellen.
* Die Kommission kann in dringenden Fällen befristete '''einstweilige Maßnahmen''' gemäß Art 24 DMA gegen Gatekeeper erlassen, um schwerwiegenden und irreparablen Schaden für Nutzer (gewerbliche oder Endnutzer) zu verhindern. Diese Maßnahmen sind nur während eines laufenden Verfahrens möglich, das auf einen möglichen Nichteinhaltungsbeschluss abzielt.

=== Sonstige Bestimmungen ===
In Art 40 DMA ist die Einrichtung einer sogenannten '''hochrangigen Gruppe''' festgelegt, die aus Vertretern von europäischen Gremien und Netzwerken (max. 30 Mitglieder), wie zB dem europäischen Wettbewerbsnetz, besteht. Diese Gruppe berät die Kommission bei Fragen zur Anwendung und Durchsetzung des DMA und fördert einen einheitlichen Regulierungsansatz. Sie prüft Wechselwirkungen zwischen dem DMA und anderen sektorspezifischen Vorschriften und legt dazu jährlich einen Bericht vor. Zusätzlich kann die Gruppe die Kommission bei Marktuntersuchungen unterstützen und gibt Empfehlungen zu möglichen Anpassungen des DMA.

Wie bereits in der Sektion zu Marktuntersuchungen (siehe Art 19 DMA) erläutert, hat die Kommission die Befugnis, '''delegierte Rechtsakte''' zu erlassen. Diese ermöglichen es ihr, bestimmte technische und detaillierte Aspekte des DMA anzupassen, um auf Entwicklungen im Markt oder in der Technologie flexibel reagieren zu können, ohne dass eine vollständige Überarbeitung des Gesetzes erforderlich ist. Die Bedingungen hierfür werden in Art 49 DMA festgelegt: Die Kommission erhält die Befugnis, delegierte Rechtsakte gemäß Art 3 Abs 6 und 7 DMA (Änderung quantitativer Schwellenwerte zur Einstufung als Gatekeeper und dessen Methodik) sowie Art 12 Abs 1, 3 und 4 DMA (siehe oben zu Art 19 DMA) für fünf Jahre ab dem 1. November 2022 zu erlassen. Diese Befugnis verlängert sich automatisch, es sei denn, das Europäische Parlament oder der Rat widersprechen. Die Befugnis kann jederzeit vom Parlament oder Rat widerrufen werden. Vor Erlass eines Rechtsakts konsultiert die Kommission Sachverständige der Mitgliedstaaten. Der Rechtsakt tritt nur in Kraft, wenn weder das Parlament noch der Rat innerhalb von zwei Monaten Einwände erheben.

Die Kommission kann gemäß Art 46 DMA '''Durchführungsrechtsakte''' erlassen, um detaillierte Regelungen zur Anwendung des DMA festzulegen. Diese betreffen verschiedene Bereiche wie die Form und den Inhalt von Mitteilungen, technische Maßnahmen zur Einhaltung der Vorgaben für Torwächter (Gatekeeper), sowie operative Vorkehrungen für die Interoperabilität von Kommunikationsdiensten. Zudem regelt sie die Modalitäten für Marktuntersuchungen, das rechtliche Gehör, die Offenlegung von Informationen und die Zusammenarbeit mit nationalen Behörden.

Art 50 DMA beschreibt das Ausschussverfahren, bei dem die Kommission durch einen '''Beratenden Ausschuss für digitale Märkte''' unterstützt wird. Dieser Ausschuss setzt sich aus Vertretern der EU-Mitgliedstaaten zusammen und nimmt eine zentrale Rolle bei der Erarbeitung von Durchführungsrechtsakten ein, beispielsweise wenn die Kommission konkrete Maßnahmen gegenüber einem Gatekeeper festlegen möchte. Dieser Ausschuss arbeitet gemäß der [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:32011R0182 Verordnung (EU) Nr. 182/2011], die die allgemeinen Regeln für die Durchführung von Ausschussverfahren innerhalb der EU festlegt.

Im Kontext des DMA wird der '''Beratende Ausschuss''' in zwei Verfahrensarten aktiv:

# Beratungsverfahren (Art 50 Abs 2 DMA): Im Beratungsverfahren wird der Ausschuss konsultiert, um eine Stellungnahme zu einem Entwurf zu geben, jedoch bleibt die endgültige Entscheidung in den Händen der Kommission. Im DMA kommt fast ausschließlich dieses Verfahren zur Anwendung (einzige Ausnahme: Art 46 Abs 2 UAbs 2 DMA).
# Prüfverfahren (Art 50 Abs 3 DMA): Im Prüfverfahren hat der Ausschuss eine stärkere Rolle, da die Kommission ihre Vorschläge nur dann umsetzen kann, wenn der Ausschuss entweder zustimmt oder keine eindeutigen Einwände erhebt.

== Fallbeispiele ==
Inzwischen gibt es bereits Untersuchungen und Verfahren gegen eine Reihe von Gatekeepern im Zusammenhang mit Verstößen gegen den DMA. Im Folgenden werden ein paar dieser Fälle herausgegriffen und kurz erläutert:

'''Verfahrenseinleitung gegen Apple wegen App Store-Vorschriften'''

Laut EU-Kommission soll Apple gegen die Bestimmungen des DMA verstoßen haben, da das Unternehmen die Möglichkeit von App-Entwicklern beschränkt, außerhalb des App-Stores Kontakt zu Endnutzern aufzubauen und dies nur über sogenannte „Link-Outs“ zulässt <ref>''Euractiv'', Apple changes EU app store policy after Commission probe

https://www.euractiv.com/section/digital-single-market/news/apple-changes-eu-app-store-policy-after-commission-probe/ (Stand 9. 8. 2024).</ref>. Darüber hinaus verlangt Apple eine Gebühr, damit App-Entwickler mit Endnutzern überhaupt in Kontakt treten können. All dies verstoße gegen Art 5 Abs 4 DMA, wonach es gewerblichen Nutzern, die Apps über den App Store vertreiben, ermöglicht werden muss, ihre Angebote über die Dienste des Gatekeepers kostenlos gegenüber Endnutzern zu kommunizieren sowie Verträge mit diesen auch außerhalb der Dienste des Gatekeepers zu schließen. Sollte sich diese Auffassung der EU-Kommission bestätigen, würde diese innerhalb von 12 Monaten nach Einleitung des Verfahrens am 25. März 2024 einen Beschluss wegen Verstoßes gegen den DMA erlassen und Apple würde eine Geldbuße bis zu 10% des weltweit erzielten Gesamtumsatzes drohen.<ref>''Europäische Kommission'', Kommission übermittelt Apple vorläufige Feststellungen und leitet weitere Verfahren gegen Apple wegen möglicher Verstöße gegen das Gesetz über digitale Märkte ein, https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3433 (Stand 24. 6. 2024).</ref>

'''Vorläufige Feststellungen zum „Pay or consent“-Modell von Meta'''

Laut der EU-Kommission verstößt Meta mit seinem „Pay or consent“-Modell auf Facebook und Instagram gegen die Vorschriften des DMA. Diese Geschäftspraktik stellt Nutzer vor die Wahl, entweder einer Verknüpfung ihrer auf verschiedenen Plattformen erhobenen personenbezogenen Daten zuzustimmen oder - bei fehlender Zustimmung - eine Gebühr zu zahlen. Die Kommission ist der Auffassung, dass damit Art 5 Abs 2 DMA verletzt wird, denn diese Bestimmung verlangt, dass trotzdem Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative möglich ist. Besonders durch den Zahlungsaspekt ist allerdings fragwürdig, ob es sich wirklich um freie Einwilligung des Nutzers handelt und ob diese als gleichwertige Alternative zu werten ist<ref>''Zimmer/Göhsl'', Enforcement of the Digital Markets Act, https://verfassungsblog.de/enforcement-of-the-digital-markets-act/ (Stand 10. 4. 2024).</ref>. Sollte sich die vorläufige Auffassung bestätigen, könnte die Kommission innerhalb von 12 Monaten nach Verfahrensbeginn am 25. März 2024 einen Beschluss erlassen, der Meta für den Verstoß gegen den DMA zur Verantwortung zieht, was mit einer Geldbuße von bis zu 10% des weltweit erzielten Gesamtumsatzes verbunden sein könnte.<ref>''Europäische Kommission'', Kommission sieht im „Pay or consent“-Modell von Meta einen möglichen Verstoß gegen das Gesetz über digitale Märkte, https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3582 (Stand 1. 7. 2024).</ref>

'''Verfahrenseinleitung gegen Alphabet wegen vermeintlichem „self-preferencing“'''

Die Kommission hat ein Verfahren gegen Alphabet eingeleitet, um zu prüfen, ob die Anzeige der Google-Suchergebnisse durch das Unternehmen zu einer Bevorzugung eigener nachgelagerter Suchdienste (z.B. Google Shopping, Google Flights oder Google Hotels) im Vergleich zu ähnlichen Suchfunktionen konkurrierender Anbieter führt. Das wäre ein Verstoß gegen Art 6 Abs 5, der normiert, dass Dienste von Drittanbietern fair und nicht diskriminierend im Vergleich zu den eigenen Diensten behandelt werden. Die Kommission beabsichtigt, das am 25. März 2024 eingeleitete Verfahren innerhalb von 12 Monaten abzuschließen.<ref>''Europäische Kommission'', Kommission leitet Verfahren gegen Alphabet, Apple und Meta gemäß dem Gesetz über digitale Märkte ein, https://ec.europa.eu/commission/presscorner/detail/de/ip_24_1689 (Stand 25. 3. 2024).</ref>

'''Entscheidung: Das soziale Netzwerk von X (vormals Twitter) ist kein zentraler Plattformdienst nach dem DMA'''

Die Europäische Kommission hat am 16. Oktober 2024 entschieden, dass das soziale Netzwerk von X nicht als zentraler Plattformdienst im Sinne des DMA eingestuft wird. Diese Entscheidung folgte einer eingehenden Marktuntersuchung vom 13. Mai 2024, nachdem X seinen potenziellen Gatekeeper-Status gemeldet hat. Obwohl X die quantitativen Kriterien des Art 3 Abs 2 DMA erfüllte, legte das Unternehmen Gegenargumente vor, die zusammen mit dem Feedback der Interessengruppen die Kommission dazu veranlassten, festzustellen, dass X kein wichtiges Zugangstor (iSd Art 3 Abs 1 lit b DMA) für gewerbliche Nutzer zu Endnutzern darstellt.<ref>''European Commission'', Daily News 16 / 10 / 2024, https://ec.europa.eu/commission/presscorner/detail/en/mex_24_5324 (Stand 16. 20. 2024).</ref>

'''EU-Kommission startet Verfahren gegen Alphabet'''

Die Europäische Kommission hat am 13. November 2025 ein Verfahren gegen Alphabet eingeleitet. Dabei soll geprüft werden, ob Google faire, angemessene und diskriminierungsfreie Bedingungen für den Zugang zu den Websites von Herausgebern in der Google-Suche anwendet und somit seinen Verpflichtungen nach dem DMA entspricht. Die Aufsichtstätigkeiten der Kommission haben Hinweise darauf ergeben, dass Google auf der Grundlage seiner „Richtlinie zum Missbrauch des Rufs von Websites“ die Websites und Inhalte von Nachrichtenmedien und anderen Verlagen in den Google-Suchergebnissen herabsetzt, wenn diese Websites Inhalte von kommerziellen Partnern enthalten. Nach Angaben von Google zielt diese Politik darauf ab, Praktiken zu bekämpfen, die angeblich darauf abzielen, das Ranking in den Suchergebnissen zu manipulieren.

Die Kommission untersucht nun, ob Alphabets Herabsetzung von Websites und Inhalten von Verlagen in der Google-Suche die Freiheit von Verlagen beeinträchtigen kann, legitime Geschäfte zu tätigen, Innovationen zu entwickeln und mit Drittanbietern von Inhalten zusammenzuarbeiten.<ref>Siehe Pressemitteilung der Europäischen Kommission vom 13. November 2025, abrufbar unter https://germany.representation.ec.europa.eu/news/verstosst-google-gegen-den-dma-eu-kommission-startet-verfahren-2025-11-13_de</ref>

'''Europäische Kommission verhängt Geldbußen für Apple und Meta'''

Die EU-Kommission hat gegen Apple und Meta wegen Verstößen gegen das Gesetz über digitale Märkte (DMA) Geldbußen von 500 Millionen Euro bzw. 200 Millionen Euro verhängt.

Begründung der Entscheidungen:

Apple: Gemäß dem DMA sollten App-Entwickler, die ihre Apps über den App Store von Apple vertreiben, in der Lage sein, ihre Kundinnen und Kunden kostenlos über alternative Angebote außerhalb des App Stores zu informieren, sie zu diesen Angeboten zu leiten und ihnen den Kauf zu ermöglichen. Die Kommission stellte fest, dass Apple dieser Verpflichtung nicht nachkommt.

Meta: Nach dem DMA müssen Torwächter (Gatekeeper) die Zustimmung der Nutzerinnen und Nutzer für die Kombination ihrer persönlichen Daten zwischen Diensten einholen. Wer nicht zustimmt, muss Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben. Die EU-Kommission stellte fest, dass das „Consent or Pay“ Modell, das Meta im November 2023 eingeführt hatte, nicht mit dem DMA vereinbar ist.<ref>Siehe Pressemitteilung der Europäischen Kommission vom 23. April 2025, abrufbar unter https://germany.representation.ec.europa.eu/news/verstosse-gegen-das-gesetz-uber-digitale-markte-dma-millionen-geldbussen-fur-apple-und-meta-2025-04-23_de.</ref>

'''Verfahrenseinleitung gegen Meta wegen WhatsApp'''

Die Kommission verlautbarte, dass sie ein Wettbewerbsverfahren wegen des Einsatzes von KI durch WhatsApp einleiten wird. Dabei wird erst geprüft, ob die klassischen EU-Wettbewerbsregeln oder der DMA einschlägig sind.<ref>''Euractiv'', Meta to face competition probe over AI use in WhatsApp, Ribera confirms (4.12.2025), https://www.euractiv.com/news/meta-to-face-competition-probe-over-ai-use-in-whatsapp-ribera-confirms/.</ref>

== Synergien ==

=== Zusammenspiel mit dem Digital Services Act (DSA) ===
Wie eingangs dieses Beitrags erwähnt, bildet der DMA zusammen mit dem [[Digital Services Act (DSA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und verwenden dafür in manchen Bereichen gleiche Begriffe oder verwandte Regelungsansätze. Grundlegende Unterschiede sind, dass sich der DMA auf große Platzhirsche am Markt fokussiert, die sogenannten Gatekeeper, und ihnen überwiegend Vorschriften für fairen Wettbewerb und Interoperabilität auferlegt (allerdings spielen Transparenzregeln natürlich auch eine Rolle), während der DSA grds für alle Online Vermittlungsdienste (mit Ausnahme der Klein- und Kleinstunternehmen) gilt. Die [[Digital Services Act (DSA)#Zentrale Inhalte|Kernthemen des DSA]] sind hingegen Haftungsprivilege, Transparenz- und Informationspflichten, Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte Werbeeinschaltungen an Minderjährige oder die Verwendung von manipulativen Taktiken wie „Dark Patterns“) und bestimmte Verpflichtungen im Umgang mit illegalen Inhalten (Meldekanäle).

==== Ähnliche Konzepte ====
Der DSA verbietet Online-Plattformen und Transaktionsplattformen den Einsatz von sogenannten "Dark Patterns". Konkret dürfen Plattformen ihre Benutzeroberflächen nicht so gestalten, dass Nutzer getäuscht oder manipuliert werden. Dies umfasst irreführende Designs, die die freie Entscheidungsfähigkeit der Nutzer beeinträchtigen. Während der DMA den Begriff "Dark Patterns" nicht explizit nennt, zielt er inhaltlich auf vergleichbare manipulative und irreführende Praktiken ab und verbietet diese. Dazu sei auf die Seite des [[Digital Services Act (DSA)]] verwiesen, wo unter der Überschrift "Ausgewhälte Themen im Fokus/Dark Patterns", eine genauere Beschreibung zu finden ist.

Im DSA unterliegen die sogenannten ''VLOPs'' (''Very Large Online Platforms)'' und ''VLOSEs'' (''Very Large Search Engines)'', das sind Online Plattformen/Suchmaschinen mit erheblicher Reichweite, zusätzlichen Verpflichtungen. Dieses Konzept erinnert stark an die Gatekeeper aus dem DMA, die eine starke Marktposition besitzen und deshalb reguliert werden. In Beiden Fällen werden die Akteure von der Kommission benannt. Im DSA geht dies jedoch nur, wenn die Plattformen oder Suchmaschinen konkrete quantitative Schwellenwerte erreichen (monatlich mindestens 45 Millionen aktive Nutzer in der EU).<ref>Art 33 Abs 1 DSA, Art 3 DMA.</ref>

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um ''VLOPs'' oder ''VLOSEs'' handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw den von diesen ernannten Koordinatoren für digitale Dienste zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA nur maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich<ref>''Europäische Kommission'', Der Durchsetzungsrahmen nach dem Gesetz über digitale Dienste, https://digital-strategy.ec.europa.eu/de/policies/dsa-enforcement.</ref>. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

=== Datenschutz ===
Der DMA und die [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679 DSGVO (Datenschutz-Grundverordnung)] weisen Überschneidungen in manchen Bereichen auf.<ref>Für eine erweiterte Liste der Synergien zwischen DMA und DSGVO siehe: [https://rsw.beck.de/zeitschriften/zd/meldung/2023/05/16/die-digitalrechtsakte-der-eu-(dga--dsa--dma--ki-vo-e-und-da-e)---teil-ii Die Digitalrechtsakte der EU (DGA, DSA, DMA, KI-VO-E und DA-E) – Teil II].</ref>

* '''Übernahme von Begriffen/Definitionen''': Der DMA übernimmt in Art 2 Z 25, Z 31 und Z 32 wichtige Begriffsbestimmungen aus der DSGVO. Diese beinhalten Definitionen, die für die Anwendung des DMA relevant sind, insbesondere in Bezug auf personenbezogene Daten (pbD) und die Verarbeitung solcher Daten im Kontext der Gatekeeper-Verpflichtungen. Auch bei der sogenannten "Einwilligung" (Zustimmung zur Verarbeitung seiner pbD) verweist der DMA auf die Anforderungen der DSGVO.
* '''Verwendungs- und Zusammenführungsverbote von personenbezogenen Daten:''' In der DSGVO gibt es den Grundsatz der Zweckbindung (Art 5 Abs 1 lit b DSGVO), der besagt, dass pbD nur für bestimmte festgelegte Zwecke erhoben werden dürfen. Diesem Grundsatz folgt der DMA in gewisser Weise: Die Verwendung und Zusammenführung von pbD in den Fällen von Art 5 Abs 2 DMA durch Gatekeeper ist verboten (außer wenn eine ausdrückliche Einwilligung vorliegt). Darüber hinaus ergeben sich aus der DSGVO weitere Rechtsgrundlagen, die die Verarbeitung von pbD erlauben können und für Gatekeeper von Bedeutung sein könnten, beispielsweise wenn die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen, zum Schutz lebenswichtiger Interessen der betroffenen Person oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist (Art 6 Abs 1 lit c-e DSGVO).
* '''Erweiterung des Rechts auf Datenübertragbarkeit:''' In Art 20 DSGVO wird bereits das Recht auf Datenübertragbarkeit für personenbezogene Daten, die eine Person selbst bereitgestellt hat, gewährt. Der DMA erweitert dieses Recht, indem er es auch auf nicht selbst bereitgestellte Daten sowie auf nicht-personenbezogene Daten ausweitet (Art 6 Abs 9 DMA).<ref>''Pfeiffer/Helmke'', Die Digitalrechtsakte der EU (DGA, DSA, DMA, KI-VO-E und DA-E) – Teil II, https://rsw.beck.de/zeitschriften/zd/meldung/2023/05/16/die-digitalrechtsakte-der-eu-(dga--dsa--dma--ki-vo-e-und-da-e)---teil-ii (abgefragt 25. 11. 2025).</ref>
Die EU-Kommission und der EDSA haben gemeinsame Leitlinien erarbeitet und im Herbst 2025 der öffentlichen Konulstation vorgelegt, mit denen sichergestellt werden soll, dass DMA und DSGVO kohärent und kompatibel ausgelegt und angewendet werden.<ref>''European Data Protection Board/European Commission'', Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation, version for public consultation, 9. 10. 2025, <nowiki>https://www.edpb.europa.eu/system/files/2025-10/joint_com-edpb_gls_interplay_dma_gdpr_for_public_consultation_en.pdf</nowiki>.</ref>

=== Zusammenspiel mit Wettbewerbsvorschriften ===
Der DMA stellt klar, dass die Verordnung die bestehenden europäischen und nationalen Wettbewerbsregeln nicht ersetzt oder beeinträchtigt (Art 1 Abs 6 DMA). Stattdessen ergänzt der DMA diese Regelwerke, um gezielt Probleme in digitalen Märkten zu adressieren. Die Weiteranwendung der folgenden Vorschriften wird explizit hervorgehoben:

* Fortgeltung der Art 101 und 102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union): Diese Artikel behandeln das Verbot von wettbewerbswidrigen Vereinbarungen, wie Kartellen und des Missbrauchs einer marktbeherrschenden Stellung.
* Nationale Regeln, die Vereinbarungen, abgestimmte Verhaltensweisen oder den Missbrauch einer marktbeherrschenden Stellung verbieten, bleiben anwendbar.
* Nationale Vorschriften, die einseitige Verhaltensweisen (etwa von Nicht-Gatekeeper Unternehmen) verbieten oder Gatekeepern zusätzliche Anforderungen auferlegen, sind zulässig.
* Fortgeltung der Fusionskontrollregeln (Unternehmenszusammenschlüsse): Die [https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32004R0139 EU-Fusionskontrollverordnung (VO Nr. 139/2004)] regelt die Kontrolle von Unternehmenszusammenschlüssen auf EU-Ebene. Mitgliedstaaten können weiterhin eigene Vorschriften zur Fusionskontrolle anwenden.

Selbstverständlich dürfen nationale Behörden keine Entscheidungen erlassen, die den Beschlüssen der Kommission im Rahmen des DMA widersprechen (Art 1 Abs 7 DMA).

=== Weitere Querbezüge ===
Gatekeeper sind gem Art 8 Abs 1 DMA verpflichtet, sicherzustellen, dass die von ihnen ergriffenen Maßnahmen zur Einhaltung der Vorschriften des DMA im Einklang mit dem anwendbaren Recht stehen. Dies umfasst insbesondere Rechtsvorschriften in Bereichen wie Cybersicherheit, Verbraucherschutz, Produktsicherheit und Barrierefreiheit.

Für Synergien zwischen dem DMA und dem DGA, DSA, AIA und DA bietet dieser Link eine gute Übersicht: https://rsw.beck.de/zeitschriften/zd/suchergebnisse?indexCatalogue=zd&searchQuery=Die+Digitalrechtsakte+der+EU

== Konsequenzen/Strafen ==
Die Sanktionen bei Nichteinhaltung der Vorschriften durch Gatekeeper werden direkt von der '''Europäischen Kommission''' verhängt. Nationale Behörden, wie in Österreich die '''Bundeswettbewerbsbehörde''' spielen bei der Überwachung und Durchsetzung von Sanktionen ebenfalls eine Rolle, jedoch bleibt die Verhängung von Strafen bei Verstößen der EU Kommission vorbehalten. Zwischen der Kommission und den natonalen Behörden findet Zusammenarbeit und Koordinierung statt, insb um zu verhindern, dass Gatekeeper aufgrund desselben Sachverhalts zweimal bestraft werden ("Ne bis in idem"). Die Kommission muss etwaige Bußgelder berücksichtigen, die bereits in anderen Verfahren (zB DSGVO) verhängt wurden.<ref>Vgl ErwGr 86 DMA.</ref>

Bei Nichteinhaltung der Vorschriften des DMA drohen folgende Konsequenzen:

* '''Geldbußen''' von bis zu '''10% des weltweiten Jahresumsatzes''' des betreffenden Gatekeepers im vorangegangenen Geschäftsjahr für Verstöße gegen die Verpflichtungen des DMA (Art 30 Abs 1 DMA).
* '''Geldbußen''' von bis zu '''20% des weltweiten Jahresumsatzes''' bei wiederholten Verstößen gegen dieselbe Verpflichtung bzw betreffend denselben Plattformdienst (Art 30 Abs 2 DMA).
* '''Geldbußen''' von bis zu '''1% des weltweit erzielten Jahresumsatzes''' bei weniger gravierenden Verstößen, wie beispielsweise Zuwiderhandlungen gegen Auskunftspflichten, Mitteilungspflichten, Nichtduldung einer Nachprüfung, oder bei Nichtberichtigung von unrichtigen, unvollständigen oder irreführenden Angaben (Art 30 Abs 3 DMA).
* '''Zwangsgelder''': bis zu '''5% des durchschnittlichen weltweiten Tagesumsatzes''', falls ein Unternehmen bestimmten in Art 31 Abs 1 lit a-h DMA aufgezählten Beschlüssen der Kommission nicht nachkommt.
* Im Extremfall kann die Kommission Maßnahmen zur '''strukturellen Abtrennung''' von Geschäftsbereichen des Gatekeepers in Betracht ziehen, wenn dieser systematisch gegen die Vorschriften verstößt und andere Sanktionen nicht ausreichen, um die Einhaltung sicherzustellen (Art 18 Abs 1 DMA).
'''Verjährungsfrist'''

Art 32 DMA sieht eine Verjährungsfrist von '''fünf Jahren für die Verhängung von Sanktionen''' durch die Europäische Kommission vor. Die Frist beginnt mit dem Zeitpunkt des Verstoßes oder, bei andauernden Verstößen, mit deren Beendigung. Maßnahmen der Kommission, wie ein Auskunftsersuchen oder die Verfahrenseinleitung, unterbrechen die Frist, die dann neu beginnt. Insgesamt darf die Verjährung jedoch zehn Jahre nicht überschreiten, zuzüglich der Zeit in dem die Frist aufgrund eines Verfahrens vor dem Gerichtshof ruht.

Art 33 DMA regelt die '''Durchsetzung von Sanktionen''', ebenfalls mit einer Verjährungsfrist von '''fünf Jahren''' ab dem Zeitpunkt, an dem der Beschluss rechtskräftig wird. Diese Frist kann durch Maßnahmen zur zwangsweisen Beitreibung unterbrochen und bei Gerichtsverfahren ausgesetzt werden.

'''Gerichtliche Nachprüfung'''

Art 45 DMA besagt, dass der Gerichtshof der Europäischen Union (EuGH) nach Art 261 AEUV eine unbeschränkte '''Ermessensnachprüfung''' von Beschlüssen der Kommission durchführen kann, mit denen Geldbußen oder Zwangsgelder verhängt wurden. Der Gerichtshof hat dabei die Befugnis, diese Sanktionen aufzuheben, zu verringern oder zu erhöhen.

== Weiterführende Literatur ==

=== Kommentare und Handbücher ===
* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Knyrim'', DMA - Digital Markets Act (Stand 30.6.2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Podszun,'' Digital Markets Act. Gesetz über digitale Märkte (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

=== Aufsätze ===
* ''Achleitner'', Das Durchsetzungsregime im Digital Markets Act. Private Enforcement unerwünscht? ZÖR 2023, 287.
* ''Blümel'', Dark Patterns im DSA und DMA. Unzulässige digitale Beeinflussung von Entscheidungsprozessen, ecolex 2023, 986.
* ''Decarolis/L''i, Regulating online search in the EU. From the android case to the digital markets act and digital services act, International Journal of Industrial Organization 2023, https://doi.org/10.1016/j.ijindorg.2023.102983.
* ''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023, 85.

== Weiterführende Links ==

* [https://digital-markets-act-whistleblower.integrityline.app/?lang=de Whistleblower Seite für Meldungen von Verstößen gegen den DMA].
* [https://digital-markets-act.ec.europa.eu/document/download/433de0f3-05cd-4a8c-ab19-cb176318dfae_en?filename=DMA_flyer_consumers.pdf Flyer Verbraucherrechte nach dem DMA] (EN).
* [https://digital-markets-act.ec.europa.eu/document/download/46e7a2d0-ed4e-47d8-bec6-8cc89bf645e6_en?filename=DMA_flyer_business-users.pdf Flyer Rechte von gewerblichen Nutzern nach dem DMA] (EN).
* [https://digital-markets-act.ec.europa.eu/index_en?prefLang=de Offizielle EU-Webseite über den DMA] mit Informationen über den Rechtsakt sowie aktuellen Nachrichten über dessen Durchsetzung (EN).
* [https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_de Offizielle Webseite der EU-Kommission über den DMA].

== Einzelnachweise ==
<references />

Digital Services Act (DSA)

2025-12-09T13:49:57Z

Mirjam.tercero: /* Verfahren nach dem DSA */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2065|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG|Kurztitel=Digital Services Act/Gesetz über digitale Dienste|Bezeichnung=DSA|Rechtsmaterie=Digitale Dienste|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/277, 1|Anzuwenden=17. Februar 2024 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
|Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
|Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
|Direkte Verknüpfung mit dem [[Digital Markets Act (DMA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
|-
|Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
|Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
|Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
|-
|Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
|Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
|Regelungen zu Governance, Aufsicht und Durchsetzung
|Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
|Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
|-
|Verwirklichung des Binnenmarktes
|Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
|Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
|Querbezüge zum [[Artificial Intelligence Act (AIA)]], sofern Vermittlungsdiensteanbieter auf KI-basierte Systeme zurückgreifen
|'''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes
|-
|Rechtssicherheit
|Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
|Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
|Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz etc.)
|'''Einstweilige Maßnahmen:''' In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
|}

== Einführung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.<ref name=":25">Vgl Art 1 Abs 1 DSA. </ref> Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.<ref name=":26">Vgl Art 1 Abs 1 iVm ErwGr 3 DSA. </ref> Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem [[Digital Markets Act (DMA)]] bildet er das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.<ref name=":0">''Kern,'' Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.</ref><ref>''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).</ref><ref>Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des [[Digital Markets Act (DMA)]]. </ref>

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert<ref>Siehe auch die Einteilung in Art 1 Abs 2 DSA. </ref>:

* Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
* In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
* In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt (sogenannte "Haftungsprivilegien").
* Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
* Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

== Anwendungsbereich ==

=== Räumlich ===
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.<ref name=":0" />

=== Sachlich ===

==== Vermittlungsdienst ====
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.<ref name=":1">Siehe ErwGr 29 DSA. </ref>
[[Datei:Vermittlungsdienste.png|mini|504x504px|Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

* Entweder erfolgt eine '''„reine Durchleitung“''', wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.<ref name=":1" /><ref name=":3" />
* Oder es wird eine '''„Caching“-Leistung''' erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.<ref name=":1" />
* Schließlich kann es sich auch um einen '''„Hosting"-Dienst''' handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.<ref name=":1" />

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie '''„Online-Plattformen“''' abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.<ref name=":2">Siehe ErwGr 13 DSA.</ref> Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet<ref>Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe ErwGr 14 DSA). </ref>, wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").<ref name=":2" />

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte '''„sehr große Online-Plattformen“''' (''Very Large Online Platforms – VLOPs)'' und '''„sehr große Online-Suchmaschinen“''' (''Very Large Search Engines – VLOSEs)'' mit '''erheblicher Reichweite''' ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.<ref>Siehe ErwGr 76 DSA.</ref>

* VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando<ref>Zalando hat die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat. Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu</ref> etc.<ref name=":10">Eine Liste der benannten VLOPs und VLOSEs findet sich auf folgender Seite der Europäischen Kommission: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.</ref>
* VLOSEs: Bing, Google Search etc.<ref name=":10" />
Da der DSA für VLOPs/VLOSEs strenge Sorgfaltspflichten vorsieht, haben bisher einige der designierten Anbieter versucht, diesen Einstufungsbeschluss der Kommission abzuwenden. Zalando hat bspw die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat.<ref>Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu.</ref> Die Klage von Amazon gegen den Kommissionsbeschluss, mit dem die Plattform Amazon Store als VLOP benannt wurde, wurde am 19. November 2025 vom EuGH (Rechtssache T-367/23) abgewiesen.<ref>Vgl https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-11/cp250144de.pdf. </ref> Geprüft wird aktuell, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine einzustufen ist.<ref name=":21">Vgl Näheres unter: https://www.mlex.com/mlex/technology/articles/2402210/openai-inches-toward-seeing-chatgpt-regulated-under-eu-digital-rulebook und https://www.euractiv.com/news/commission-checking-if-chatgpt-falls-under-eu-online-governance-rules/.</ref>

==== Dienstleistung der Informationsgesellschaft ====
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine '''"Dienstleistung der Informationsgesellschaft"''' handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.<ref>Vgl Art 3 lit a DSA iVm Art 1 Abs 1 lit b RL (EU) 2015/1535 (Info-RL). </ref> Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.<ref>MwN ''Steinrötter/Schauer'' in ''Steinrötter'' (Hrsg)'','' Europäische Plattformregulierung – Rechtshandbuch (2023) § 2 Rz 7.</ref> Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.<ref>Vgl dazu das EuGH-Urteil 15.09.2016, C-484/14, ''McFadden/Sony Music'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.<ref name=":16">Vgl dazu das EuGH-Urteil 20.12.2017, C-434/15 ''Elite Taxi/Uber System Spain'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Die RL (EU) 2015/1535 (Info-RL), nach der sich die Einstufung als Dienstleistung der Informationsgesellschaft bemisst, enthält in Anhang I eine sogenannte "Negativliste" an Diensten, die jedenfalls nicht als Dienst der Informationsgesellschaft iSd Art 1 Abs 1 lit b Info-RL zu klassifizieren sind:

* Nicht "im Fernabsatz" erbrachte Dienste: Untersuchung oder Behandlung von Patienten in einer Arztpraxis mithilfe elektronischer Geräte, Buchung eines Flugtickets über ein Computernetz in einem Reisebüro in Anwesenheit des Kunden, Bereitstellung elektronischer Dienste in einer Spielehalle in Anwesenheit eines Nutzers. Die Diensteerbringung im Fernabsatz findet nämlich ohne zeitgleiche physische Anwesenheit der Vertragsparteien statt, was bei den genannten Beispielen jedoch nicht der Fall ist;
* Nicht "elektronisch" erbrachte Dienste bzw Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden: Geldausgabe- oder Fahrkartenautomaten, Offline-Dienste (Software, Disketten, CD-ROMSs), Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienste, Telefaxdienste, medizinische Beratung über Telefon, Direktmarketing per Telefon etc.);
* Nicht auf individuellen Abruf erbrachte Dienste, da sie im Wege einer gleichzeitigen Übertragung von Daten für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden: Fernsehdienste, Hörfunkdienste, Teletext (über Fernsehsignal).<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 3 ff. </ref>
Art 2 Abs 2 DSA schließt Dienstleistungen von der Anwendung des DSA aus, die keine Vermittlungsdienste sind, auch wenn sie durch die Nutzung eines Vermittlungsdienstes erbracht werden.<ref name=":20">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11.</ref> Kann ein Gesamtangebot getrennt werden (zB gemeinsame Angebote von Telefon, Internetzugang und TV - sogenanntes „Tripleplay“), ist jede Dienstleistung getrennt einer eigenen Qualifikation zu unterziehen.<ref name=":20" /> Können einzelne Dienste nicht abgegrenzt werden, kommt es auf den Schwerpunkt des Dienstes an, wobei es keine Vermutungsregel gibt, dass ein Dienst im Zweifel ein Dienst der Informationsgesellschaft ist.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11 f.</ref>Darüber hinaus gelten Dienste nicht als Vermittlungsdienste, wenn sie eigene Inhalte präsentieren, da eine Vermittlung stets die "Fremdheit" eines Inhalts voraussetzt.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 13.</ref>

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:
{| class="wikitable"
|+
! colspan="2" |Beispiele
|-
|'''Kostenfreier WLAN- Zugang'''
|WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich.<ref name=":19">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 4.</ref> So kann der WLAN-Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.<ref name=":3" /> <ref name=":19" />
|-
|'''Taxi App'''
|Im Falle einer Applikation (App), die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.<ref name=":16" /> Das entscheidende Kriterium ist hierbei laut EuGH, dass weder Fahrer noch die beförderte Person ohne die App ihre Leistungen anbieten bzw in Anspruch nehmen können. Außerdem würde das hinter der App stehende Unternehmen auf den Preis Einfluss nehmen und die Zahlungsabwicklung übernehmen, weshalb die Leistung hier über die reine Vermittlung von Dienstleistungen Dritter hinaus ginge und nicht mehr von einer rein passiven, technisch bedingten Vermittlungsleistung die Rede sein könne.<ref name=":18">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 58. </ref> Anders verhält es sich bei einer Vermittlungsplattform für Kurzzeitmieten, die Vermieter und Wohnungssuchende zusammenbringt.<ref>Vgl dazu EuGH 19.12.2019, C-390/18 ''(Airbnb Ireland).'' </ref> In diesem Fall befand der EuGH, dass die Plattform keinen wesentlichen Bestandteil des Angebots eines Vermieters gegenüber wohnungssuchenden Kurzzeitmietern darstelle, weil der Dienst nicht zwingend für das Entstehen entsprechender Angebote sei und keinen Einfluss auf die Vertragsgestaltung des Vermieters mit dem Mieter nehme.<ref name=":18" />
|-
|'''WLAN-Netz einer Universität'''
|Der Anwendungsfall eines WLAN-Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.

* Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN-Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN-Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
* Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN-Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.

Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
|-
|'''Blockchain'''
|Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.<ref name=":9" /> Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.<ref name=":9" /> Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).<ref name=":9" /> Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eines Vermittlungsdienstes darstellt.<ref name=":9" />
|-
|'''Gaming'''
|Um den Pflichten nach dem DSA zu unterliegen, muss es sich bei einem Online-Gaming-Anbieter um einen Vermittlungsdienst handeln. Dazu ist zum einen die Eigenschaft als "Dienst der Informationsgesellschaft" ausschlaggebend, welche bei (zumindest entgeltlichen) Online-Spielen in der Praxis wohl zu bejahen sein wird, da diese in der Regel im Fernabsatz auf individuellen Abruf des Empfängers erbracht werden.<ref name=":23">Vgl ''Lober/Trunk,'' Games im neuen Plattformrecht der EU, MMR 2025, 665.</ref> Weiters muss der Dienst eine Mittlerfunktion einnehmen, also von Dritten bereitgestellte Informationen übermitteln, ohne dabei selbst die Kontrolle über diese Informationen auszuüben. Für Online-Spiele bedeutet dies, dass Spiele, die den Nutzern die Möglichkeit zum Hochladen bzw zur Kreation von Inhalten sowie zur Interaktion bieten, potenziell als Vermittlungsdienste einzustufen sind.<ref name=":23" /> Je nachdem, wie diese Informationen ausgetauscht werden (als reine Durchleitung, durch Zwischenspeicherung oder gar durch öffentliche Verbreitung über eine Online-Plattform), treffen den Anbieter unterschiedliche Sorgfaltspflichten nach dem DSA. So kann es sich bspw bei einer integrierten Chatfunktion zum Spieleraustausch um einen Dienst der reinen Durchleitung handeln.<ref name=":23" /> Die Teilnahme an einem Online-Spiel ist zwar ebenfalls mit der Übermittlung von Informationen an Mit- bzw. Gegenspieler verbunden, allerdings wird es sich hierbei in der Regel nicht um Informationen handeln, auf dessen Regelung der DSA abzielt. Denn dieser möchte ein vertrauenswürdiges und (rechts-)sicheres Online-Umfeld schaffen, das von der einfachen Übermittlung von Spielzügen, Lebenspunkten, Aktionen etc. nicht bedroht erscheint und sich daher grundsätzlich nicht auf vorprogrammierte Spielerinterkationen übertragen lässt.<ref name=":23" /> Ist es jedoch möglich, in einem Spiel kreative Freiheiten auszuleben und Inhalte sowohl selbst zu generieren als auch zu verbreiten, könnte es zu einer Einstufung als Vermittlungsdienst iSd DSA kommen. Es wird daher stark auf die Art des Spiels sowie der Spielerinteraktion ankommen, ob ein Online-Gaming-Anbieter als Vermittlungsdienst einzustufen ist.<ref name=":23" /> Denn während in manchen Spielen die Teilnehmenden miteinander in den Wettkampf treten oder gemeinsam Aufgaben lösen, werden in anderen Spielen ganze Welten erschaffen und mit anderen Nutzern geteilt (zB Roblox oder Minecraft).<ref name=":23" />
|}

=== Ausnahmen ===
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro<ref name=":5" /> sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, den zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder den Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

=== Zeitlich ===
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.<ref>Vgl Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). </ref> Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem [[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|DSA-Begleitgesetz]] in nationales Recht gegossen.

== Zentrale Inhalte ==

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.<ref>''Decarolis/Li'', Regulating online search in the EU. From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).</ref> Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]] an Minderjährige oder die Verwendung von manipulativen Taktiken wie "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“) und bestimmte Verpflichtungen im Umgang mit [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]]. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.<ref name=":3">Vgl ''Hofmann/Raue'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).</ref>
=== Haftungsprivilegien ===
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.<ref>''Staudegger,'' Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.</ref> Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.<ref name=":3" />

* In den Art 4-6 findet sich eine '''bedingte Haftungsbefreiung für Vermittlungsdienste''', wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.<ref name=":6">''Handel,'' Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.</ref> Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus''.''<ref name=":6" /> Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "[[Digital Services Act (DSA)#Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)|Sorgfaltspflichten von Hostingdiensteanbietern]]"). In einem kürzlich ergangenen Beschluss des LG Berlin hat das Gericht das Erfordernis der "tatsächlichen Kenntnis" sehr eng ausgelegt und sieht diese nur als gegeben, wenn der Anbieter im Wege eines bestehenden Melde- und Abhilfeverfahrens gemäß Art 16 DSA über den illegalen Inhalt informiert wurde.<ref>[https://www-juris-de.uaccess.univie.ac.at/static/infodienst/autoren/D_NJRE001616389.htm LG Berlin, Beschluss vom 07.08.2025, Az. 27 O 262/25 eV.] </ref> Hingegen soll die Kenntnisnahme eines Verstoßes über formlose Mitteilungen via E-mail oder Kontaktformular keinerlei Prüf- oder Handlungspflichten seitens des Anbieters auslösen, soweit dieser ein Melde- und Abhilfeverfahren gemäß Art 16 DSA eingerichtet hat. Inwieweit andere Gerichte dieser Rsp folgen werden, bleibt abzuwarten.
* Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer '''„Gute-Samariter-Regelung“''', laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.<ref name=":3" /> Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
* Die Artikel 8-9 enthalten '''verfahrensrechtliche Vorgaben'''.<ref name=":3" /> In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
=== Abgestufter Pflichtenkatalog ===
Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
[[Datei:DSA Infographik Sorgfaltspflichten.png|mini|750x750px|Der abgestufte Pflichtenkatalog nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

==== Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15) ====
Die '''allgemeinen Verpflichtungen''' in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

* Diese beinhalten einerseits eine Harmonisierung der '''Kommunikationsmöglichkeiten''' von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)<ref name=":3" /> sowie eines '''gesetzlichen Vertreters''', sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.<ref name=":4">Vgl ''Schonhofen,'' Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.</ref>
* In Art 14 normiert der DSA, dass in den '''Allgemeinen Geschäftsbedingungen''' der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
* Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen '''Transparenzbericht''' zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-harmonises-transparency-reporting-rules-under-digital-services-act mit Links zu der Durchführungsverordnung, dem Muster und der Ausfüllhilfe. </ref> Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

==== Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18) ====
Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

* Zunächst haben sämtliche Hostingdiensteanbieter ein '''Melde- und Abhilfeverfahren''' einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.<ref name=":4" /> Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
* Sofern ein Hostingdiensteanbieter '''Maßnahmen''' nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu '''begründen''' (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).<ref>Hier können die veröffentlichten Erklärungen eingesehen werden: https://transparency.dsa.ec.europa.eu/statement

Über folgende API können die Erklärungen an die Kommission übermittelt werden: https://transparency.dsa.ec.europa.eu/page/api-documentation</ref>
* Der Hostingdiensteanbieter ist verpflichtet, bei '''Verdacht, dass eine Straftat vorliegt,''' die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der [https://eur-lex.europa.eu/eli/dir/2011/36/oj Menschenhandel-RL], [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32011L0093 Kinderpornografie-RL] und der [https://eur-lex.europa.eu/eli/dir/2017/541/oj Terrorismusbekämpfungs-RL] fallen.<ref>Siehe ErwGr 56 DSA.</ref> Im November 2025 hat die Kommission einen Konsultationsprozess gestartet, um Input von relevanten Stakeholdern zu ihren Erfahrungen in Bezug auf diesen Meldeprozess einzuholen.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/commission-launches-targeted-consultation-notification-suspicions-criminal-offences-under-digital. </ref>
==== Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32) ====
Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für '''Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen''' ermöglicht wird. Explizit '''ausgenommen sind Kleinst- und Kleinunternehmen''' (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.<ref name=":5">Siehe Art 2 Anhang zur [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361 Empfehlung 2003/361/EG]</ref>

* Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit '''Meldungen und Beschwerden von Nutzern'''. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).<ref name=":3" /> Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
* Art 23 DSA enthält verpflichtende Mindestvorgaben zur '''Eindämmung von Missbrauch''', wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
* Die Anbieter von Online-Plattformen treffen erweiterte '''Transparenzberichtspflichten''' (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.<ref name=":4" /> Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
* Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter '''„[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“''' (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).<ref name=":4" />
* Darüber hinaus normiert der DSA erweiterte '''Vorgaben zur Gestaltung der betroffenen Dienste'''<ref name=":4" />, wie etwa '''Transparenzvorgaben für [[Digital Services Act (DSA)#Werbeschaltungen|Werbung]]''' (Art 26 DSA) und '''Empfehlungssysteme''' (Art 27 DSA) sowie einen weitreichenden '''Online-Schutz Minderjähriger''' (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]], die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
* Abschnitt 4 (Art 29-32 DSA) enthält '''ergänzende Bestimmungen für Transaktionsplattformen'''<ref name=":3" />, worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.<ref name=":4" /> Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
[[Datei:Sorgfaltspflichten Checkliste.png|mini|887x887px|Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter © Research Institute in Ergänzung der Abbildung von Noerr<ref>https://www.noerr.com/de/insights/der-digital-services-act-tritt-in-kraft-neue-pflichten-fur-digitale-vermittlungsdienste.</ref>]]
==== Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43) ====
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

* Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur '''Bewertung und Minderung der von ihren Diensten ausgehenden Risiken,''' worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen''.''<ref name=":4" /> Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014</ref> Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer '''unabhängigen Prüfung''' unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.<ref name=":4" />
* Der in Art 36 DSA vorgesehene '''Krisenreaktionsmechanismus''' erlaubt es der EU-Kommission auf Empfehlung des [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremiums]]<ref>Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board.</ref> im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.<ref>Vgl Art 36 Abs 2 iVm ErwGr 91 DSA.</ref>
* Die für Online-Plattformen geltenden '''Transparenzpflichten''' für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).<ref name=":3" />
* Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste '''Zugang zu Daten''' zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine '''Compliance-Abteilung''' einzurichten (Art 41 DSA) und eine jährliche '''Aufsichtsgebühr''' an die EU-Kommission zu entrichten (Art 43 DSA).

==== Maßnahmen zur Selbstregulierung ====
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.<ref name=":3" /> Dazu zählt etwa die Förderung der Ausarbeitung '''freiwilliger Verhaltenskodizes''' in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrige Inhalte]], den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.<ref>Ein Verhaltenskodex zur Bekämpfung illegaler Hetze im Netz wurde am 20. Jänner 2025 angenommen und von Anbietern wie Facebook, Instagram, LinkedIn, Snapchat, TikTok, X, YouTube, etc. unterzeichnet. Mehr Informationen finden sich auf der Webseite der Europäischen Kommission unter folgendem Link: https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.

Ein weiterer Verhaltenskodex zur Bekämpfung von Desinformation wurde im Februar 2025 angenommen. Mehr Informationen finden sich hier: https://merlin.obs.coe.int/article/10251.</ref> Zusätzlich wird die Ausarbeitung '''freiwilliger Krisenprotokolle''' empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um '''„soft law“''' – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.<ref name=":3" />

=== Governance, Aufsicht und Durchsetzung ===
[[Datei:Governance Struktur.png|mini|502x502px|Die Governance-Struktur und Organe nach dem Digital Services Act © Research Institute in Ergänzung der Abbildung von BVDW<ref>https://eclear.com/de/artikel/digital-services-act-schutz-und-verantwortung-in-der-digitalen-welt/.</ref>]]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und [[Digital Services Act (DSA)#Sanktionen|Sanktionierung]] zuständig sind.

==== Koordinator für Digitale Dienste ====
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.<ref>Für mehr Informationen zur KommAustria, siehe: https://www.rtr.at/medien/wer_wir_sind/KommAustria/KommAustria.de.html und https://www.bundeskanzleramt.gv.at/agenda/medienrecht/kommunikationsbehorde-austria.html.</ref> Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G)], welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende '''Befugnisse''' kommen der KommAustria als KDD gemäß Art 51 DSA zu:

# Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
#* Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
#* Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
#* Aufforderung an Mitarbeiter, Erklärungen abzugeben
# Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
#* Verpflichtungszusagen von Anbietern als bindend zu erklären
#* Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
#* Verhängung von Geldbußen und Zwangsgeld
#* Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
# Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
#* Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
#* Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende '''Aufgaben''':

# Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA). Den ersten [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf Jahresbericht für das Jahr 2024] hat die KommAustria bereits veröffentlicht.<ref>Nähere Informationen auf der [https://www.rtr.at/KDD_Jahresbericht_2024 Seite der RTR] sowie in der [https://www.ots.at/presseaussendung/OTS_20250818_OTS0034/erster-dsa-jahresbericht-der-kommaustria-zeigt-fortschritte-beim-schutz-der-nutzerrechte-durch-den-digital-services-act OTS-Presseaussendung]. </ref> Der Jahresbericht hat überdies folgende Informationen zu enthalten:
#* Die Zahl der eingegangenen Beschwerden nach Art 53 DSA und eine Übersicht über entsprechende Folgemaßnahmen
#* Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
#* Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen.
# Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
# Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
# Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

==== Europäisches Gremium für digitale Dienste ====
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende '''Aufgaben''' kommen dem Gremium gemäß Art 63 DSA zu:

* Unterstützung der Koordinierung gemeinsamer Untersuchungen
* Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
* Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
* Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
* Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Darüber hinaus hat das Gremium gemäß Art 35 Abs 2 DSA einmal jährlich einen umfassenden Bericht über systemische Risiken in Zusammenhang mit den Anbietern von VLOPs und VLOSEs zu veröffentlichen. Dieser beinhaltet die Ermittlung und Bewertung auffälliger wiederkehrender systemischer Risiken, die von Anbietern von VLOPs und VLOSEs gemeldet werden, sowie deren Minderung durch die genannten Anbieter. Im November 2025 hat das Gremium seinen ersten derartigen [https://ec.europa.eu/newsroom/dae/redirection/document/121707 Bericht] veröffentlicht.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/press-statement-european-board-digital-services-following-its-16th-meeting-0.</ref>

==== Europäische Kommission ====

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

* So ist die Kommission im Sinne des zweigeteilten [[Digital Services Act (DSA)#Sanktionen|Sanktionssystems]] des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
* Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
* Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
* Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
* Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremium]] die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
* Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
* Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
* Gemäß Art 43 DSA ist die Kommission dazu berechtigt, von den Anbietern sehr großer Online-Plattformen und -Suchmaschinen eine jährliche Aufsichtsgebühr zu verlangen. Dazu hat die Kommission delegierte Rechtsakte zu erlassen, worin die detaillierte Methodik und das entsprechende Verfahren der Berechnung und Erhebung dieser Gebühr festgelegt sind. In einem EuGH-Urteil von September 2025 in den verbundenen Rechtssachen Meta Platforms Ireland und TikTok Technology hat der EuGH jedoch die dazu von der Kommission erlassene Implementierungsentscheidung aufgrund methodischer Mängel annulliert. Es obliegt nun der Kommission, diese Mängel zu beheben und die Berechnungsmethode in Entsprechung der relevanten Bestimmungen des DSA durch delegierte Rechtsakte festzulegen. Praktisch dürfte dies jedoch nichts ändern, da die grundsätzliche Verpflichtung zur Zahlung von Aufsichtsgebühren nicht gegen den DSA verstößt und verpflichtende Zahlungen weiterhin für eine Übergangsperiode von höchstens 12 Monaten zu entrichten sind.<ref>Vgl die Pressemitteilung des EuGH vom 10. September 2025 für nähere Informationen: https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250114en.pdf. </ref> 
== Ausgewählte Themen im Fokus ==
=== Dark patterns ===
[[Datei:Dark patterns .png|mini|550x550px|Dimensionen von Dark patterns nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".<ref>Vgl Art 25 DSA.</ref><ref>ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind '''Praktiken''', mit der darauf abgezielt oder tatsächlich erreicht wird, dass die '''Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird'''. Solche Praktiken können eingesetzt werden, um die Nutzer zu '''unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen''', die '''negative Folgen''' für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.</ref> Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer '''getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden'''. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

'''ErwGr 67 DSA''' nennt weitere Beispiele:

* Einerseits '''ausbeuterische Gestaltungsmuster''', mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
* Weiters Praktiken, die darin bestehen, einen Nutzer '''wiederholt aufzufordern''', eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde ''(Nagging, Confirm Shaming).''
* Die Gestaltung eines '''Verfahrens zur Stornierung eines Dienstes''' als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
* Dazu zählt, es unverhältnismäßig schwierig zu machen, '''Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden,''' die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
* Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden. Ebenso abzugrenzen sind "dark patterns" vom eher positiv konnotierten "Nudging", das zwar ebenfalls auf die Verhaltenssteuerung der Nutzer abzielt, allerdings eher positive Resultate beweckt - sei es gesamtgesellschaftlich oder für den Nutzer selbst.<ref name=":24">Vgl ''Barudi'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024), Art. 25 Gestaltung und Organisation der Online-Schnittstelle Rz 10. </ref> Die Grenze ist allerdings fließend und mitunter wird auch das "Nudging" als unzulässige Verhaltensweise gesehen.<ref name=":24" />

Die '''Kommission kann Leitlinien''' für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

'''Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):'''

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung (DSGVO)] oder der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie für unlautere Geschäftspraktiken (UGP-RL)] fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.<ref>Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."</ref>

'''Querverbindungen zum [[Digital Markets Act (DMA)]]:'''

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.<ref name=":8">Vgl ''Martini/Kramme/Kamke,'' KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.</ref> Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).<ref name=":8" /> Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".<ref name=":8" />

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).<ref name=":8" /> Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.<ref name=":8" />

'''Querverbindungen zum [[Artificial Intelligence Act (AIA)]]:'''

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA). [[Datei:Entscheidungsbaum rechtswidrige Inhalte EU DSA Prüfschritte.png|mini|704x704px|Prüfschritte bei rechtswidrigen Inhalten - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Rechtswidrige Inhalte ===
Ein Hauptzweck des DSA ist die '''Regulierung rechtswidriger Online-Inhalte''' durch die '''Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter''', womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen ''Hate Speech'' soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

* Datenschutzverletzungen (DSGVO, DSG)
* "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
* "Cyber Mobbing" (§107c StGB)
* Kreditschädigung (§152 StGB)
* Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
* Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
* Verhetzung (§283 StGB)
* Straftatbestände des Verbotsgesetzes 1947
* Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten '''[[Digital Services Act (DSA)#Haftungsprivilegien|Haftungsprivilegien]]'''. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden '''Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt''' gegen den Vermittlungsdienstanbieter erlassen können.<ref>Im Zusammenhang mit der Verbreitung terroristischer Inhalte können Behörden zudem Entfernungsanordnungen nach der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte (TI-VO) bzw dem Terrorinhalte-Bekämpfungs-Gesetz (TIB-G) erlassen. Einer derartigen Anordnung hat der Online-Diensteanbieter grundsätzlich innerhalb einer Stunde zu entsprechen und den Inhalt zu entfernen oder den Zugang zu terroristischen Inhalten in der gesamten Union zu sperren. Mehr Informationen sind unter folgendem Link abrufbar: https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/TCO-VO/TCO_VO.de.html</ref> Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für '''Auskunftsanordnungen''' nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche '''Meldesysteme''' zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

* Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
* Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
* Name und E-Mail-Adresse der meldenden Person oder Einrichtung
* Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

'''Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:'''

* Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
* Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
* Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
* Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
* Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
* Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Am 20. Jänner 2025 wurde der '''[https://ec.europa.eu/newsroom/dae/redirection/document/111777 "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+"]''', der auf einem bereits [https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en 2016 angenommenen Verhaltenskodex] beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram etc. unterzeichnet.<ref>Vgl https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.</ref> Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

'''Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:'''

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen (siehe nähere Informationen unter: "[[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|Österreichisches Recht - das DSA-Begleitgesetz]]"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
=== Werbeschaltungen ===
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.<ref>Vgl Art 26 Abs 1 DSA.</ref> Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen:

* das werbende bzw die Werbung finanzierende Unternehmen
* Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und
* Hinweise, wie diese Parameter unter Umständen geändert werden können.

Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.<ref>Vgl Art 26 Abs 2 DSA.</ref>

Nicht definiert wird, wann ein Nutzer dazu in der Lage ist, die in Art. 26 Abs. 1 lit. a – d genannten Daten klar, präzise, in eindeutiger Weise und in Echtzeit zu erkennen. Diesbezüglich lassen sich in Erwgr. 68 Anhaltspunkte finden. So sollen betreffenden Informationen hervorgehoben dargestellt werden, etwa durch standardisierte visuelle oder akustische Kennzeichnungen, sodass sie für den durchschnittlichen Nutzer klar erkennbar und eindeutig sind.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 25, beck-online.</ref> Art. 26 Abs. 1 lit. a DSA ähnelt dabei Art. 6 lit. a E-Commerce-RL, wonach die kommerzielle Kommunikation „klar […] erkennbar“ sein muss. Der Maßstab der klaren Erkennbarkeit soll dazu führen, dass der Werbecharakter eines dargestellten Inhalts nicht verschleiert wird und Werbeanzeige dürfen nicht als objektiven Information erscheinen. Die Anforderung, dass die Informationen den Nutzern „in Echtzeit“ gegeben werden muss, bedeutet, dass sie wahrgenommen werden können müssen, während die Werbeanzeige eingeblendet wird.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 27, 28, beck-online.</ref>

'''Folgende Werbeschaltungen sind gemäß DSA verboten:'''

* Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.<ref>Vgl Art 26 Abs 3 DSA.</ref>
* Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.<ref>Vgl Art 28 Abs 2 DSA.</ref>
Werbeschaltungen die auf Basis von besonderen Datenkategorien erfolgen, können auch nicht durch eine Einwilligung gerechtfertigt werden.

'''Transparenz der Empfehlungssysteme:'''

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.<ref>Vgl Art 27 Abs 1 DSA.</ref> Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.<ref>Vgl Art 27 Abs 2 DSA.</ref>

Parameter können - je nach Plattform - etwa "Kundenaktionen“, „Informationen über den Artikel“, "Informationen über Aktivität und Kontakte" aber auch auch die Tageszeit und die Dauer der Nutzung sein.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Da Empfehlungssysteme eng mit der Attraktivität der jeweiligen Plattform in Verbindung stehen, sind sie komplex und häufigen Änderungen unterworfen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.<ref>MwN ''Roos/Voget,'' Transparenzpflichten für die Nutzung von KI auf Online-Marktplätzen, RDi 2024, 487.</ref> Wird über den Einsatz von KI informiert, so ist insbesondere beim Einsatz von Deep Learning häufig nicht mehr nachzuvollziehen, aufgrund welcher Parameter die Entscheidung durch den Algorithmus bzw. die Algorithmen (hier dem Empfehlungssystem) zustande gekommen ist. Es lassen sich jedochuch beim Einsatz von Techniken des maschinellen Lernens Informationen auf einem gewissen Abstraktionsniveau darlegen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.<ref>Art 27 Abs 3 DSA.</ref>

'''Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:'''

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.<ref>Vgl Art 38 DSA.</ref> Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.<ref>Vgl Art 39 DSA.</ref> In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.<ref>Vgl Art 46 DSA.</ref> Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
=== Forschungsdatenzugang ===

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. In Art 40 DSA werden zwei Arten des Datenzugangs unterschieden:

* Zugang zu Daten, die in den Online-Schnittstellen der Plattformen öffentlich zugänglich sind (öffentlicher Datenzugang, Art 40 Abs 12 DSA)
* Privilegierter Zugang zu Plattformdaten (nicht öffentlicher Datenzugang) in Art 40 Abs 4 DSA)

Je nach Art des beantragten Zugangs gibt es Unterschiede hinsichtlich der Frage, wer den Zugang beantragen kann, an wen der Antrag zu stellen ist und welche Verpflichtungen mit dem Datenzugang verbunden sind.<ref>KommAustria, Artikel 40 Datenzugang für Forschende Information für Antragstellende (2025), [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf.]</ref>

Gemäß Art 40 DSA kann der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste (KDD)]] unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.<ref>https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

* die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen (Art 40 Abs 8 lit a DSA),
* sie sind unabhängig von kommerziellen Interessen (Art 40 Abs 8 lit b DSA),
* ihr Antrag gibt Aufschluss über die Finanzierung der Forschung (Art 40 Abs 8 lit c DSA),
* sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben (Art 40 Abs 8 lit e DSA),
* sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist (Art 40 Abs 8 lit e DSA),
* die geplanten Forschungstätigkeiten werden zu den in Art 40 Abs 4 DSA genannten Zwecken durchgeführt (Art 40 Abs 8 lit f DSA),
* sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen (Art 40 Abs 8 lit g DSA).
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]])'''.''' Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR)] und auf der [https://digital-strategy.ec.europa.eu/de/policies/list-designated-vlops-and-vloses Webseite der Europäischen Kommission] gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

Um Zugang zu öffentlichen Daten zu erhalten, sollten sich Forschende direkt an die VLOP/VLOSE wenden. Plattformen müssen öffentliche Daten bereitstellen, verlangen jedoch im Antrag den in Art 40 Abs 12 DSA normierten Nachweis darüber, dass die Bedingungen nach Art 40 Abs 8 lit b–e DSA erfüllt sind.

Sofern Ihr Forschungsvorhaben den Zugang (auch) zu personenbezogenen Daten umfasst, müssen Sie nachweisen, dass Sie in der Lage sind, die besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen. Zur Einhaltung der datenschutzrechtlichen Anforderungen können Checklisten wie die ''Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art 40 Abs. 4 DSA des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.2025''<ref>Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.202, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Checkliste_Datenschutzanforderungen.pdf</ref> herangezogen werden.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Seit dem Inkrafttreten des delegierten Rechtsakts über den Datenzugang am 29. Oktober 2025 eröffnen sich den Forschenden neue Möglichkeiten. Durch diesen Rechtsakt wird der Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglicht. Seit Oktober 2025 ist die Antragstellung über ein zentrales Portal der Europäischen Kommission möglich.<ref>Der Zugang zum Portal ist seit 29.10.2025 unter <nowiki>https://data-access.dsa.ec.europa.eu/public/hta/data-access</nowiki> möglich.</ref>
{| class="wikitable"
|+
!Beispiel<ref>Das Beispiel stammt in abgewandelter Form von folgender Seite: https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>
|-
|Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
|}

== Verbraucherschutz und Rechtsbehelfe ==
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.<ref>Vgl Art 3 lit b DSA und ErwGr 2 DSA. </ref> Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.<ref>Art 2 Abs 4 lit f DSA nennt die spezifischen Verbraucherschutzinstrumente, die von dem Anwendungsbereich des DSA unberührt bleiben, beispielsweise die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32013L0011 EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (2013/11/EU)] oder die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R2394 Verordnung über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden ((EU) 2017/2394)]. ErwGr 10 DSA führt zudem unter anderem die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 EU-Richtlinie über die Rechte der Verbraucher (2011/83/EU)] und die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie über unlautere Geschäftspraktiken (2005/29/EG)] an. </ref>

=== Konkrete Schutzvorschriften ===

==== Allgemeine Vorschriften ====
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte '''Haftungsprivileg''' für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.<ref>Vgl Art 6 Abs 3 DSA. </ref> Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.<ref name=":7">Vgl ''Dregelies'', Verbraucherschutz im Digital Services Act, VuR 2023, 175. </ref>

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren '''AGBs''' in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.<ref>Vgl Art 14 DSA.</ref> Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein '''internes Beschwerdemanagementsystem''' einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.<ref>Vgl Art 20 DSA. </ref> Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf '''außergerichtliche Streitbeilegung'''.<ref>Vgl Art 21 DSA.</ref> Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von '''vertrauenswürdigen Hinweisgebern''' ("trusted flaggers") vorrangig und unverzüglich behandelt werden.<ref>Vgl Art 22 DSA.</ref> Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidriger Inhalte]] verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher<ref>Die Aufzählung entstammt der Webseite der RTR unter: https://www.rtr.at/medien/presse/pressemitteilungen/Presseinformationen_2024/PI11292024KOA_TrustedFlaggers.de.html

Eine Liste aller EU-weit zertifizierter vertrauenswürdiger Hinweisgeber kann hier eingesehen werden: https://digital-strategy.ec.europa.eu/en/policies/trusted-flaggers-under-dsa. </ref>:

* Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
* Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
* Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
* Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
* Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)<ref>Die Zertifizierungen der KommAustria sind unter folgendem Link abrufbar: https://www.rtr.at/medien/aktuelles/entscheidungen/Uebersicht.de.html</ref>

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine '''Risikobewertung''' durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.<ref>Vgl Art 34 Abs 1 lit b DSA. </ref>

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter '''freiwillige Verhaltenskodizes''' ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

==== Besondere Vorschriften für Anbieter von Transaktionsplattformen ====
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten '''"Know-your-Business-Customer"-Grundsatz'''<ref name=":7" />, wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.<ref>Vgl Art 30 DSA.</ref> Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ('''"Konformität durch Technikgestaltung"''').<ref>Vgl Art 31 DSA.</ref>

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).<ref>Vgl ''Nemec'', Digital Services Act und Verbraucherschutz, ecolex 2024/119.</ref> <ref name=":7" />

'''Recht auf Information (Art 32 DSA):''' Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

=== Rechtsbehelfe ===

* '''Beschwerderecht (Art 53 DSA):''' Die Nutzer von Vermittlungsdiensten haben das Recht, beim [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
* '''Entschädigung (Art 54 DSA):''' Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind. 
== Verfahren nach dem DSA ==

=== Auf Profiling basierende Werbeschaltungen auf LinkedIn ===
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen [https://edri.org/ EDRi], [https://www.globalwitness.org/en/ Global Witness], [https://freiheitsrechte.org/ Gesellschaft für Freiheitsrechte] und [https://www.bitsoffreedom.nl/ Bits of Freedom] an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.<ref>Vgl https://edri.org/our-work/civil-society-complaint-raises-concern-that-linkedin-is-violating-dsa-ad-targeting-restrictions/.</ref> Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-request-information-linkedin-potentially-targeted-advertising-based-sensitive-data.</ref>

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann [https://ec.europa.eu/commission/presscorner/detail/de/STATEMENT_24_3172 hier] nachgelesen werden.

=== Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr ===
Die chinesische '''Online-Plattform Temu''', die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.<ref>Vgl https://germany.representation.ec.europa.eu/news/dsa-kommission-eroffnet-formelles-verfahren-gegen-temu-2024-10-31_de?prefLang=en.</ref> Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]].

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

* Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
* Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme <ref>Für mehr Informationen zu den Belohungsprogrammen siehe: https://www.chip.de/news/Das-Temu-Prinzip-Wie-Online-Shopping-zum-Spiel-wird_185170925.html.</ref>
* Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
* Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes. Im Juli 2025 hat die Kommission vorläufig einen DSA-Verstoß Temu's in Bezug auf illegale Produkte festgestellt.<ref name=":22">Vgl https://germany.representation.ec.europa.eu/news/vorlaufige-feststellung-temu-verstosst-bezug-auf-illegale-produkte-gegen-gesetz-uber-digitale-2025-07-28_de sowie die originale Pressemitteilung: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1913.</ref> Demnach hätte der Diensteanbieter eine zu ungenaue Risikobewertung durchgeführt und daher wahrscheinlich unzureichende Maßnahmen zur Eindämmung des Verkaufs nicht konformer Produkte auf seiner Plattform gesetzt. Temu steht nun die Möglichkeit offen, seine Verteidigungsrechte auszuüben und auf die Feststellungen zu antworten.<ref name=":22" />

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste '''TikTok, YouTube''' und '''Snapchat'''.<ref>Vgl https://www.t-online.de/nachrichten/ausland/internationale-politik/id_100501946/eu-ermittelt-youtube-tiktok-snapchat-wegen-suchtgefahr-unter-druck.html.</ref> Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-requests-information-youtube-snapchat-and-tiktok-recommender-systems-under-digital.</ref>

=== Weitere Klagen gegen Temu ===
Gegen Temu ist auch auf nationaler ein Rechtsstreit anhängig, speziell aufgrund der vermeintlichen Verwendung unerlaubter "dark patterns".<ref>Vgl https://verbraucherrecht.at/verfahren-gegen-temu<nowiki/>.MwN vgl auch die mediale Berichterstattung: https://www.derstandard.at/story/3000000290329/wie-stark-werden-onlinekaeufer-manipuliert-sozialministerium-klagt-billigriesen-temu; https://www.diepresse.com/20163737/wer-trickst-verliert-sozialministerium-klagt-chinesischen-temu; https://orf.at/stories/3407287/. </ref> Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Österreichischen Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz beim Handelsgericht Wien eine Verbandsklage gegen Temu eingebracht. Gegenstand ist die Verwendung bestimmter Designmuster durch Temu, wodurch Kunden zur Preisgabe personenbezogener Daten und zu großzügigen Ausgaben animiert würden, bspw durch aufdringliche Pop-Ups, Gewinnspiele, künstliche Verknappung und der Einsatz von Countdowns. Ebenso würden Kunden zu vorschnellen Kaufentscheidungen verleitet, durch Gutscheine gelockt, deren Einlösung an versteckte Bedingungen geknüpft ist, und die Löschung des Nutzerkontos gestalte sich als überaus kompliziert, im Gegensatz zur einfachen Kontoerstellung.

=== Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen ===
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.<ref>Weitere Informationen finden sich unter folgendem Link: https://ec.europa.eu/commission/presscorner/detail/de/ip_24_6487.</ref> Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.<ref>Bereits am 26. April 2024 hat die Europäische Kommission Leitlinien für Anbieter sehr großer Online-Plattformen und -Suchmaschinen zur Minderung systemischer Risiken in Wahlprozessen veröffentlicht: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014.</ref> Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.<ref name=":11">https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/767150/EPRS_ATA(2024)767150_DE.pdf.</ref> Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.<ref name=":11" />

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

* die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
* die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

=== Vorläufige Feststellung der Kommission: TikTok und Meta verstoßen gegen ihre Transparenzpflichten im Rahmen des Gesetzes über digitale Dienste ===
Die Europäische Kommission hat am 24.10.2025 vorläufig festgestellt, dass sowohl TikTok als auch Meta gegen ihre Pflicht aus dem Gesetz über digitale Dienste verstoßen haben, '''Forschenden den Antrag auf Zugang''' zu öffentlichen Daten zu erschweren und einen angemessenen Zugang zu öffentlichen Daten zu gewähren. Nach den vorläufigen Feststellungen haben Facebook, Instagram und TikTok möglicherweise aufwendige Verfahren und Systeme eingeführt, welche den Forschenden den Antrag auf Zugang zu öffentlichen Daten erschweren. Die erschwerte Antragstellung kann dazu führen, dass Forschende oftmals nur unvollständige oder unzuverlässige Daten erhalten, ihre Forschungstätigkeiten dadurch erschwert werden, z. B. zur Untersuchung der Frage, ob Nutzerinnen und Nutzer, einschließlich Minderjähriger, illegalen oder schädlichen Inhalten ausgesetzt sind.

Forschenden Zugang zu den Daten von Plattformen zu gewähren, wird als eine wesentliche Transparenzpflicht nach dem DSA gesehen, da dies eine öffentliche Kontrolle der potenziellen Auswirkungen von Plattformen auf die körperliche und psychische Gesundheit ermöglicht.<ref>Pressemitteilung der Europäischen Kommission vom 24.10.2025,abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2503</ref>

Am 5.12.2025 erklärte die Kommission Verpflichtungszusagen von TikTok für verbindlich, wonach TikTok gewisse Maßnahmen iZm mehr Transparenz bei seinem Werbearchiv umsetzen muss.<ref>''Europäische Kommission'', Pressemitteilung, Kommission akzeptiert Verpflichtungen von TikTok zur Transparenz der Werbung im Rahmen des Gesetzes über digitale Dienste (05.12.2025), https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2940. </ref>

=== Geldbuße gegen X ===
Am 5.12.2025 verhängte die Kommission eine Geldbuße gegen X in der Höhe von 120 Mio. EUR wegen Verstößen gegen die Transparenzpflichten nach dem DSA. Konkret vorgeworfen wurden: die irreführende Gestaltung eines blauen Häkchens für „verifizierte Konten“, die mangelnde Transparenz seines Werbearchivs und das Versäumnis, Forschenden Zugang zu öffentlichen Daten zu gewähren.<ref>''Europäische Kommission'', Pressemitteilung, Gesetz über digitale Dienste: Kommission verhängt Geldbuße in Höhe von 120 Mio. EUR gegen X (5.12.2025), https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2934.</ref>

=== Weitere Verfahren bzw relevante Entwicklungen ===

* Die Plattform X (ehemals Twitter) steht im Verdacht, gegen die Bestimmungen des DSA in Bezug auf Desinformation und illegale Inhalte verstoßen zu haben.<ref>Vgl https://www.politico.eu/article/eu-charges-musks-x-for-letting-disinfo-run-wild/.</ref> Hintergrund ist eine antisemitische Äußerung des in die Plattform integrierten Chatbots "Grok".<ref>Vgl https://www.euractiv.com/news/x-warned-it-could-face-shut-down-in-poland-after-groks-antisemitic-outburst/. </ref> Darüber hinaus hat der irische Koordinator für digitale Dienste (Coimisiún na Meán) im November 2025 ein Verfahren gegen X wegen eines angeblichen Verstoßes gegen Art 20 DSA eröffnet, wonach Anbieter von Online-Plattformen Nutzern Zugang zu einem internen Beschwerdemanagementsystem gewähren müssen.<ref>MwN https://www.mlex.com/mlex/articles/2410041. </ref>
* Im Februar 2025 reichte die niederländische NGO "SOMI" (Stichting Onderzoek Marktinformatie) eine Sammelklage auf Schadenersatz gegen TikTok ein. Gegenstand der Klage sind sowohl angebliche Verstöße TikToks gegen den DSA als auch gegen die DSGVO und den AI Act, da der Diensteanbieter höchstpersönliche Nutzerdaten sammeln, analysieren und darauf basierend Persönlichkeitsprofile für Werbezwecke erstellen würde sowie Nutzer durch seine Algorithmen gezielt abhängig mache.<ref>MwN https://www.lto.de/recht/hintergruende/h/eu-kommission-dsa-tiktok-verstoesse. </ref>
* Die Europäische Kommission hat am 26. November 2025 im Rahmen des DSA ein Auskunftsersuchen an Shein gerichtet, nachdem vorläufige Hinweise darauf vorliegen, dass illegale Waren, insbesondere kinderähnliche Sexpuppen und Waffen, auf dem Markt angeboten werden, die sie , dass das Shein-System ein systemisches Risiko für die Verbraucher in der gesamten Europäischen Union darstellen könnte. Verlangt werden insbesondere detaillierte Informationen und interne Dokumente darüber vorzulegen, wie sie sicherstellt, dass Minderjährige nicht altersunangemessenen Inhalten ausgesetzt sind.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-requests-shein-provide-information-sale-illegal-products-under-digital-services-act</ref>
* Ein aktueller Überblick über laufende Verfahren und bisherige Rechtsstreitigkeiten kann [https://www.mlex.com/mlex/case_files/671808c4e48ada0e00bb040e hier] abgerufen werden.

== Synergien ==
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).<ref name=":9">Vgl ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).</ref>

Die Kommission hat das Verhältnis des DSA zu anderen Digitalrechtsakten in einem Bericht dargestellt.<ref>Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.</ref>

Im Folgenden findet sich eine partielle Erörterung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

=== Datenschutz-Grundverordnung (DSGVO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung] (DSGVO) regelt die Verarbeitung von '''personenbezogenen Daten'''. Darunter sind gemäß Art 4 Z 1 DSGVO all jene Informationen zu verstehen,

''"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".''

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich '''Verantwortlicher''' (Art 4 Z 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.<ref>Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgl dazu: ''Scheichenbauer,'' Datenschutzrecht für Vereine (2023).</ref> Der EuGH hat kürzlich klargestellt, dass '''Betreiber von Online-Marktplätzen''' als (gemeinsam) Verantwortliche nach der DSGVO gelten, wenn sie Zwecke und Mittel der Veröffentlichung von Nutzendeninhalten mitbestimmen. Sie können sich bei Datenschutzverstößen ''nicht'' auf die Haftungsprivilegien der E-Commerce-RL<ref>Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl L 2000/178, 1.</ref> (der Vorgängerin des DSA) berufen. Zugleich sind sie zu präventiven technischen und organisatorischen Maßnahmen verpflichtet (Art 32 DSGVO), insb zur Identifikation und Kontrolle von Anzeigen mit besonderen Kategorien personenbezogener Daten, zur Identitätsprüfung von Inserent*innen sowie zu effektiven Sicherheitsmaßnahmen gegen Kopieren und Weiterverbreitung solcher Inhalte.<ref>EuGH 2.12.2025, C-492/23 (''Russmedia Digital und Inform Media Press).'' </ref>

Weiters kann der DSA als '''gesetzliche Vorgabe''' eine '''Rechtsgrundlage''' für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.<ref name=":9" /> Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.<ref name=":9" />

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu '''"[[Digital Services Act (DSA)#Dark patterns|dark patterns]]"''' ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO verstoßen "dark patterns" insbesondere gegen die Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, die allgemeinen Datenverarbeitungsgrundsätze nach Art 5 DSGVO sowie den Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO).<ref name=":9" />

* Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (vgl Art 4 Z 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".<ref name=":9" />
* Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12 ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).<ref name=":9" />
* Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.<ref name=":9" />
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von '''Profiling''' und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Z 4 DSGVO. Demnach bezeichnet Profiling

''"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".''

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

* Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
* Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
* Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.<ref name=":9" /> Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.<ref name=":9" /> Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Der DSA kann auch (mittelbar) der Durchsetzung von DSGVO-Verstößen dienen: So kam die Berliner Datenschutzbeauftragte zum Ergebnis, dass ein bestimmter App-Betreiber wegen rechtswidriger Übermittlung personenbezogener Daten der Nutzer nach China gegen Art 46 Abs 1 DSGVO verstoße. Sie forderte daher das Unternehmen auf, die erforderlichen Maßnahmen zur Herstellung eines DSGVO-konformen Zustands zu ergreifen. Da das Unternehmen dem allerdings nicht nachkam, machte die Berliner Datenschutzbeauftragte von der [[Digital Services Act (DSA)#Abgestufter Pflichtenkatalog|Möglichkeit nach Art 16 DSA]] Gebrauch und meldete die rechtswidrigen Inhalte den App Store-Betreibern, auf deren Plattformen die entsprechende App angeboten wurde.<ref>''Berliner Beauftragte für Datenschutz und Informationsfreiheit'', Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt, Pressemitteilung vom 27.06.2025, https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/.</ref>

Nähere Informationen zum Zusammenspiel zwischen dem DSA und der DSGVO finden sich in den entsprechenden [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf Leitlinien], die der Europäische Datenschutzausschuss (EDSA) im September 2025 veröffentlicht hat.

=== [[Digital Markets Act (DMA)]] ===

Der DSA bildet zusammen mit dem [[Digital Markets Act (DMA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" ("Gatekeeper") auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen "Torwächter" mit zentralen Plattformdiensten, das sind jene Anbieter, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw die von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführende Praktiken.

=== Platform-to-Business-VO (P2B-VO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019R1150 Platform-to-Business-VO] ("P2B-VO")<ref>Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten, ABl L 2019/186, 57.</ref> gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an '''gewerbliche''' '''Nutzer''', verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.<ref>Vgl Art 1 Abs 2 P2B-VO. </ref> Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.<ref name=":17">Nähere Informationen können auf folgender Seite der Wirtschaftskammer Österreich (WKO) eingesehen werden: https://www.wko.at/oe/handel/p2b-verordnung.</ref> Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.<ref name=":17" /><ref>Vgl Art 1 Abs 3 P2B-VO. </ref> Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitestgehend auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der nach dem DSA.<ref>Vgl dazu die Begriffsbestimmungen des DSA in Artikel 3 und jene der P2B-VO in Artikel 2. </ref> Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29 ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33 ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von '''Allgemeinen Geschäftsbedingungen''' (AGBs), beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.<ref name=":9" /> Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.<ref name=":9" /> Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.<ref name=":9" /> Hier gehen die Meinungen in der Literatur auseinander: während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

=== [[Artificial Intelligence Act (AIA)]] ===

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der [[Artificial Intelligence Act (AIA)]], dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.<ref name=":13">Vgl ''Honer/Schöbel,'' Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.</ref> Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.<ref name=":13" /> Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).<ref name=":14">Vgl ''Hacker,'' Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024). </ref> Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.<ref name=":14" /> Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.<ref name=":14" />

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
{| class="wikitable"
|+
!
!DSA
!AIA
!Beispiele und nähere Erläuterungen
|-
|'''Adressaten'''
|Vermittlungsdiensteanbieter
|Vorrangig Anbieter bzw Betreiber von (generativer) KI
|Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Ein Beispiel wäre der Einsatz von KI durch YouTube, um die Videos seiner Nutzer zu editieren.<ref>Vgl ''Germain,'' YouTube secretly used AI to edit people's videos. The results could bend reality, bbc.com 24.08.2025, https://www.bbc.com/future/article/20250822-youtube-is-using-ai-to-edit-videos-without-permission. </ref> Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#GPAI-Modelle_(Art_51_ff_AI_Act) General Purpose AI - GPAI]) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act).<ref name=":14" /> Hier treten also die Anforderungen nach dem DSA neben die Pflichten nach dem AI Act.
Wie bereits erörtert wird aktuell geprüft, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine (VLOSEs) einzustufen ist.<ref name=":21" /> Damit wäre ChatGPT die erste eigenständige KI-Anwendung, die unter den DSA fällt, und würde einen wichtigen Präzedenzfall für die Regulierung KI-gestützter Online-Dienste in Europa darstellen. Die formelle Einstufung könnte laut Medienberichterstattung noch einige Wochen dauern und weder die EU-Kommission noch OpenAI haben zum heutigen Stand (November 2025) Statements dazu veröffentlicht.<ref name=":21" />
|-
|'''Risikoanalyse'''
|Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl Art 34 Abs 1 und Art 35 DSA)
|Anbieter von Hochrisiko-KI-Systemen sind gemäß Art 17 AI Act zur Etablierung eines Risikomanagementsystems nach Art 9 AI Act verpflichtet.<ref>Näheres dazu findet sich im [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Risikoanalyse:_Digital_Services_Act_(DSA)_vs_AI_Act Eintrag über den AI Act im Kapitel Synergien] und wird daher an dieser Stelle nicht näher behandelt.</ref>
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
|Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.<ref>Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt. </ref> Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (beispielsweise Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc.), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse sollte überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sogenannte "konsolidierte und technologieübergreifende Risikoanalyse").<ref name=":14" /> So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
|-
|'''Forschungsdatenzugang'''
|Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
|Der AIA enthält keine vergleichbare Regelung
|Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.<ref name=":14" />
|-
|'''Inhaltsmoderation'''
|Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Vermittlungsdiensteanbieter trifft nur eine eingeschränkte Verantwortlichkeit für illegale Inhalte (vgl die sog [https://wiki.atlaws.eu/index.php/Digital_Services_Act_(DSA)#Haftungsprivilegien Haftungsprivilegien]). Demnach haften sie unter anderem dann für die illegalen Inhalte ihrer Nutzer, wenn sie tatsächliche Kenntnis von deren rechtswidrigem Charakter haben.
|Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
|Vermittlungsdiensteanbieter bzw Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (zB rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.<ref name=":14" /> Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.<ref name=":14" /> Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Gewisse Monitoring- und Risikoanalyseverpflichtungen nach dem AI Act könnten dazu führen, dass ein Vermittlungsdiensteanbieter, der KI auf seinen Plattformen einsetzt, tatsächliche Kenntnis von illegalen Inhalten erlangt. Die in Art 7 DSA normierte "Gute-Samariter-Regelung" könnte diese Haftungsbegründung allerdings wieder ausschließen. Denn laut dieser gelten die Haftungsprivilegien weiterhin für Vermittlungsdiensteanbieter, wenn diese auf Eigeninitiative Untersuchungen zur Erkennung illegaler Inhalte durchführen, beispielsweise um den Anforderungen des Unionsrechts nachzukommen, wozu eben auch der AI Act zählt.<ref>Diese Interpretation ist allerdings noch nicht höchstgerichtlich bestätigt. MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 51, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>
|-
|'''Umgang mit künstlich erzeugten Inhalten ("Deepfakes")'''
|Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
|Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
|Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw Offenlegung der künstlich erzeugten Inhalte verpflichtet wird. Ansonsten ist auch denkbar, dass die Rollen nach dem AI Act und dem DSA zusammenfallen. Wenn das KI-System hingegen von einer anderen Partei als dem Anbieter einer sehr großen Online-Plattform oder -Suchmaschine betrieben wird, bspw durch Einbettung, dann haben beide Unternehmen insbesondere auf technischer Ebene zusammenzuarbeiten, um die Verfügbarkeit und Kohärenz der Kennzeichnungen sicherzustellen.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 50, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref>
Diese Synergie zwischen dem DSA und dem AI Act ist explizit in ErwGr 120 AI Act angesprochen, wonach die Pflichten zur Offenlegung und Feststellung von künstlich erzeugten oder manipulierten Inhalten nach dem AI Act von besonderer Bedeutung für die Einhaltung der Verpflichtungen nach dem DSA sind, insbesondere jene zur Risikoanalyse.
|}

[[Datei:Die Wirkung der Grundrechte.png|mini|750x750px|Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Grundrechtsschutz ===
In Artikel 1 Absatz 1 DSA wird der Schutz der in der [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).<ref name=":12">Vgl ''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024). </ref> Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

* Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA). In diesem Sinne hat Facebook-Gründer Mark Zuckerberg im Jänner 2025 grundlegende Änderungen der Inhaltemoderation auf den Plattformen des Mutterkonzerns Meta [https://about.fb.com/news/2025/01/meta-more-speech-fewer-mistakes/?ref=platf angekündigt].<ref>MwN https://www.mlex.com/mlex/technology/articles/2281128.</ref> Ziel sei eine Reduktion automatisierter Filter, um nicht mehr jegliche Verstöße gegen die Nutzungsbedingungen zu erkennen, sondern nur mehr eindeutig rechtswidrige Inhalte und schwerwiegende Verstöße, wobei geringfügige AGB-Verletzungen weiterhin über ein nutzerbasiertes Meldesystem eingebracht werden können. Dadurch soll einerseits die Fehlerquote der automatisierten Inhaltemoderation verringert und andererseits der Meinungspluralismus gefördert werden.<ref>MwN ''Jennerjahn'', Änderungen der Inhaltemoderation auf den Meta-Plattformen, MMR 2025, 247. </ref>
* Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
* Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.<ref name=":3" /> Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

* Die [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] (EU GRC)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000308 Europäische Menschenrechtskonvention] (EMRK)
* Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 Richtlinie über die Rechte der Verbraucher]
* Die [https://headless-live.unicef.de/caas/v1/media/194402/data/3828b8c72fa8129171290d21f3de9c37 UN-Konvention über die Rechte des Kindes] (UN-Kinderrechtskonvention)
* Die [https://broschuerenservice.sozialministerium.at/Home/Download?publicationId=19 UN-Behindertenrechtskonvention] (UN-BRK)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000741 UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau] (CEDAW)
* Österreichische Rechtsakte:
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000138 Bundes-Verfassungsgesetz (B-VG)]
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000006 Staatsgrundgesetz 1867] (StGG)
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002462 Konsumentenschutzgesetz (KSchG)]
*# [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz]
*# [https://www.ris.bka.gv.at/GeltendeFassung/Bundesnormen/20003395/GlBG%2C%20Fassung%20vom%2007.11.2016.pdf Gleichbehandlungsgesetz]
*# [https://ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2023_I_76/BGBLA_2023_I_76.html Barrierefreiheitsgesetz:] Dieses ist seit dem 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).<ref>Mehr Informationen finden sich auf der Webseite der Wirtschaftskammer Österreich (WKO) unter folgendem Link: https://www.wko.at/ce-kennzeichnung-normen/informationen-zum-barrierefreiheitsgesetz.</ref>

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.<ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).</ref><ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023). </ref> Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.<ref name=":3" /> Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.<ref name=":3" /> Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.<ref name=":3" /><ref>''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).</ref>

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.<ref name=":12" />
=== Österreichisches Recht - das DSA-Begleitgesetz ===
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20011678 Telekommunikationsgesetz 2021], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

==== Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G) ====
Mit dem [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 KDD-G] wird die nationale Aufsicht über die digitalen Dienste und die Funktion des [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinators für digitale Dienste (KDD)]] als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

* [[Datei:Stakeholder und Akteure.png|mini|711x711px|Vom DSA betroffene Stakeholder, Akteure und Sektoren © Research Institute basierend auf der Abbildung von 7p mobility<ref>https://7p-mobility.com/blog/digital-services-act-dsa-wie-die-eu-die-online-welt-sicherer-macht</ref>]]die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
* die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
* die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
* Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
* die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

==== Das E-Commerce-Gesetz (ECG) ====
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]] (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetzes (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

==== Sonstige Änderungen durch das DSA-Begleitgesetz ====
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 Allgemeines Bürgerliches Gesetzbuch (ABGB):] In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.<ref name=":15">Vgl ''Wittmann'', Das DSA-Begleitgesetz: Neue Instrumente zur Bekämpfung von "Hass-im Netz", MR 2023, 298. </ref>
* [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 Urheberrechtsgesetz (UrhG):] Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.<ref name=":15" />
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 Strafprozessordnung (StPO):] Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.<ref name=":15" />
== Sanktionen ==
Der DSA sieht ein '''zweigeteiltes Sanktionssystem''' vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 Koordinator-für-digitale-Dienste-Gesetz (KDD-G)] verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.<ref>Vgl § 5 Abs 6 iVm § 6 KDD-G.</ref>

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

* Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.<ref>Vgl Art 52 DSA.</ref> Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.<ref>Vgl § 5 iVm § 6 Abs 1 Z 1 KDD-G</ref> Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.<ref>Vgl Art 74 DSA.</ref>
* Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.<ref>Vgl Art 52 DSA iVm § 6 Abs 1 Z 2 KDD-G und Art 74 DSA. </ref>
* '''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes.<ref>Vgl Art 52 iVm § 6 Abs 2 KDD-G und 76 DSA.</ref> Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
* '''Einstweilige Maßnahmen:''' In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine ''prima facie'' Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.<ref>Vgl Art 70 DSA. </ref> 
== Weiterführende Literatur ==

* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Hofmann/Raue,'' Digital Services Act. Gesetz über digitale Dienste (2023).
* ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Müller-Terpitz/Köhler'', Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

== Links und Materialien ==

* https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
* https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
* https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
* https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
* https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
* https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).
* [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf KommAustria Jahresbericht 2024].
* [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf EDSA-Richtlinien zum Zusammenspiel zwischen dem DSA und der DSGVO] (11. September 2025).
* Europäische Kommission, Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, 17.11.2025, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.

== Referenzen ==
<references />

Liste der Mitarbeiter und Mitarbeiterinnen

2025-12-05T14:50:05Z

Mirjam.tercero:

Folgende Mitarbeiter und Mitarbeiterinnen des Research Institutes sind am ATLAWS-Projekt beteiligt:

* [https://researchinstitute.at/team/andreas-czak/ Andreas Czák] (Technische Betreuung, Management, Organisation)
* [https://researchinstitute.at/team/georg-froewis/ Georg Fröwis] (Interoperability Act, ESPR, DGA)
* [https://researchinstitute.at/?page%20id=3579&lang=de Jan Hospes] (Leitung Cluster Cybersicherheit)
* [https://researchinstitute.at/team/walter-hoetzendorfer/?lang=de Walter Hötzendorfer] (eIDAS)
* [https://researchinstitute.at/?page_id=3567&lang=de Markus Kastelitz] (European Health Data Space)
* [https://researchinstitute.at/team/madeleine-mueller/ Madeleine Müller] (Project Associate, Leitung Cluster Digitale Dienste und Märkte, KI-VO)
* [https://researchinstitute.at/team/philipp-poindl Philipp Poindl] (KI-Haftung; European Health Data Space)
* [https://researchinstitute.at/team/michael-schally/ Michael Schally] (Studentischer Mitarbeiter)
* [https://researchinstitute.at/?page%20id=3571&lang=de Heidi Scheichenbauer] (Digitale Dienste und Märkte)
* [https://researchinstitute.at/team/david-schneeberger/ David M. Schneeberger] (Projektleitung Erstversion, Leitung Cluster KI Erstversion)
* [https://researchinstitute.at/team/mirjam-tercero/ Mirjam Tercero] (Leitung Cluster Datenstrategie, Projektleitung Aktualisierung)
* [https://researchinstitute.at/?page_id=3556&lang=de Christof Tschohl] (wissenschaftlicher Leiter des RI, Cybersicherheit)

Digital Services Act (DSA)

2025-12-05T09:58:00Z

Mirjam.tercero: /* Datenschutz-Grundverordnung (DSGVO) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2065|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG|Kurztitel=Digital Services Act/Gesetz über digitale Dienste|Bezeichnung=DSA|Rechtsmaterie=Digitale Dienste|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/277, 1|Anzuwenden=17. Februar 2024 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
|Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
|Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
|Direkte Verknüpfung mit dem [[Digital Markets Act (DMA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
|-
|Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
|Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
|Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
|-
|Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
|Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
|Regelungen zu Governance, Aufsicht und Durchsetzung
|Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
|Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
|-
|Verwirklichung des Binnenmarktes
|Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
|Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
|Querbezüge zum [[Artificial Intelligence Act (AIA)]], sofern Vermittlungsdiensteanbieter auf KI-basierte Systeme zurückgreifen
|'''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes
|-
|Rechtssicherheit
|Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
|Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
|Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz etc.)
|'''Einstweilige Maßnahmen:''' In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
|}

== Einführung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.<ref name=":25">Vgl Art 1 Abs 1 DSA. </ref> Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.<ref name=":26">Vgl Art 1 Abs 1 iVm ErwGr 3 DSA. </ref> Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem [[Digital Markets Act (DMA)]] bildet er das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.<ref name=":0">''Kern,'' Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.</ref><ref>''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).</ref><ref>Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des [[Digital Markets Act (DMA)]]. </ref>

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert<ref>Siehe auch die Einteilung in Art 1 Abs 2 DSA. </ref>:

* Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
* In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
* In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt (sogenannte "Haftungsprivilegien").
* Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
* Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

== Anwendungsbereich ==

=== Räumlich ===
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.<ref name=":0" />

=== Sachlich ===

==== Vermittlungsdienst ====
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.<ref name=":1">Siehe ErwGr 29 DSA. </ref>
[[Datei:Vermittlungsdienste.png|mini|504x504px|Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

* Entweder erfolgt eine '''„reine Durchleitung“''', wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.<ref name=":1" /><ref name=":3" />
* Oder es wird eine '''„Caching“-Leistung''' erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.<ref name=":1" />
* Schließlich kann es sich auch um einen '''„Hosting"-Dienst''' handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.<ref name=":1" />

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie '''„Online-Plattformen“''' abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.<ref name=":2">Siehe ErwGr 13 DSA.</ref> Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet<ref>Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe ErwGr 14 DSA). </ref>, wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").<ref name=":2" />

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte '''„sehr große Online-Plattformen“''' (''Very Large Online Platforms – VLOPs)'' und '''„sehr große Online-Suchmaschinen“''' (''Very Large Search Engines – VLOSEs)'' mit '''erheblicher Reichweite''' ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.<ref>Siehe ErwGr 76 DSA.</ref>

* VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando<ref>Zalando hat die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat. Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu</ref> etc.<ref name=":10">Eine Liste der benannten VLOPs und VLOSEs findet sich auf folgender Seite der Europäischen Kommission: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.</ref>
* VLOSEs: Bing, Google Search etc.<ref name=":10" />
Da der DSA für VLOPs/VLOSEs strenge Sorgfaltspflichten vorsieht, haben bisher einige der designierten Anbieter versucht, diesen Einstufungsbeschluss der Kommission abzuwenden. Zalando hat bspw die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat.<ref>Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu.</ref> Die Klage von Amazon gegen den Kommissionsbeschluss, mit dem die Plattform Amazon Store als VLOP benannt wurde, wurde am 19. November 2025 vom EuGH (Rechtssache T-367/23) abgewiesen.<ref>Vgl https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-11/cp250144de.pdf. </ref> Geprüft wird aktuell, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine einzustufen ist.<ref name=":21">Vgl Näheres unter: https://www.mlex.com/mlex/technology/articles/2402210/openai-inches-toward-seeing-chatgpt-regulated-under-eu-digital-rulebook und https://www.euractiv.com/news/commission-checking-if-chatgpt-falls-under-eu-online-governance-rules/.</ref>

==== Dienstleistung der Informationsgesellschaft ====
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine '''"Dienstleistung der Informationsgesellschaft"''' handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.<ref>Vgl Art 3 lit a DSA iVm Art 1 Abs 1 lit b RL (EU) 2015/1535 (Info-RL). </ref> Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.<ref>MwN ''Steinrötter/Schauer'' in ''Steinrötter'' (Hrsg)'','' Europäische Plattformregulierung – Rechtshandbuch (2023) § 2 Rz 7.</ref> Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.<ref>Vgl dazu das EuGH-Urteil 15.09.2016, C-484/14, ''McFadden/Sony Music'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.<ref name=":16">Vgl dazu das EuGH-Urteil 20.12.2017, C-434/15 ''Elite Taxi/Uber System Spain'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Die RL (EU) 2015/1535 (Info-RL), nach der sich die Einstufung als Dienstleistung der Informationsgesellschaft bemisst, enthält in Anhang I eine sogenannte "Negativliste" an Diensten, die jedenfalls nicht als Dienst der Informationsgesellschaft iSd Art 1 Abs 1 lit b Info-RL zu klassifizieren sind:

* Nicht "im Fernabsatz" erbrachte Dienste: Untersuchung oder Behandlung von Patienten in einer Arztpraxis mithilfe elektronischer Geräte, Buchung eines Flugtickets über ein Computernetz in einem Reisebüro in Anwesenheit des Kunden, Bereitstellung elektronischer Dienste in einer Spielehalle in Anwesenheit eines Nutzers. Die Diensteerbringung im Fernabsatz findet nämlich ohne zeitgleiche physische Anwesenheit der Vertragsparteien statt, was bei den genannten Beispielen jedoch nicht der Fall ist;
* Nicht "elektronisch" erbrachte Dienste bzw Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden: Geldausgabe- oder Fahrkartenautomaten, Offline-Dienste (Software, Disketten, CD-ROMSs), Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienste, Telefaxdienste, medizinische Beratung über Telefon, Direktmarketing per Telefon etc.);
* Nicht auf individuellen Abruf erbrachte Dienste, da sie im Wege einer gleichzeitigen Übertragung von Daten für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden: Fernsehdienste, Hörfunkdienste, Teletext (über Fernsehsignal).<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 3 ff. </ref>
Art 2 Abs 2 DSA schließt Dienstleistungen von der Anwendung des DSA aus, die keine Vermittlungsdienste sind, auch wenn sie durch die Nutzung eines Vermittlungsdienstes erbracht werden.<ref name=":20">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11.</ref> Kann ein Gesamtangebot getrennt werden (zB gemeinsame Angebote von Telefon, Internetzugang und TV - sogenanntes „Tripleplay“), ist jede Dienstleistung getrennt einer eigenen Qualifikation zu unterziehen.<ref name=":20" /> Können einzelne Dienste nicht abgegrenzt werden, kommt es auf den Schwerpunkt des Dienstes an, wobei es keine Vermutungsregel gibt, dass ein Dienst im Zweifel ein Dienst der Informationsgesellschaft ist.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11 f.</ref>Darüber hinaus gelten Dienste nicht als Vermittlungsdienste, wenn sie eigene Inhalte präsentieren, da eine Vermittlung stets die "Fremdheit" eines Inhalts voraussetzt.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 13.</ref>

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:
{| class="wikitable"
|+
! colspan="2" |Beispiele
|-
|'''Kostenfreier WLAN- Zugang'''
|WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich.<ref name=":19">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 4.</ref> So kann der WLAN-Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.<ref name=":3" /> <ref name=":19" />
|-
|'''Taxi App'''
|Im Falle einer Applikation (App), die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.<ref name=":16" /> Das entscheidende Kriterium ist hierbei laut EuGH, dass weder Fahrer noch die beförderte Person ohne die App ihre Leistungen anbieten bzw in Anspruch nehmen können. Außerdem würde das hinter der App stehende Unternehmen auf den Preis Einfluss nehmen und die Zahlungsabwicklung übernehmen, weshalb die Leistung hier über die reine Vermittlung von Dienstleistungen Dritter hinaus ginge und nicht mehr von einer rein passiven, technisch bedingten Vermittlungsleistung die Rede sein könne.<ref name=":18">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 58. </ref> Anders verhält es sich bei einer Vermittlungsplattform für Kurzzeitmieten, die Vermieter und Wohnungssuchende zusammenbringt.<ref>Vgl dazu EuGH 19.12.2019, C-390/18 ''(Airbnb Ireland).'' </ref> In diesem Fall befand der EuGH, dass die Plattform keinen wesentlichen Bestandteil des Angebots eines Vermieters gegenüber wohnungssuchenden Kurzzeitmietern darstelle, weil der Dienst nicht zwingend für das Entstehen entsprechender Angebote sei und keinen Einfluss auf die Vertragsgestaltung des Vermieters mit dem Mieter nehme.<ref name=":18" />
|-
|'''WLAN-Netz einer Universität'''
|Der Anwendungsfall eines WLAN-Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.

* Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN-Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN-Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
* Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN-Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.

Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
|-
|'''Blockchain'''
|Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.<ref name=":9" /> Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.<ref name=":9" /> Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).<ref name=":9" /> Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eines Vermittlungsdienstes darstellt.<ref name=":9" />
|-
|'''Gaming'''
|Um den Pflichten nach dem DSA zu unterliegen, muss es sich bei einem Online-Gaming-Anbieter um einen Vermittlungsdienst handeln. Dazu ist zum einen die Eigenschaft als "Dienst der Informationsgesellschaft" ausschlaggebend, welche bei (zumindest entgeltlichen) Online-Spielen in der Praxis wohl zu bejahen sein wird, da diese in der Regel im Fernabsatz auf individuellen Abruf des Empfängers erbracht werden.<ref name=":23">Vgl ''Lober/Trunk,'' Games im neuen Plattformrecht der EU, MMR 2025, 665.</ref> Weiters muss der Dienst eine Mittlerfunktion einnehmen, also von Dritten bereitgestellte Informationen übermitteln, ohne dabei selbst die Kontrolle über diese Informationen auszuüben. Für Online-Spiele bedeutet dies, dass Spiele, die den Nutzern die Möglichkeit zum Hochladen bzw zur Kreation von Inhalten sowie zur Interaktion bieten, potenziell als Vermittlungsdienste einzustufen sind.<ref name=":23" /> Je nachdem, wie diese Informationen ausgetauscht werden (als reine Durchleitung, durch Zwischenspeicherung oder gar durch öffentliche Verbreitung über eine Online-Plattform), treffen den Anbieter unterschiedliche Sorgfaltspflichten nach dem DSA. So kann es sich bspw bei einer integrierten Chatfunktion zum Spieleraustausch um einen Dienst der reinen Durchleitung handeln.<ref name=":23" /> Die Teilnahme an einem Online-Spiel ist zwar ebenfalls mit der Übermittlung von Informationen an Mit- bzw. Gegenspieler verbunden, allerdings wird es sich hierbei in der Regel nicht um Informationen handeln, auf dessen Regelung der DSA abzielt. Denn dieser möchte ein vertrauenswürdiges und (rechts-)sicheres Online-Umfeld schaffen, das von der einfachen Übermittlung von Spielzügen, Lebenspunkten, Aktionen etc. nicht bedroht erscheint und sich daher grundsätzlich nicht auf vorprogrammierte Spielerinterkationen übertragen lässt.<ref name=":23" /> Ist es jedoch möglich, in einem Spiel kreative Freiheiten auszuleben und Inhalte sowohl selbst zu generieren als auch zu verbreiten, könnte es zu einer Einstufung als Vermittlungsdienst iSd DSA kommen. Es wird daher stark auf die Art des Spiels sowie der Spielerinteraktion ankommen, ob ein Online-Gaming-Anbieter als Vermittlungsdienst einzustufen ist.<ref name=":23" /> Denn während in manchen Spielen die Teilnehmenden miteinander in den Wettkampf treten oder gemeinsam Aufgaben lösen, werden in anderen Spielen ganze Welten erschaffen und mit anderen Nutzern geteilt (zB Roblox oder Minecraft).<ref name=":23" />
|}

=== Ausnahmen ===
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro<ref name=":5" /> sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, den zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder den Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

=== Zeitlich ===
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.<ref>Vgl Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). </ref> Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem [[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|DSA-Begleitgesetz]] in nationales Recht gegossen.

== Zentrale Inhalte ==

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.<ref>''Decarolis/Li'', Regulating online search in the EU. From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).</ref> Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]] an Minderjährige oder die Verwendung von manipulativen Taktiken wie "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“) und bestimmte Verpflichtungen im Umgang mit [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]]. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.<ref name=":3">Vgl ''Hofmann/Raue'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).</ref>
=== Haftungsprivilegien ===
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.<ref>''Staudegger,'' Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.</ref> Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.<ref name=":3" />

* In den Art 4-6 findet sich eine '''bedingte Haftungsbefreiung für Vermittlungsdienste''', wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.<ref name=":6">''Handel,'' Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.</ref> Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus''.''<ref name=":6" /> Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "[[Digital Services Act (DSA)#Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)|Sorgfaltspflichten von Hostingdiensteanbietern]]"). In einem kürzlich ergangenen Beschluss des LG Berlin hat das Gericht das Erfordernis der "tatsächlichen Kenntnis" sehr eng ausgelegt und sieht diese nur als gegeben, wenn der Anbieter im Wege eines bestehenden Melde- und Abhilfeverfahrens gemäß Art 16 DSA über den illegalen Inhalt informiert wurde.<ref>[https://www-juris-de.uaccess.univie.ac.at/static/infodienst/autoren/D_NJRE001616389.htm LG Berlin, Beschluss vom 07.08.2025, Az. 27 O 262/25 eV.] </ref> Hingegen soll die Kenntnisnahme eines Verstoßes über formlose Mitteilungen via E-mail oder Kontaktformular keinerlei Prüf- oder Handlungspflichten seitens des Anbieters auslösen, soweit dieser ein Melde- und Abhilfeverfahren gemäß Art 16 DSA eingerichtet hat. Inwieweit andere Gerichte dieser Rsp folgen werden, bleibt abzuwarten.
* Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer '''„Gute-Samariter-Regelung“''', laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.<ref name=":3" /> Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
* Die Artikel 8-9 enthalten '''verfahrensrechtliche Vorgaben'''.<ref name=":3" /> In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
=== Abgestufter Pflichtenkatalog ===
Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
[[Datei:DSA Infographik Sorgfaltspflichten.png|mini|750x750px|Der abgestufte Pflichtenkatalog nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

==== Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15) ====
Die '''allgemeinen Verpflichtungen''' in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

* Diese beinhalten einerseits eine Harmonisierung der '''Kommunikationsmöglichkeiten''' von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)<ref name=":3" /> sowie eines '''gesetzlichen Vertreters''', sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.<ref name=":4">Vgl ''Schonhofen,'' Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.</ref>
* In Art 14 normiert der DSA, dass in den '''Allgemeinen Geschäftsbedingungen''' der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
* Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen '''Transparenzbericht''' zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-harmonises-transparency-reporting-rules-under-digital-services-act mit Links zu der Durchführungsverordnung, dem Muster und der Ausfüllhilfe. </ref> Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

==== Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18) ====
Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

* Zunächst haben sämtliche Hostingdiensteanbieter ein '''Melde- und Abhilfeverfahren''' einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.<ref name=":4" /> Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
* Sofern ein Hostingdiensteanbieter '''Maßnahmen''' nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu '''begründen''' (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).<ref>Hier können die veröffentlichten Erklärungen eingesehen werden: https://transparency.dsa.ec.europa.eu/statement

Über folgende API können die Erklärungen an die Kommission übermittelt werden: https://transparency.dsa.ec.europa.eu/page/api-documentation</ref>
* Der Hostingdiensteanbieter ist verpflichtet, bei '''Verdacht, dass eine Straftat vorliegt,''' die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der [https://eur-lex.europa.eu/eli/dir/2011/36/oj Menschenhandel-RL], [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32011L0093 Kinderpornografie-RL] und der [https://eur-lex.europa.eu/eli/dir/2017/541/oj Terrorismusbekämpfungs-RL] fallen.<ref>Siehe ErwGr 56 DSA.</ref> Im November 2025 hat die Kommission einen Konsultationsprozess gestartet, um Input von relevanten Stakeholdern zu ihren Erfahrungen in Bezug auf diesen Meldeprozess einzuholen.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/commission-launches-targeted-consultation-notification-suspicions-criminal-offences-under-digital. </ref>
==== Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32) ====
Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für '''Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen''' ermöglicht wird. Explizit '''ausgenommen sind Kleinst- und Kleinunternehmen''' (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.<ref name=":5">Siehe Art 2 Anhang zur [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361 Empfehlung 2003/361/EG]</ref>

* Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit '''Meldungen und Beschwerden von Nutzern'''. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).<ref name=":3" /> Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
* Art 23 DSA enthält verpflichtende Mindestvorgaben zur '''Eindämmung von Missbrauch''', wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
* Die Anbieter von Online-Plattformen treffen erweiterte '''Transparenzberichtspflichten''' (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.<ref name=":4" /> Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
* Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter '''„[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“''' (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).<ref name=":4" />
* Darüber hinaus normiert der DSA erweiterte '''Vorgaben zur Gestaltung der betroffenen Dienste'''<ref name=":4" />, wie etwa '''Transparenzvorgaben für [[Digital Services Act (DSA)#Werbeschaltungen|Werbung]]''' (Art 26 DSA) und '''Empfehlungssysteme''' (Art 27 DSA) sowie einen weitreichenden '''Online-Schutz Minderjähriger''' (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]], die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
* Abschnitt 4 (Art 29-32 DSA) enthält '''ergänzende Bestimmungen für Transaktionsplattformen'''<ref name=":3" />, worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.<ref name=":4" /> Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
[[Datei:Sorgfaltspflichten Checkliste.png|mini|887x887px|Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter © Research Institute in Ergänzung der Abbildung von Noerr<ref>https://www.noerr.com/de/insights/der-digital-services-act-tritt-in-kraft-neue-pflichten-fur-digitale-vermittlungsdienste.</ref>]]
==== Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43) ====
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

* Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur '''Bewertung und Minderung der von ihren Diensten ausgehenden Risiken,''' worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen''.''<ref name=":4" /> Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014</ref> Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer '''unabhängigen Prüfung''' unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.<ref name=":4" />
* Der in Art 36 DSA vorgesehene '''Krisenreaktionsmechanismus''' erlaubt es der EU-Kommission auf Empfehlung des [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremiums]]<ref>Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board.</ref> im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.<ref>Vgl Art 36 Abs 2 iVm ErwGr 91 DSA.</ref>
* Die für Online-Plattformen geltenden '''Transparenzpflichten''' für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).<ref name=":3" />
* Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste '''Zugang zu Daten''' zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine '''Compliance-Abteilung''' einzurichten (Art 41 DSA) und eine jährliche '''Aufsichtsgebühr''' an die EU-Kommission zu entrichten (Art 43 DSA).

==== Maßnahmen zur Selbstregulierung ====
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.<ref name=":3" /> Dazu zählt etwa die Förderung der Ausarbeitung '''freiwilliger Verhaltenskodizes''' in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrige Inhalte]], den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.<ref>Ein Verhaltenskodex zur Bekämpfung illegaler Hetze im Netz wurde am 20. Jänner 2025 angenommen und von Anbietern wie Facebook, Instagram, LinkedIn, Snapchat, TikTok, X, YouTube, etc. unterzeichnet. Mehr Informationen finden sich auf der Webseite der Europäischen Kommission unter folgendem Link: https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.

Ein weiterer Verhaltenskodex zur Bekämpfung von Desinformation wurde im Februar 2025 angenommen. Mehr Informationen finden sich hier: https://merlin.obs.coe.int/article/10251.</ref> Zusätzlich wird die Ausarbeitung '''freiwilliger Krisenprotokolle''' empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um '''„soft law“''' – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.<ref name=":3" />

=== Governance, Aufsicht und Durchsetzung ===
[[Datei:Governance Struktur.png|mini|502x502px|Die Governance-Struktur und Organe nach dem Digital Services Act © Research Institute in Ergänzung der Abbildung von BVDW<ref>https://eclear.com/de/artikel/digital-services-act-schutz-und-verantwortung-in-der-digitalen-welt/.</ref>]]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und [[Digital Services Act (DSA)#Sanktionen|Sanktionierung]] zuständig sind.

==== Koordinator für Digitale Dienste ====
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.<ref>Für mehr Informationen zur KommAustria, siehe: https://www.rtr.at/medien/wer_wir_sind/KommAustria/KommAustria.de.html und https://www.bundeskanzleramt.gv.at/agenda/medienrecht/kommunikationsbehorde-austria.html.</ref> Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G)], welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende '''Befugnisse''' kommen der KommAustria als KDD gemäß Art 51 DSA zu:

# Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
#* Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
#* Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
#* Aufforderung an Mitarbeiter, Erklärungen abzugeben
# Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
#* Verpflichtungszusagen von Anbietern als bindend zu erklären
#* Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
#* Verhängung von Geldbußen und Zwangsgeld
#* Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
# Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
#* Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
#* Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende '''Aufgaben''':

# Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA). Den ersten [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf Jahresbericht für das Jahr 2024] hat die KommAustria bereits veröffentlicht.<ref>Nähere Informationen auf der [https://www.rtr.at/KDD_Jahresbericht_2024 Seite der RTR] sowie in der [https://www.ots.at/presseaussendung/OTS_20250818_OTS0034/erster-dsa-jahresbericht-der-kommaustria-zeigt-fortschritte-beim-schutz-der-nutzerrechte-durch-den-digital-services-act OTS-Presseaussendung]. </ref> Der Jahresbericht hat überdies folgende Informationen zu enthalten:
#* Die Zahl der eingegangenen Beschwerden nach Art 53 DSA und eine Übersicht über entsprechende Folgemaßnahmen
#* Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
#* Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen.
# Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
# Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
# Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

==== Europäisches Gremium für digitale Dienste ====
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende '''Aufgaben''' kommen dem Gremium gemäß Art 63 DSA zu:

* Unterstützung der Koordinierung gemeinsamer Untersuchungen
* Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
* Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
* Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
* Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Darüber hinaus hat das Gremium gemäß Art 35 Abs 2 DSA einmal jährlich einen umfassenden Bericht über systemische Risiken in Zusammenhang mit den Anbietern von VLOPs und VLOSEs zu veröffentlichen. Dieser beinhaltet die Ermittlung und Bewertung auffälliger wiederkehrender systemischer Risiken, die von Anbietern von VLOPs und VLOSEs gemeldet werden, sowie deren Minderung durch die genannten Anbieter. Im November 2025 hat das Gremium seinen ersten derartigen [https://ec.europa.eu/newsroom/dae/redirection/document/121707 Bericht] veröffentlicht.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/press-statement-european-board-digital-services-following-its-16th-meeting-0.</ref>

==== Europäische Kommission ====

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

* So ist die Kommission im Sinne des zweigeteilten [[Digital Services Act (DSA)#Sanktionen|Sanktionssystems]] des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
* Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
* Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
* Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
* Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremium]] die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
* Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
* Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
* Gemäß Art 43 DSA ist die Kommission dazu berechtigt, von den Anbietern sehr großer Online-Plattformen und -Suchmaschinen eine jährliche Aufsichtsgebühr zu verlangen. Dazu hat die Kommission delegierte Rechtsakte zu erlassen, worin die detaillierte Methodik und das entsprechende Verfahren der Berechnung und Erhebung dieser Gebühr festgelegt sind. In einem EuGH-Urteil von September 2025 in den verbundenen Rechtssachen Meta Platforms Ireland und TikTok Technology hat der EuGH jedoch die dazu von der Kommission erlassene Implementierungsentscheidung aufgrund methodischer Mängel annulliert. Es obliegt nun der Kommission, diese Mängel zu beheben und die Berechnungsmethode in Entsprechung der relevanten Bestimmungen des DSA durch delegierte Rechtsakte festzulegen. Praktisch dürfte dies jedoch nichts ändern, da die grundsätzliche Verpflichtung zur Zahlung von Aufsichtsgebühren nicht gegen den DSA verstößt und verpflichtende Zahlungen weiterhin für eine Übergangsperiode von höchstens 12 Monaten zu entrichten sind.<ref>Vgl die Pressemitteilung des EuGH vom 10. September 2025 für nähere Informationen: https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250114en.pdf. </ref> 
== Ausgewählte Themen im Fokus ==
=== Dark patterns ===
[[Datei:Dark patterns .png|mini|550x550px|Dimensionen von Dark patterns nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".<ref>Vgl Art 25 DSA.</ref><ref>ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind '''Praktiken''', mit der darauf abgezielt oder tatsächlich erreicht wird, dass die '''Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird'''. Solche Praktiken können eingesetzt werden, um die Nutzer zu '''unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen''', die '''negative Folgen''' für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.</ref> Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer '''getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden'''. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

'''ErwGr 67 DSA''' nennt weitere Beispiele:

* Einerseits '''ausbeuterische Gestaltungsmuster''', mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
* Weiters Praktiken, die darin bestehen, einen Nutzer '''wiederholt aufzufordern''', eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde ''(Nagging, Confirm Shaming).''
* Die Gestaltung eines '''Verfahrens zur Stornierung eines Dienstes''' als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
* Dazu zählt, es unverhältnismäßig schwierig zu machen, '''Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden,''' die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
* Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden. Ebenso abzugrenzen sind "dark patterns" vom eher positiv konnotierten "Nudging", das zwar ebenfalls auf die Verhaltenssteuerung der Nutzer abzielt, allerdings eher positive Resultate beweckt - sei es gesamtgesellschaftlich oder für den Nutzer selbst.<ref name=":24">Vgl ''Barudi'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024), Art. 25 Gestaltung und Organisation der Online-Schnittstelle Rz 10. </ref> Die Grenze ist allerdings fließend und mitunter wird auch das "Nudging" als unzulässige Verhaltensweise gesehen.<ref name=":24" />

Die '''Kommission kann Leitlinien''' für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

'''Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):'''

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung (DSGVO)] oder der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie für unlautere Geschäftspraktiken (UGP-RL)] fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.<ref>Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."</ref>

'''Querverbindungen zum [[Digital Markets Act (DMA)]]:'''

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.<ref name=":8">Vgl ''Martini/Kramme/Kamke,'' KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.</ref> Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).<ref name=":8" /> Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".<ref name=":8" />

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).<ref name=":8" /> Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.<ref name=":8" />

'''Querverbindungen zum [[Artificial Intelligence Act (AIA)]]:'''

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA). [[Datei:Entscheidungsbaum rechtswidrige Inhalte EU DSA Prüfschritte.png|mini|704x704px|Prüfschritte bei rechtswidrigen Inhalten - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Rechtswidrige Inhalte ===
Ein Hauptzweck des DSA ist die '''Regulierung rechtswidriger Online-Inhalte''' durch die '''Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter''', womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen ''Hate Speech'' soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

* Datenschutzverletzungen (DSGVO, DSG)
* "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
* "Cyber Mobbing" (§107c StGB)
* Kreditschädigung (§152 StGB)
* Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
* Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
* Verhetzung (§283 StGB)
* Straftatbestände des Verbotsgesetzes 1947
* Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten '''[[Digital Services Act (DSA)#Haftungsprivilegien|Haftungsprivilegien]]'''. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden '''Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt''' gegen den Vermittlungsdienstanbieter erlassen können.<ref>Im Zusammenhang mit der Verbreitung terroristischer Inhalte können Behörden zudem Entfernungsanordnungen nach der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte (TI-VO) bzw dem Terrorinhalte-Bekämpfungs-Gesetz (TIB-G) erlassen. Einer derartigen Anordnung hat der Online-Diensteanbieter grundsätzlich innerhalb einer Stunde zu entsprechen und den Inhalt zu entfernen oder den Zugang zu terroristischen Inhalten in der gesamten Union zu sperren. Mehr Informationen sind unter folgendem Link abrufbar: https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/TCO-VO/TCO_VO.de.html</ref> Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für '''Auskunftsanordnungen''' nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche '''Meldesysteme''' zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

* Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
* Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
* Name und E-Mail-Adresse der meldenden Person oder Einrichtung
* Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

'''Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:'''

* Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
* Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
* Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
* Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
* Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
* Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Am 20. Jänner 2025 wurde der '''[https://ec.europa.eu/newsroom/dae/redirection/document/111777 "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+"]''', der auf einem bereits [https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en 2016 angenommenen Verhaltenskodex] beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram etc. unterzeichnet.<ref>Vgl https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.</ref> Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

'''Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:'''

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen (siehe nähere Informationen unter: "[[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|Österreichisches Recht - das DSA-Begleitgesetz]]"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
=== Werbeschaltungen ===
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.<ref>Vgl Art 26 Abs 1 DSA.</ref> Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen:

* das werbende bzw die Werbung finanzierende Unternehmen
* Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und
* Hinweise, wie diese Parameter unter Umständen geändert werden können.

Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.<ref>Vgl Art 26 Abs 2 DSA.</ref>

Nicht definiert wird, wann ein Nutzer dazu in der Lage ist, die in Art. 26 Abs. 1 lit. a – d genannten Daten klar, präzise, in eindeutiger Weise und in Echtzeit zu erkennen. Diesbezüglich lassen sich in Erwgr. 68 Anhaltspunkte finden. So sollen betreffenden Informationen hervorgehoben dargestellt werden, etwa durch standardisierte visuelle oder akustische Kennzeichnungen, sodass sie für den durchschnittlichen Nutzer klar erkennbar und eindeutig sind.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 25, beck-online.</ref> Art. 26 Abs. 1 lit. a DSA ähnelt dabei Art. 6 lit. a E-Commerce-RL, wonach die kommerzielle Kommunikation „klar […] erkennbar“ sein muss. Der Maßstab der klaren Erkennbarkeit soll dazu führen, dass der Werbecharakter eines dargestellten Inhalts nicht verschleiert wird und Werbeanzeige dürfen nicht als objektiven Information erscheinen. Die Anforderung, dass die Informationen den Nutzern „in Echtzeit“ gegeben werden muss, bedeutet, dass sie wahrgenommen werden können müssen, während die Werbeanzeige eingeblendet wird.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 27, 28, beck-online.</ref>

'''Folgende Werbeschaltungen sind gemäß DSA verboten:'''

* Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.<ref>Vgl Art 26 Abs 3 DSA.</ref>
* Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.<ref>Vgl Art 28 Abs 2 DSA.</ref>
Werbeschaltungen die auf Basis von besonderen Datenkategorien erfolgen, können auch nicht durch eine Einwilligung gerechtfertigt werden.

'''Transparenz der Empfehlungssysteme:'''

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.<ref>Vgl Art 27 Abs 1 DSA.</ref> Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.<ref>Vgl Art 27 Abs 2 DSA.</ref>

Parameter können - je nach Plattform - etwa "Kundenaktionen“, „Informationen über den Artikel“, "Informationen über Aktivität und Kontakte" aber auch auch die Tageszeit und die Dauer der Nutzung sein.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Da Empfehlungssysteme eng mit der Attraktivität der jeweiligen Plattform in Verbindung stehen, sind sie komplex und häufigen Änderungen unterworfen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.<ref>MwN ''Roos/Voget,'' Transparenzpflichten für die Nutzung von KI auf Online-Marktplätzen, RDi 2024, 487.</ref> Wird über den Einsatz von KI informiert, so ist insbesondere beim Einsatz von Deep Learning häufig nicht mehr nachzuvollziehen, aufgrund welcher Parameter die Entscheidung durch den Algorithmus bzw. die Algorithmen (hier dem Empfehlungssystem) zustande gekommen ist. Es lassen sich jedochuch beim Einsatz von Techniken des maschinellen Lernens Informationen auf einem gewissen Abstraktionsniveau darlegen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.<ref>Art 27 Abs 3 DSA.</ref>

'''Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:'''

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.<ref>Vgl Art 38 DSA.</ref> Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.<ref>Vgl Art 39 DSA.</ref> In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.<ref>Vgl Art 46 DSA.</ref> Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
=== Forschungsdatenzugang ===

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. In Art 40 DSA werden zwei Arten des Datenzugangs unterschieden:

* Zugang zu Daten, die in den Online-Schnittstellen der Plattformen öffentlich zugänglich sind (öffentlicher Datenzugang, Art 40 Abs 12 DSA)
* Privilegierter Zugang zu Plattformdaten (nicht öffentlicher Datenzugang) in Art 40 Abs 4 DSA)

Je nach Art des beantragten Zugangs gibt es Unterschiede hinsichtlich der Frage, wer den Zugang beantragen kann, an wen der Antrag zu stellen ist und welche Verpflichtungen mit dem Datenzugang verbunden sind.<ref>KommAustria, Artikel 40 Datenzugang für Forschende Information für Antragstellende (2025), [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf.]</ref>

Gemäß Art 40 DSA kann der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste (KDD)]] unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.<ref>https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

* die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen (Art 40 Abs 8 lit a DSA),
* sie sind unabhängig von kommerziellen Interessen (Art 40 Abs 8 lit b DSA),
* ihr Antrag gibt Aufschluss über die Finanzierung der Forschung (Art 40 Abs 8 lit c DSA),
* sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben (Art 40 Abs 8 lit e DSA),
* sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist (Art 40 Abs 8 lit e DSA),
* die geplanten Forschungstätigkeiten werden zu den in Art 40 Abs 4 DSA genannten Zwecken durchgeführt (Art 40 Abs 8 lit f DSA),
* sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen (Art 40 Abs 8 lit g DSA).
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]])'''.''' Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR)] und auf der [https://digital-strategy.ec.europa.eu/de/policies/list-designated-vlops-and-vloses Webseite der Europäischen Kommission] gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

Um Zugang zu öffentlichen Daten zu erhalten, sollten sich Forschende direkt an die VLOP/VLOSE wenden. Plattformen müssen öffentliche Daten bereitstellen, verlangen jedoch im Antrag den in Art 40 Abs 12 DSA normierten Nachweis darüber, dass die Bedingungen nach Art 40 Abs 8 lit b–e DSA erfüllt sind.

Sofern Ihr Forschungsvorhaben den Zugang (auch) zu personenbezogenen Daten umfasst, müssen Sie nachweisen, dass Sie in der Lage sind, die besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen. Zur Einhaltung der datenschutzrechtlichen Anforderungen können Checklisten wie die ''Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art 40 Abs. 4 DSA des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.2025''<ref>Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.202, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Checkliste_Datenschutzanforderungen.pdf</ref> herangezogen werden.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Seit dem Inkrafttreten des delegierten Rechtsakts über den Datenzugang am 29. Oktober 2025 eröffnen sich den Forschenden neue Möglichkeiten. Durch diesen Rechtsakt wird der Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglicht. Seit Oktober 2025 ist die Antragstellung über ein zentrales Portal der Europäischen Kommission möglich.<ref>Der Zugang zum Portal ist seit 29.10.2025 unter <nowiki>https://data-access.dsa.ec.europa.eu/public/hta/data-access</nowiki> möglich.</ref>
{| class="wikitable"
|+
!Beispiel<ref>Das Beispiel stammt in abgewandelter Form von folgender Seite: https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>
|-
|Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
|}

== Verbraucherschutz und Rechtsbehelfe ==
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.<ref>Vgl Art 3 lit b DSA und ErwGr 2 DSA. </ref> Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.<ref>Art 2 Abs 4 lit f DSA nennt die spezifischen Verbraucherschutzinstrumente, die von dem Anwendungsbereich des DSA unberührt bleiben, beispielsweise die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32013L0011 EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (2013/11/EU)] oder die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R2394 Verordnung über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden ((EU) 2017/2394)]. ErwGr 10 DSA führt zudem unter anderem die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 EU-Richtlinie über die Rechte der Verbraucher (2011/83/EU)] und die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie über unlautere Geschäftspraktiken (2005/29/EG)] an. </ref>

=== Konkrete Schutzvorschriften ===

==== Allgemeine Vorschriften ====
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte '''Haftungsprivileg''' für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.<ref>Vgl Art 6 Abs 3 DSA. </ref> Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.<ref name=":7">Vgl ''Dregelies'', Verbraucherschutz im Digital Services Act, VuR 2023, 175. </ref>

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren '''AGBs''' in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.<ref>Vgl Art 14 DSA.</ref> Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein '''internes Beschwerdemanagementsystem''' einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.<ref>Vgl Art 20 DSA. </ref> Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf '''außergerichtliche Streitbeilegung'''.<ref>Vgl Art 21 DSA.</ref> Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von '''vertrauenswürdigen Hinweisgebern''' ("trusted flaggers") vorrangig und unverzüglich behandelt werden.<ref>Vgl Art 22 DSA.</ref> Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidriger Inhalte]] verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher<ref>Die Aufzählung entstammt der Webseite der RTR unter: https://www.rtr.at/medien/presse/pressemitteilungen/Presseinformationen_2024/PI11292024KOA_TrustedFlaggers.de.html

Eine Liste aller EU-weit zertifizierter vertrauenswürdiger Hinweisgeber kann hier eingesehen werden: https://digital-strategy.ec.europa.eu/en/policies/trusted-flaggers-under-dsa. </ref>:

* Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
* Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
* Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
* Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
* Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)<ref>Die Zertifizierungen der KommAustria sind unter folgendem Link abrufbar: https://www.rtr.at/medien/aktuelles/entscheidungen/Uebersicht.de.html</ref>

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine '''Risikobewertung''' durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.<ref>Vgl Art 34 Abs 1 lit b DSA. </ref>

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter '''freiwillige Verhaltenskodizes''' ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

==== Besondere Vorschriften für Anbieter von Transaktionsplattformen ====
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten '''"Know-your-Business-Customer"-Grundsatz'''<ref name=":7" />, wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.<ref>Vgl Art 30 DSA.</ref> Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ('''"Konformität durch Technikgestaltung"''').<ref>Vgl Art 31 DSA.</ref>

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).<ref>Vgl ''Nemec'', Digital Services Act und Verbraucherschutz, ecolex 2024/119.</ref> <ref name=":7" />

'''Recht auf Information (Art 32 DSA):''' Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

=== Rechtsbehelfe ===

* '''Beschwerderecht (Art 53 DSA):''' Die Nutzer von Vermittlungsdiensten haben das Recht, beim [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
* '''Entschädigung (Art 54 DSA):''' Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind. 
== Verfahren nach dem DSA ==

=== Auf Profiling basierende Werbeschaltungen auf LinkedIn ===
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen [https://edri.org/ EDRi], [https://www.globalwitness.org/en/ Global Witness], [https://freiheitsrechte.org/ Gesellschaft für Freiheitsrechte] und [https://www.bitsoffreedom.nl/ Bits of Freedom] an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.<ref>Vgl https://edri.org/our-work/civil-society-complaint-raises-concern-that-linkedin-is-violating-dsa-ad-targeting-restrictions/.</ref> Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-request-information-linkedin-potentially-targeted-advertising-based-sensitive-data.</ref>

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann [https://ec.europa.eu/commission/presscorner/detail/de/STATEMENT_24_3172 hier] nachgelesen werden.

=== Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr ===
Die chinesische '''Online-Plattform Temu''', die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.<ref>Vgl https://germany.representation.ec.europa.eu/news/dsa-kommission-eroffnet-formelles-verfahren-gegen-temu-2024-10-31_de?prefLang=en.</ref> Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]].

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

* Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
* Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme <ref>Für mehr Informationen zu den Belohungsprogrammen siehe: https://www.chip.de/news/Das-Temu-Prinzip-Wie-Online-Shopping-zum-Spiel-wird_185170925.html.</ref>
* Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
* Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes. Im Juli 2025 hat die Kommission vorläufig einen DSA-Verstoß Temu's in Bezug auf illegale Produkte festgestellt.<ref name=":22">Vgl https://germany.representation.ec.europa.eu/news/vorlaufige-feststellung-temu-verstosst-bezug-auf-illegale-produkte-gegen-gesetz-uber-digitale-2025-07-28_de sowie die originale Pressemitteilung: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1913.</ref> Demnach hätte der Diensteanbieter eine zu ungenaue Risikobewertung durchgeführt und daher wahrscheinlich unzureichende Maßnahmen zur Eindämmung des Verkaufs nicht konformer Produkte auf seiner Plattform gesetzt. Temu steht nun die Möglichkeit offen, seine Verteidigungsrechte auszuüben und auf die Feststellungen zu antworten.<ref name=":22" />

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste '''TikTok, YouTube''' und '''Snapchat'''.<ref>Vgl https://www.t-online.de/nachrichten/ausland/internationale-politik/id_100501946/eu-ermittelt-youtube-tiktok-snapchat-wegen-suchtgefahr-unter-druck.html.</ref> Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-requests-information-youtube-snapchat-and-tiktok-recommender-systems-under-digital.</ref>

=== Weitere Klagen gegen Temu ===
Gegen Temu ist auch auf nationaler ein Rechtsstreit anhängig, speziell aufgrund der vermeintlichen Verwendung unerlaubter "dark patterns".<ref>Vgl https://verbraucherrecht.at/verfahren-gegen-temu<nowiki/>.MwN vgl auch die mediale Berichterstattung: https://www.derstandard.at/story/3000000290329/wie-stark-werden-onlinekaeufer-manipuliert-sozialministerium-klagt-billigriesen-temu; https://www.diepresse.com/20163737/wer-trickst-verliert-sozialministerium-klagt-chinesischen-temu; https://orf.at/stories/3407287/. </ref> Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Österreichischen Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz beim Handelsgericht Wien eine Verbandsklage gegen Temu eingebracht. Gegenstand ist die Verwendung bestimmter Designmuster durch Temu, wodurch Kunden zur Preisgabe personenbezogener Daten und zu großzügigen Ausgaben animiert würden, bspw durch aufdringliche Pop-Ups, Gewinnspiele, künstliche Verknappung und der Einsatz von Countdowns. Ebenso würden Kunden zu vorschnellen Kaufentscheidungen verleitet, durch Gutscheine gelockt, deren Einlösung an versteckte Bedingungen geknüpft ist, und die Löschung des Nutzerkontos gestalte sich als überaus kompliziert, im Gegensatz zur einfachen Kontoerstellung.

=== Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen ===
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.<ref>Weitere Informationen finden sich unter folgendem Link: https://ec.europa.eu/commission/presscorner/detail/de/ip_24_6487.</ref> Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.<ref>Bereits am 26. April 2024 hat die Europäische Kommission Leitlinien für Anbieter sehr großer Online-Plattformen und -Suchmaschinen zur Minderung systemischer Risiken in Wahlprozessen veröffentlicht: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014.</ref> Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.<ref name=":11">https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/767150/EPRS_ATA(2024)767150_DE.pdf.</ref> Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.<ref name=":11" />

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

* die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
* die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

=== Vorläufige Feststellung der Kommission: TikTok und Meta verstoßen gegen ihre Transparenzpflichten im Rahmen des Gesetzes über digitale Dienste ===
Die Europäische Kommission hat am 24.10.2025 vorläufig festgestellt, dass sowohl TikTok als auch Meta gegen ihre Pflicht aus dem Gesetz über digitale Dienste verstoßen haben, Forschenden den Antrag auf Zugang zu öffentlichen Daten zu erschweren und einen angemessenen Zugang zu öffentlichen Daten zu gewähren. Nach den vorläufigen Feststellungen haben Facebook, Instagram und TikTok möglicherweise aufwendige Verfahren und Systeme eingeführt, welche den Forschenden den Antrag auf Zugang zu öffentlichen Daten erschweren. Die erschwerte Antragstellung kann dazu führen, dass Forschende oftmals nur unvollständige oder unzuverlässige Daten erhalten, ihre Forschungstätigkeiten dadurch erschwert werden, , z. B. zur Untersuchung der Frage, ob Nutzerinnen und Nutzer, einschließlich Minderjähriger, illegalen oder schädlichen Inhalten ausgesetzt sind.

Forschenden Zugang zu den Daten von Plattformen zu gewähren, wird als eine wesentliche Transparenzpflicht nach dem DSA gesehen, da dies eine öffentliche Kontrolle der potenziellen Auswirkungen von Plattformen auf die körperliche und psychische Gesundheit ermöglicht.<ref>Pressemitteilung der Europäischen Kommission vom 24.10.2025,abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2503</ref>

=== Weitere Verfahren bzw relevante Entwicklungen ===

* Die Plattform X (ehemals Twitter) steht im Verdacht, gegen die Bestimmungen des DSA in Bezug auf Desinformation und illegale Inhalte verstoßen zu haben.<ref>Vgl https://www.politico.eu/article/eu-charges-musks-x-for-letting-disinfo-run-wild/.</ref> Hintergrund ist eine antisemitische Äußerung des in die Plattform integrierten Chatbots "Grok".<ref>Vgl https://www.euractiv.com/news/x-warned-it-could-face-shut-down-in-poland-after-groks-antisemitic-outburst/. </ref> Darüber hinaus hat der irische Koordinator für digitale Dienste (Coimisiún na Meán) im November 2025 ein Verfahren gegen X wegen eines angeblichen Verstoßes gegen Art 20 DSA eröffnet, wonach Anbieter von Online-Plattformen Nutzern Zugang zu einem internen Beschwerdemanagementsystem gewähren müssen.<ref>MwN https://www.mlex.com/mlex/articles/2410041. </ref>
* Im Februar 2025 reichte die niederländische NGO "SOMI" (Stichting Onderzoek Marktinformatie) eine Sammelklage auf Schadenersatz gegen TikTok ein. Gegenstand der Klage sind sowohl angebliche Verstöße TikToks gegen den DSA als auch gegen die DSGVO und den AI Act, da der Diensteanbieter höchstpersönliche Nutzerdaten sammeln, analysieren und darauf basierend Persönlichkeitsprofile für Werbezwecke erstellen würde sowie Nutzer durch seine Algorithmen gezielt abhängig mache.<ref>MwN https://www.lto.de/recht/hintergruende/h/eu-kommission-dsa-tiktok-verstoesse. </ref>
* Die Europäische Kommission hat am 26. November 2025 im Rahmen des DSA ein Auskunftsersuchen an Shein gerichtet, nachdem vorläufige Hinweise darauf vorliegen, dass illegale Waren, insbesondere kinderähnliche Sexpuppen und Waffen, auf dem Markt angeboten werden, die sie , dass das Shein-System ein systemisches Risiko für die Verbraucher in der gesamten Europäischen Union darstellen könnte. Verlangt werden insbesondere detaillierte Informationen und interne Dokumente darüber vorzulegen, wie sie sicherstellt, dass Minderjährige nicht altersunangemessenen Inhalten ausgesetzt sind.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-requests-shein-provide-information-sale-illegal-products-under-digital-services-act</ref>
* Ein aktueller Überblick über laufende Verfahren und bisherige Rechtsstreitigkeiten kann [https://www.mlex.com/mlex/case_files/671808c4e48ada0e00bb040e hier] abgerufen werden.

== Synergien ==
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).<ref name=":9">Vgl ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).</ref>

Die Kommission hat das Verhältnis des DSA zu anderen Digitalrechtsakten in einem Bericht dargestellt.<ref>Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.</ref>

Im Folgenden findet sich eine partielle Erörterung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

=== Datenschutz-Grundverordnung (DSGVO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung] (DSGVO) regelt die Verarbeitung von '''personenbezogenen Daten'''. Darunter sind gemäß Art 4 Z 1 DSGVO all jene Informationen zu verstehen,

''"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".''

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich '''Verantwortlicher''' (Art 4 Z 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.<ref>Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgl dazu: ''Scheichenbauer,'' Datenschutzrecht für Vereine (2023).</ref> Der EuGH hat kürzlich klargestellt, dass '''Betreiber von Online-Marktplätzen''' als (gemeinsam) Verantwortliche nach der DSGVO gelten, wenn sie Zwecke und Mittel der Veröffentlichung von Nutzendeninhalten mitbestimmen. Sie können sich bei Datenschutzverstößen ''nicht'' auf die Haftungsprivilegien der E-Commerce-RL<ref>Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl L 2000/178, 1.</ref> (der Vorgängerin des DSA) berufen. Zugleich sind sie zu präventiven technischen und organisatorischen Maßnahmen verpflichtet (Art 32 DSGVO), insb zur Identifikation und Kontrolle von Anzeigen mit besonderen Kategorien personenbezogener Daten, zur Identitätsprüfung von Inserent*innen sowie zu effektiven Sicherheitsmaßnahmen gegen Kopieren und Weiterverbreitung solcher Inhalte.<ref>EuGH 2.12.2025, C-492/23 (''Russmedia Digital und Inform Media Press).'' </ref>

Weiters kann der DSA als '''gesetzliche Vorgabe''' eine '''Rechtsgrundlage''' für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.<ref name=":9" /> Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.<ref name=":9" />

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu '''"[[Digital Services Act (DSA)#Dark patterns|dark patterns]]"''' ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO verstoßen "dark patterns" insbesondere gegen die Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, die allgemeinen Datenverarbeitungsgrundsätze nach Art 5 DSGVO sowie den Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO).<ref name=":9" />

* Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (vgl Art 4 Z 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".<ref name=":9" />
* Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12 ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).<ref name=":9" />
* Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.<ref name=":9" />
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von '''Profiling''' und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Z 4 DSGVO. Demnach bezeichnet Profiling

''"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".''

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

* Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
* Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
* Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.<ref name=":9" /> Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.<ref name=":9" /> Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Der DSA kann auch (mittelbar) der Durchsetzung von DSGVO-Verstößen dienen: So kam die Berliner Datenschutzbeauftragte zum Ergebnis, dass ein bestimmter App-Betreiber wegen rechtswidriger Übermittlung personenbezogener Daten der Nutzer nach China gegen Art 46 Abs 1 DSGVO verstoße. Sie forderte daher das Unternehmen auf, die erforderlichen Maßnahmen zur Herstellung eines DSGVO-konformen Zustands zu ergreifen. Da das Unternehmen dem allerdings nicht nachkam, machte die Berliner Datenschutzbeauftragte von der [[Digital Services Act (DSA)#Abgestufter Pflichtenkatalog|Möglichkeit nach Art 16 DSA]] Gebrauch und meldete die rechtswidrigen Inhalte den App Store-Betreibern, auf deren Plattformen die entsprechende App angeboten wurde.<ref>''Berliner Beauftragte für Datenschutz und Informationsfreiheit'', Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt, Pressemitteilung vom 27.06.2025, https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/.</ref>

Nähere Informationen zum Zusammenspiel zwischen dem DSA und der DSGVO finden sich in den entsprechenden [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf Leitlinien], die der Europäische Datenschutzausschuss (EDSA) im September 2025 veröffentlicht hat.

=== [[Digital Markets Act (DMA)]] ===

Der DSA bildet zusammen mit dem [[Digital Markets Act (DMA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" ("Gatekeeper") auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen "Torwächter" mit zentralen Plattformdiensten, das sind jene Anbieter, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw die von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführende Praktiken.

=== Platform-to-Business-VO (P2B-VO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019R1150 Platform-to-Business-VO] ("P2B-VO")<ref>Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten, ABl L 2019/186, 57.</ref> gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an '''gewerbliche''' '''Nutzer''', verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.<ref>Vgl Art 1 Abs 2 P2B-VO. </ref> Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.<ref name=":17">Nähere Informationen können auf folgender Seite der Wirtschaftskammer Österreich (WKO) eingesehen werden: https://www.wko.at/oe/handel/p2b-verordnung.</ref> Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.<ref name=":17" /><ref>Vgl Art 1 Abs 3 P2B-VO. </ref> Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitestgehend auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der nach dem DSA.<ref>Vgl dazu die Begriffsbestimmungen des DSA in Artikel 3 und jene der P2B-VO in Artikel 2. </ref> Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29 ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33 ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von '''Allgemeinen Geschäftsbedingungen''' (AGBs), beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.<ref name=":9" /> Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.<ref name=":9" /> Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.<ref name=":9" /> Hier gehen die Meinungen in der Literatur auseinander: während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

=== [[Artificial Intelligence Act (AIA)]] ===

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der [[Artificial Intelligence Act (AIA)]], dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.<ref name=":13">Vgl ''Honer/Schöbel,'' Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.</ref> Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.<ref name=":13" /> Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).<ref name=":14">Vgl ''Hacker,'' Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024). </ref> Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.<ref name=":14" /> Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.<ref name=":14" />

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
{| class="wikitable"
|+
!
!DSA
!AIA
!Beispiele und nähere Erläuterungen
|-
|'''Adressaten'''
|Vermittlungsdiensteanbieter
|Vorrangig Anbieter bzw Betreiber von (generativer) KI
|Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Ein Beispiel wäre der Einsatz von KI durch YouTube, um die Videos seiner Nutzer zu editieren.<ref>Vgl ''Germain,'' YouTube secretly used AI to edit people's videos. The results could bend reality, bbc.com 24.08.2025, https://www.bbc.com/future/article/20250822-youtube-is-using-ai-to-edit-videos-without-permission. </ref> Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#GPAI-Modelle_(Art_51_ff_AI_Act) General Purpose AI - GPAI]) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act).<ref name=":14" /> Hier treten also die Anforderungen nach dem DSA neben die Pflichten nach dem AI Act.
Wie bereits erörtert wird aktuell geprüft, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine (VLOSEs) einzustufen ist.<ref name=":21" /> Damit wäre ChatGPT die erste eigenständige KI-Anwendung, die unter den DSA fällt, und würde einen wichtigen Präzedenzfall für die Regulierung KI-gestützter Online-Dienste in Europa darstellen. Die formelle Einstufung könnte laut Medienberichterstattung noch einige Wochen dauern und weder die EU-Kommission noch OpenAI haben zum heutigen Stand (November 2025) Statements dazu veröffentlicht.<ref name=":21" />
|-
|'''Risikoanalyse'''
|Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl Art 34 Abs 1 und Art 35 DSA)
|Anbieter von Hochrisiko-KI-Systemen sind gemäß Art 17 AI Act zur Etablierung eines Risikomanagementsystems nach Art 9 AI Act verpflichtet.<ref>Näheres dazu findet sich im [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Risikoanalyse:_Digital_Services_Act_(DSA)_vs_AI_Act Eintrag über den AI Act im Kapitel Synergien] und wird daher an dieser Stelle nicht näher behandelt.</ref>
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
|Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.<ref>Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt. </ref> Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (beispielsweise Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc.), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse sollte überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sogenannte "konsolidierte und technologieübergreifende Risikoanalyse").<ref name=":14" /> So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
|-
|'''Forschungsdatenzugang'''
|Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
|Der AIA enthält keine vergleichbare Regelung
|Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.<ref name=":14" />
|-
|'''Inhaltsmoderation'''
|Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Vermittlungsdiensteanbieter trifft nur eine eingeschränkte Verantwortlichkeit für illegale Inhalte (vgl die sog [https://wiki.atlaws.eu/index.php/Digital_Services_Act_(DSA)#Haftungsprivilegien Haftungsprivilegien]). Demnach haften sie unter anderem dann für die illegalen Inhalte ihrer Nutzer, wenn sie tatsächliche Kenntnis von deren rechtswidrigem Charakter haben.
|Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
|Vermittlungsdiensteanbieter bzw Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (zB rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.<ref name=":14" /> Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.<ref name=":14" /> Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Gewisse Monitoring- und Risikoanalyseverpflichtungen nach dem AI Act könnten dazu führen, dass ein Vermittlungsdiensteanbieter, der KI auf seinen Plattformen einsetzt, tatsächliche Kenntnis von illegalen Inhalten erlangt. Die in Art 7 DSA normierte "Gute-Samariter-Regelung" könnte diese Haftungsbegründung allerdings wieder ausschließen. Denn laut dieser gelten die Haftungsprivilegien weiterhin für Vermittlungsdiensteanbieter, wenn diese auf Eigeninitiative Untersuchungen zur Erkennung illegaler Inhalte durchführen, beispielsweise um den Anforderungen des Unionsrechts nachzukommen, wozu eben auch der AI Act zählt.<ref>Diese Interpretation ist allerdings noch nicht höchstgerichtlich bestätigt. MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 51, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>
|-
|'''Umgang mit künstlich erzeugten Inhalten ("Deepfakes")'''
|Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
|Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
|Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw Offenlegung der künstlich erzeugten Inhalte verpflichtet wird. Ansonsten ist auch denkbar, dass die Rollen nach dem AI Act und dem DSA zusammenfallen. Wenn das KI-System hingegen von einer anderen Partei als dem Anbieter einer sehr großen Online-Plattform oder -Suchmaschine betrieben wird, bspw durch Einbettung, dann haben beide Unternehmen insbesondere auf technischer Ebene zusammenzuarbeiten, um die Verfügbarkeit und Kohärenz der Kennzeichnungen sicherzustellen.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 50, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref>
Diese Synergie zwischen dem DSA und dem AI Act ist explizit in ErwGr 120 AI Act angesprochen, wonach die Pflichten zur Offenlegung und Feststellung von künstlich erzeugten oder manipulierten Inhalten nach dem AI Act von besonderer Bedeutung für die Einhaltung der Verpflichtungen nach dem DSA sind, insbesondere jene zur Risikoanalyse.
|}

[[Datei:Die Wirkung der Grundrechte.png|mini|750x750px|Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Grundrechtsschutz ===
In Artikel 1 Absatz 1 DSA wird der Schutz der in der [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).<ref name=":12">Vgl ''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024). </ref> Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

* Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA). In diesem Sinne hat Facebook-Gründer Mark Zuckerberg im Jänner 2025 grundlegende Änderungen der Inhaltemoderation auf den Plattformen des Mutterkonzerns Meta [https://about.fb.com/news/2025/01/meta-more-speech-fewer-mistakes/?ref=platf angekündigt].<ref>MwN https://www.mlex.com/mlex/technology/articles/2281128.</ref> Ziel sei eine Reduktion automatisierter Filter, um nicht mehr jegliche Verstöße gegen die Nutzungsbedingungen zu erkennen, sondern nur mehr eindeutig rechtswidrige Inhalte und schwerwiegende Verstöße, wobei geringfügige AGB-Verletzungen weiterhin über ein nutzerbasiertes Meldesystem eingebracht werden können. Dadurch soll einerseits die Fehlerquote der automatisierten Inhaltemoderation verringert und andererseits der Meinungspluralismus gefördert werden.<ref>MwN ''Jennerjahn'', Änderungen der Inhaltemoderation auf den Meta-Plattformen, MMR 2025, 247. </ref>
* Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
* Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.<ref name=":3" /> Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

* Die [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] (EU GRC)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000308 Europäische Menschenrechtskonvention] (EMRK)
* Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 Richtlinie über die Rechte der Verbraucher]
* Die [https://headless-live.unicef.de/caas/v1/media/194402/data/3828b8c72fa8129171290d21f3de9c37 UN-Konvention über die Rechte des Kindes] (UN-Kinderrechtskonvention)
* Die [https://broschuerenservice.sozialministerium.at/Home/Download?publicationId=19 UN-Behindertenrechtskonvention] (UN-BRK)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000741 UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau] (CEDAW)
* Österreichische Rechtsakte:
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000138 Bundes-Verfassungsgesetz (B-VG)]
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000006 Staatsgrundgesetz 1867] (StGG)
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002462 Konsumentenschutzgesetz (KSchG)]
*# [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz]
*# [https://www.ris.bka.gv.at/GeltendeFassung/Bundesnormen/20003395/GlBG%2C%20Fassung%20vom%2007.11.2016.pdf Gleichbehandlungsgesetz]
*# [https://ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2023_I_76/BGBLA_2023_I_76.html Barrierefreiheitsgesetz:] Dieses ist seit dem 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).<ref>Mehr Informationen finden sich auf der Webseite der Wirtschaftskammer Österreich (WKO) unter folgendem Link: https://www.wko.at/ce-kennzeichnung-normen/informationen-zum-barrierefreiheitsgesetz.</ref>

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.<ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).</ref><ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023). </ref> Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.<ref name=":3" /> Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.<ref name=":3" /> Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.<ref name=":3" /><ref>''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).</ref>

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.<ref name=":12" />
=== Österreichisches Recht - das DSA-Begleitgesetz ===
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20011678 Telekommunikationsgesetz 2021], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

==== Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G) ====
Mit dem [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 KDD-G] wird die nationale Aufsicht über die digitalen Dienste und die Funktion des [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinators für digitale Dienste (KDD)]] als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

* [[Datei:Stakeholder und Akteure.png|mini|711x711px|Vom DSA betroffene Stakeholder, Akteure und Sektoren © Research Institute basierend auf der Abbildung von 7p mobility<ref>https://7p-mobility.com/blog/digital-services-act-dsa-wie-die-eu-die-online-welt-sicherer-macht</ref>]]die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
* die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
* die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
* Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
* die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

==== Das E-Commerce-Gesetz (ECG) ====
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]] (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetzes (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

==== Sonstige Änderungen durch das DSA-Begleitgesetz ====
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 Allgemeines Bürgerliches Gesetzbuch (ABGB):] In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.<ref name=":15">Vgl ''Wittmann'', Das DSA-Begleitgesetz: Neue Instrumente zur Bekämpfung von "Hass-im Netz", MR 2023, 298. </ref>
* [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 Urheberrechtsgesetz (UrhG):] Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.<ref name=":15" />
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 Strafprozessordnung (StPO):] Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.<ref name=":15" />
== Sanktionen ==
Der DSA sieht ein '''zweigeteiltes Sanktionssystem''' vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 Koordinator-für-digitale-Dienste-Gesetz (KDD-G)] verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.<ref>Vgl § 5 Abs 6 iVm § 6 KDD-G.</ref>

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

* Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.<ref>Vgl Art 52 DSA.</ref> Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.<ref>Vgl § 5 iVm § 6 Abs 1 Z 1 KDD-G</ref> Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.<ref>Vgl Art 74 DSA.</ref>
* Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.<ref>Vgl Art 52 DSA iVm § 6 Abs 1 Z 2 KDD-G und Art 74 DSA. </ref>
* '''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes.<ref>Vgl Art 52 iVm § 6 Abs 2 KDD-G und 76 DSA.</ref> Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
* '''Einstweilige Maßnahmen:''' In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine ''prima facie'' Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.<ref>Vgl Art 70 DSA. </ref> 
== Weiterführende Literatur ==

* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Hofmann/Raue,'' Digital Services Act. Gesetz über digitale Dienste (2023).
* ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Müller-Terpitz/Köhler'', Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

== Links und Materialien ==

* https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
* https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
* https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
* https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
* https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
* https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).
* [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf KommAustria Jahresbericht 2024].
* [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf EDSA-Richtlinien zum Zusammenspiel zwischen dem DSA und der DSGVO] (11. September 2025).
* Europäische Kommission, Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, 17.11.2025, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.

== Referenzen ==
<references />

Digital Services Act (DSA)

2025-12-05T09:57:23Z

Mirjam.tercero: /* Datenschutz-Grundverordnung (DSGVO) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2065|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG|Kurztitel=Digital Services Act/Gesetz über digitale Dienste|Bezeichnung=DSA|Rechtsmaterie=Digitale Dienste|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/277, 1|Anzuwenden=17. Februar 2024 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
|Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
|Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
|Direkte Verknüpfung mit dem [[Digital Markets Act (DMA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
|-
|Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
|Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
|Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
|-
|Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
|Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
|Regelungen zu Governance, Aufsicht und Durchsetzung
|Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
|Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
|-
|Verwirklichung des Binnenmarktes
|Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
|Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
|Querbezüge zum [[Artificial Intelligence Act (AIA)]], sofern Vermittlungsdiensteanbieter auf KI-basierte Systeme zurückgreifen
|'''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes
|-
|Rechtssicherheit
|Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
|Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
|Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz etc.)
|'''Einstweilige Maßnahmen:''' In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
|}

== Einführung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.<ref name=":25">Vgl Art 1 Abs 1 DSA. </ref> Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.<ref name=":26">Vgl Art 1 Abs 1 iVm ErwGr 3 DSA. </ref> Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem [[Digital Markets Act (DMA)]] bildet er das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.<ref name=":0">''Kern,'' Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.</ref><ref>''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).</ref><ref>Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des [[Digital Markets Act (DMA)]]. </ref>

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert<ref>Siehe auch die Einteilung in Art 1 Abs 2 DSA. </ref>:

* Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
* In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
* In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt (sogenannte "Haftungsprivilegien").
* Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
* Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

== Anwendungsbereich ==

=== Räumlich ===
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.<ref name=":0" />

=== Sachlich ===

==== Vermittlungsdienst ====
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.<ref name=":1">Siehe ErwGr 29 DSA. </ref>
[[Datei:Vermittlungsdienste.png|mini|504x504px|Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

* Entweder erfolgt eine '''„reine Durchleitung“''', wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.<ref name=":1" /><ref name=":3" />
* Oder es wird eine '''„Caching“-Leistung''' erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.<ref name=":1" />
* Schließlich kann es sich auch um einen '''„Hosting"-Dienst''' handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.<ref name=":1" />

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie '''„Online-Plattformen“''' abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.<ref name=":2">Siehe ErwGr 13 DSA.</ref> Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet<ref>Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe ErwGr 14 DSA). </ref>, wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").<ref name=":2" />

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte '''„sehr große Online-Plattformen“''' (''Very Large Online Platforms – VLOPs)'' und '''„sehr große Online-Suchmaschinen“''' (''Very Large Search Engines – VLOSEs)'' mit '''erheblicher Reichweite''' ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.<ref>Siehe ErwGr 76 DSA.</ref>

* VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando<ref>Zalando hat die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat. Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu</ref> etc.<ref name=":10">Eine Liste der benannten VLOPs und VLOSEs findet sich auf folgender Seite der Europäischen Kommission: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.</ref>
* VLOSEs: Bing, Google Search etc.<ref name=":10" />
Da der DSA für VLOPs/VLOSEs strenge Sorgfaltspflichten vorsieht, haben bisher einige der designierten Anbieter versucht, diesen Einstufungsbeschluss der Kommission abzuwenden. Zalando hat bspw die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat.<ref>Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu.</ref> Die Klage von Amazon gegen den Kommissionsbeschluss, mit dem die Plattform Amazon Store als VLOP benannt wurde, wurde am 19. November 2025 vom EuGH (Rechtssache T-367/23) abgewiesen.<ref>Vgl https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-11/cp250144de.pdf. </ref> Geprüft wird aktuell, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine einzustufen ist.<ref name=":21">Vgl Näheres unter: https://www.mlex.com/mlex/technology/articles/2402210/openai-inches-toward-seeing-chatgpt-regulated-under-eu-digital-rulebook und https://www.euractiv.com/news/commission-checking-if-chatgpt-falls-under-eu-online-governance-rules/.</ref>

==== Dienstleistung der Informationsgesellschaft ====
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine '''"Dienstleistung der Informationsgesellschaft"''' handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.<ref>Vgl Art 3 lit a DSA iVm Art 1 Abs 1 lit b RL (EU) 2015/1535 (Info-RL). </ref> Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.<ref>MwN ''Steinrötter/Schauer'' in ''Steinrötter'' (Hrsg)'','' Europäische Plattformregulierung – Rechtshandbuch (2023) § 2 Rz 7.</ref> Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.<ref>Vgl dazu das EuGH-Urteil 15.09.2016, C-484/14, ''McFadden/Sony Music'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.<ref name=":16">Vgl dazu das EuGH-Urteil 20.12.2017, C-434/15 ''Elite Taxi/Uber System Spain'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Die RL (EU) 2015/1535 (Info-RL), nach der sich die Einstufung als Dienstleistung der Informationsgesellschaft bemisst, enthält in Anhang I eine sogenannte "Negativliste" an Diensten, die jedenfalls nicht als Dienst der Informationsgesellschaft iSd Art 1 Abs 1 lit b Info-RL zu klassifizieren sind:

* Nicht "im Fernabsatz" erbrachte Dienste: Untersuchung oder Behandlung von Patienten in einer Arztpraxis mithilfe elektronischer Geräte, Buchung eines Flugtickets über ein Computernetz in einem Reisebüro in Anwesenheit des Kunden, Bereitstellung elektronischer Dienste in einer Spielehalle in Anwesenheit eines Nutzers. Die Diensteerbringung im Fernabsatz findet nämlich ohne zeitgleiche physische Anwesenheit der Vertragsparteien statt, was bei den genannten Beispielen jedoch nicht der Fall ist;
* Nicht "elektronisch" erbrachte Dienste bzw Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden: Geldausgabe- oder Fahrkartenautomaten, Offline-Dienste (Software, Disketten, CD-ROMSs), Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienste, Telefaxdienste, medizinische Beratung über Telefon, Direktmarketing per Telefon etc.);
* Nicht auf individuellen Abruf erbrachte Dienste, da sie im Wege einer gleichzeitigen Übertragung von Daten für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden: Fernsehdienste, Hörfunkdienste, Teletext (über Fernsehsignal).<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 3 ff. </ref>
Art 2 Abs 2 DSA schließt Dienstleistungen von der Anwendung des DSA aus, die keine Vermittlungsdienste sind, auch wenn sie durch die Nutzung eines Vermittlungsdienstes erbracht werden.<ref name=":20">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11.</ref> Kann ein Gesamtangebot getrennt werden (zB gemeinsame Angebote von Telefon, Internetzugang und TV - sogenanntes „Tripleplay“), ist jede Dienstleistung getrennt einer eigenen Qualifikation zu unterziehen.<ref name=":20" /> Können einzelne Dienste nicht abgegrenzt werden, kommt es auf den Schwerpunkt des Dienstes an, wobei es keine Vermutungsregel gibt, dass ein Dienst im Zweifel ein Dienst der Informationsgesellschaft ist.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11 f.</ref>Darüber hinaus gelten Dienste nicht als Vermittlungsdienste, wenn sie eigene Inhalte präsentieren, da eine Vermittlung stets die "Fremdheit" eines Inhalts voraussetzt.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 13.</ref>

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:
{| class="wikitable"
|+
! colspan="2" |Beispiele
|-
|'''Kostenfreier WLAN- Zugang'''
|WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich.<ref name=":19">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 4.</ref> So kann der WLAN-Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.<ref name=":3" /> <ref name=":19" />
|-
|'''Taxi App'''
|Im Falle einer Applikation (App), die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.<ref name=":16" /> Das entscheidende Kriterium ist hierbei laut EuGH, dass weder Fahrer noch die beförderte Person ohne die App ihre Leistungen anbieten bzw in Anspruch nehmen können. Außerdem würde das hinter der App stehende Unternehmen auf den Preis Einfluss nehmen und die Zahlungsabwicklung übernehmen, weshalb die Leistung hier über die reine Vermittlung von Dienstleistungen Dritter hinaus ginge und nicht mehr von einer rein passiven, technisch bedingten Vermittlungsleistung die Rede sein könne.<ref name=":18">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 58. </ref> Anders verhält es sich bei einer Vermittlungsplattform für Kurzzeitmieten, die Vermieter und Wohnungssuchende zusammenbringt.<ref>Vgl dazu EuGH 19.12.2019, C-390/18 ''(Airbnb Ireland).'' </ref> In diesem Fall befand der EuGH, dass die Plattform keinen wesentlichen Bestandteil des Angebots eines Vermieters gegenüber wohnungssuchenden Kurzzeitmietern darstelle, weil der Dienst nicht zwingend für das Entstehen entsprechender Angebote sei und keinen Einfluss auf die Vertragsgestaltung des Vermieters mit dem Mieter nehme.<ref name=":18" />
|-
|'''WLAN-Netz einer Universität'''
|Der Anwendungsfall eines WLAN-Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.

* Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN-Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN-Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
* Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN-Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.

Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
|-
|'''Blockchain'''
|Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.<ref name=":9" /> Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.<ref name=":9" /> Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).<ref name=":9" /> Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eines Vermittlungsdienstes darstellt.<ref name=":9" />
|-
|'''Gaming'''
|Um den Pflichten nach dem DSA zu unterliegen, muss es sich bei einem Online-Gaming-Anbieter um einen Vermittlungsdienst handeln. Dazu ist zum einen die Eigenschaft als "Dienst der Informationsgesellschaft" ausschlaggebend, welche bei (zumindest entgeltlichen) Online-Spielen in der Praxis wohl zu bejahen sein wird, da diese in der Regel im Fernabsatz auf individuellen Abruf des Empfängers erbracht werden.<ref name=":23">Vgl ''Lober/Trunk,'' Games im neuen Plattformrecht der EU, MMR 2025, 665.</ref> Weiters muss der Dienst eine Mittlerfunktion einnehmen, also von Dritten bereitgestellte Informationen übermitteln, ohne dabei selbst die Kontrolle über diese Informationen auszuüben. Für Online-Spiele bedeutet dies, dass Spiele, die den Nutzern die Möglichkeit zum Hochladen bzw zur Kreation von Inhalten sowie zur Interaktion bieten, potenziell als Vermittlungsdienste einzustufen sind.<ref name=":23" /> Je nachdem, wie diese Informationen ausgetauscht werden (als reine Durchleitung, durch Zwischenspeicherung oder gar durch öffentliche Verbreitung über eine Online-Plattform), treffen den Anbieter unterschiedliche Sorgfaltspflichten nach dem DSA. So kann es sich bspw bei einer integrierten Chatfunktion zum Spieleraustausch um einen Dienst der reinen Durchleitung handeln.<ref name=":23" /> Die Teilnahme an einem Online-Spiel ist zwar ebenfalls mit der Übermittlung von Informationen an Mit- bzw. Gegenspieler verbunden, allerdings wird es sich hierbei in der Regel nicht um Informationen handeln, auf dessen Regelung der DSA abzielt. Denn dieser möchte ein vertrauenswürdiges und (rechts-)sicheres Online-Umfeld schaffen, das von der einfachen Übermittlung von Spielzügen, Lebenspunkten, Aktionen etc. nicht bedroht erscheint und sich daher grundsätzlich nicht auf vorprogrammierte Spielerinterkationen übertragen lässt.<ref name=":23" /> Ist es jedoch möglich, in einem Spiel kreative Freiheiten auszuleben und Inhalte sowohl selbst zu generieren als auch zu verbreiten, könnte es zu einer Einstufung als Vermittlungsdienst iSd DSA kommen. Es wird daher stark auf die Art des Spiels sowie der Spielerinteraktion ankommen, ob ein Online-Gaming-Anbieter als Vermittlungsdienst einzustufen ist.<ref name=":23" /> Denn während in manchen Spielen die Teilnehmenden miteinander in den Wettkampf treten oder gemeinsam Aufgaben lösen, werden in anderen Spielen ganze Welten erschaffen und mit anderen Nutzern geteilt (zB Roblox oder Minecraft).<ref name=":23" />
|}

=== Ausnahmen ===
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro<ref name=":5" /> sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, den zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder den Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

=== Zeitlich ===
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.<ref>Vgl Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). </ref> Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem [[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|DSA-Begleitgesetz]] in nationales Recht gegossen.

== Zentrale Inhalte ==

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.<ref>''Decarolis/Li'', Regulating online search in the EU. From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).</ref> Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]] an Minderjährige oder die Verwendung von manipulativen Taktiken wie "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“) und bestimmte Verpflichtungen im Umgang mit [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]]. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.<ref name=":3">Vgl ''Hofmann/Raue'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).</ref>
=== Haftungsprivilegien ===
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.<ref>''Staudegger,'' Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.</ref> Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.<ref name=":3" />

* In den Art 4-6 findet sich eine '''bedingte Haftungsbefreiung für Vermittlungsdienste''', wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.<ref name=":6">''Handel,'' Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.</ref> Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus''.''<ref name=":6" /> Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "[[Digital Services Act (DSA)#Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)|Sorgfaltspflichten von Hostingdiensteanbietern]]"). In einem kürzlich ergangenen Beschluss des LG Berlin hat das Gericht das Erfordernis der "tatsächlichen Kenntnis" sehr eng ausgelegt und sieht diese nur als gegeben, wenn der Anbieter im Wege eines bestehenden Melde- und Abhilfeverfahrens gemäß Art 16 DSA über den illegalen Inhalt informiert wurde.<ref>[https://www-juris-de.uaccess.univie.ac.at/static/infodienst/autoren/D_NJRE001616389.htm LG Berlin, Beschluss vom 07.08.2025, Az. 27 O 262/25 eV.] </ref> Hingegen soll die Kenntnisnahme eines Verstoßes über formlose Mitteilungen via E-mail oder Kontaktformular keinerlei Prüf- oder Handlungspflichten seitens des Anbieters auslösen, soweit dieser ein Melde- und Abhilfeverfahren gemäß Art 16 DSA eingerichtet hat. Inwieweit andere Gerichte dieser Rsp folgen werden, bleibt abzuwarten.
* Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer '''„Gute-Samariter-Regelung“''', laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.<ref name=":3" /> Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
* Die Artikel 8-9 enthalten '''verfahrensrechtliche Vorgaben'''.<ref name=":3" /> In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
=== Abgestufter Pflichtenkatalog ===
Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
[[Datei:DSA Infographik Sorgfaltspflichten.png|mini|750x750px|Der abgestufte Pflichtenkatalog nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

==== Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15) ====
Die '''allgemeinen Verpflichtungen''' in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

* Diese beinhalten einerseits eine Harmonisierung der '''Kommunikationsmöglichkeiten''' von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)<ref name=":3" /> sowie eines '''gesetzlichen Vertreters''', sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.<ref name=":4">Vgl ''Schonhofen,'' Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.</ref>
* In Art 14 normiert der DSA, dass in den '''Allgemeinen Geschäftsbedingungen''' der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
* Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen '''Transparenzbericht''' zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-harmonises-transparency-reporting-rules-under-digital-services-act mit Links zu der Durchführungsverordnung, dem Muster und der Ausfüllhilfe. </ref> Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

==== Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18) ====
Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

* Zunächst haben sämtliche Hostingdiensteanbieter ein '''Melde- und Abhilfeverfahren''' einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.<ref name=":4" /> Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
* Sofern ein Hostingdiensteanbieter '''Maßnahmen''' nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu '''begründen''' (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).<ref>Hier können die veröffentlichten Erklärungen eingesehen werden: https://transparency.dsa.ec.europa.eu/statement

Über folgende API können die Erklärungen an die Kommission übermittelt werden: https://transparency.dsa.ec.europa.eu/page/api-documentation</ref>
* Der Hostingdiensteanbieter ist verpflichtet, bei '''Verdacht, dass eine Straftat vorliegt,''' die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der [https://eur-lex.europa.eu/eli/dir/2011/36/oj Menschenhandel-RL], [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32011L0093 Kinderpornografie-RL] und der [https://eur-lex.europa.eu/eli/dir/2017/541/oj Terrorismusbekämpfungs-RL] fallen.<ref>Siehe ErwGr 56 DSA.</ref> Im November 2025 hat die Kommission einen Konsultationsprozess gestartet, um Input von relevanten Stakeholdern zu ihren Erfahrungen in Bezug auf diesen Meldeprozess einzuholen.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/commission-launches-targeted-consultation-notification-suspicions-criminal-offences-under-digital. </ref>
==== Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32) ====
Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für '''Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen''' ermöglicht wird. Explizit '''ausgenommen sind Kleinst- und Kleinunternehmen''' (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.<ref name=":5">Siehe Art 2 Anhang zur [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361 Empfehlung 2003/361/EG]</ref>

* Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit '''Meldungen und Beschwerden von Nutzern'''. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).<ref name=":3" /> Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
* Art 23 DSA enthält verpflichtende Mindestvorgaben zur '''Eindämmung von Missbrauch''', wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
* Die Anbieter von Online-Plattformen treffen erweiterte '''Transparenzberichtspflichten''' (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.<ref name=":4" /> Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
* Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter '''„[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“''' (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).<ref name=":4" />
* Darüber hinaus normiert der DSA erweiterte '''Vorgaben zur Gestaltung der betroffenen Dienste'''<ref name=":4" />, wie etwa '''Transparenzvorgaben für [[Digital Services Act (DSA)#Werbeschaltungen|Werbung]]''' (Art 26 DSA) und '''Empfehlungssysteme''' (Art 27 DSA) sowie einen weitreichenden '''Online-Schutz Minderjähriger''' (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]], die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
* Abschnitt 4 (Art 29-32 DSA) enthält '''ergänzende Bestimmungen für Transaktionsplattformen'''<ref name=":3" />, worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.<ref name=":4" /> Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
[[Datei:Sorgfaltspflichten Checkliste.png|mini|887x887px|Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter © Research Institute in Ergänzung der Abbildung von Noerr<ref>https://www.noerr.com/de/insights/der-digital-services-act-tritt-in-kraft-neue-pflichten-fur-digitale-vermittlungsdienste.</ref>]]
==== Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43) ====
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

* Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur '''Bewertung und Minderung der von ihren Diensten ausgehenden Risiken,''' worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen''.''<ref name=":4" /> Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014</ref> Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer '''unabhängigen Prüfung''' unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.<ref name=":4" />
* Der in Art 36 DSA vorgesehene '''Krisenreaktionsmechanismus''' erlaubt es der EU-Kommission auf Empfehlung des [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremiums]]<ref>Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board.</ref> im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.<ref>Vgl Art 36 Abs 2 iVm ErwGr 91 DSA.</ref>
* Die für Online-Plattformen geltenden '''Transparenzpflichten''' für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).<ref name=":3" />
* Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste '''Zugang zu Daten''' zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine '''Compliance-Abteilung''' einzurichten (Art 41 DSA) und eine jährliche '''Aufsichtsgebühr''' an die EU-Kommission zu entrichten (Art 43 DSA).

==== Maßnahmen zur Selbstregulierung ====
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.<ref name=":3" /> Dazu zählt etwa die Förderung der Ausarbeitung '''freiwilliger Verhaltenskodizes''' in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrige Inhalte]], den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.<ref>Ein Verhaltenskodex zur Bekämpfung illegaler Hetze im Netz wurde am 20. Jänner 2025 angenommen und von Anbietern wie Facebook, Instagram, LinkedIn, Snapchat, TikTok, X, YouTube, etc. unterzeichnet. Mehr Informationen finden sich auf der Webseite der Europäischen Kommission unter folgendem Link: https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.

Ein weiterer Verhaltenskodex zur Bekämpfung von Desinformation wurde im Februar 2025 angenommen. Mehr Informationen finden sich hier: https://merlin.obs.coe.int/article/10251.</ref> Zusätzlich wird die Ausarbeitung '''freiwilliger Krisenprotokolle''' empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um '''„soft law“''' – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.<ref name=":3" />

=== Governance, Aufsicht und Durchsetzung ===
[[Datei:Governance Struktur.png|mini|502x502px|Die Governance-Struktur und Organe nach dem Digital Services Act © Research Institute in Ergänzung der Abbildung von BVDW<ref>https://eclear.com/de/artikel/digital-services-act-schutz-und-verantwortung-in-der-digitalen-welt/.</ref>]]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und [[Digital Services Act (DSA)#Sanktionen|Sanktionierung]] zuständig sind.

==== Koordinator für Digitale Dienste ====
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.<ref>Für mehr Informationen zur KommAustria, siehe: https://www.rtr.at/medien/wer_wir_sind/KommAustria/KommAustria.de.html und https://www.bundeskanzleramt.gv.at/agenda/medienrecht/kommunikationsbehorde-austria.html.</ref> Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G)], welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende '''Befugnisse''' kommen der KommAustria als KDD gemäß Art 51 DSA zu:

# Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
#* Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
#* Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
#* Aufforderung an Mitarbeiter, Erklärungen abzugeben
# Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
#* Verpflichtungszusagen von Anbietern als bindend zu erklären
#* Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
#* Verhängung von Geldbußen und Zwangsgeld
#* Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
# Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
#* Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
#* Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende '''Aufgaben''':

# Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA). Den ersten [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf Jahresbericht für das Jahr 2024] hat die KommAustria bereits veröffentlicht.<ref>Nähere Informationen auf der [https://www.rtr.at/KDD_Jahresbericht_2024 Seite der RTR] sowie in der [https://www.ots.at/presseaussendung/OTS_20250818_OTS0034/erster-dsa-jahresbericht-der-kommaustria-zeigt-fortschritte-beim-schutz-der-nutzerrechte-durch-den-digital-services-act OTS-Presseaussendung]. </ref> Der Jahresbericht hat überdies folgende Informationen zu enthalten:
#* Die Zahl der eingegangenen Beschwerden nach Art 53 DSA und eine Übersicht über entsprechende Folgemaßnahmen
#* Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
#* Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen.
# Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
# Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
# Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

==== Europäisches Gremium für digitale Dienste ====
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende '''Aufgaben''' kommen dem Gremium gemäß Art 63 DSA zu:

* Unterstützung der Koordinierung gemeinsamer Untersuchungen
* Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
* Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
* Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
* Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Darüber hinaus hat das Gremium gemäß Art 35 Abs 2 DSA einmal jährlich einen umfassenden Bericht über systemische Risiken in Zusammenhang mit den Anbietern von VLOPs und VLOSEs zu veröffentlichen. Dieser beinhaltet die Ermittlung und Bewertung auffälliger wiederkehrender systemischer Risiken, die von Anbietern von VLOPs und VLOSEs gemeldet werden, sowie deren Minderung durch die genannten Anbieter. Im November 2025 hat das Gremium seinen ersten derartigen [https://ec.europa.eu/newsroom/dae/redirection/document/121707 Bericht] veröffentlicht.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/press-statement-european-board-digital-services-following-its-16th-meeting-0.</ref>

==== Europäische Kommission ====

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

* So ist die Kommission im Sinne des zweigeteilten [[Digital Services Act (DSA)#Sanktionen|Sanktionssystems]] des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
* Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
* Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
* Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
* Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremium]] die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
* Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
* Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
* Gemäß Art 43 DSA ist die Kommission dazu berechtigt, von den Anbietern sehr großer Online-Plattformen und -Suchmaschinen eine jährliche Aufsichtsgebühr zu verlangen. Dazu hat die Kommission delegierte Rechtsakte zu erlassen, worin die detaillierte Methodik und das entsprechende Verfahren der Berechnung und Erhebung dieser Gebühr festgelegt sind. In einem EuGH-Urteil von September 2025 in den verbundenen Rechtssachen Meta Platforms Ireland und TikTok Technology hat der EuGH jedoch die dazu von der Kommission erlassene Implementierungsentscheidung aufgrund methodischer Mängel annulliert. Es obliegt nun der Kommission, diese Mängel zu beheben und die Berechnungsmethode in Entsprechung der relevanten Bestimmungen des DSA durch delegierte Rechtsakte festzulegen. Praktisch dürfte dies jedoch nichts ändern, da die grundsätzliche Verpflichtung zur Zahlung von Aufsichtsgebühren nicht gegen den DSA verstößt und verpflichtende Zahlungen weiterhin für eine Übergangsperiode von höchstens 12 Monaten zu entrichten sind.<ref>Vgl die Pressemitteilung des EuGH vom 10. September 2025 für nähere Informationen: https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250114en.pdf. </ref> 
== Ausgewählte Themen im Fokus ==
=== Dark patterns ===
[[Datei:Dark patterns .png|mini|550x550px|Dimensionen von Dark patterns nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".<ref>Vgl Art 25 DSA.</ref><ref>ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind '''Praktiken''', mit der darauf abgezielt oder tatsächlich erreicht wird, dass die '''Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird'''. Solche Praktiken können eingesetzt werden, um die Nutzer zu '''unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen''', die '''negative Folgen''' für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.</ref> Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer '''getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden'''. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

'''ErwGr 67 DSA''' nennt weitere Beispiele:

* Einerseits '''ausbeuterische Gestaltungsmuster''', mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
* Weiters Praktiken, die darin bestehen, einen Nutzer '''wiederholt aufzufordern''', eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde ''(Nagging, Confirm Shaming).''
* Die Gestaltung eines '''Verfahrens zur Stornierung eines Dienstes''' als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
* Dazu zählt, es unverhältnismäßig schwierig zu machen, '''Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden,''' die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
* Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden. Ebenso abzugrenzen sind "dark patterns" vom eher positiv konnotierten "Nudging", das zwar ebenfalls auf die Verhaltenssteuerung der Nutzer abzielt, allerdings eher positive Resultate beweckt - sei es gesamtgesellschaftlich oder für den Nutzer selbst.<ref name=":24">Vgl ''Barudi'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024), Art. 25 Gestaltung und Organisation der Online-Schnittstelle Rz 10. </ref> Die Grenze ist allerdings fließend und mitunter wird auch das "Nudging" als unzulässige Verhaltensweise gesehen.<ref name=":24" />

Die '''Kommission kann Leitlinien''' für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

'''Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):'''

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung (DSGVO)] oder der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie für unlautere Geschäftspraktiken (UGP-RL)] fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.<ref>Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."</ref>

'''Querverbindungen zum [[Digital Markets Act (DMA)]]:'''

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.<ref name=":8">Vgl ''Martini/Kramme/Kamke,'' KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.</ref> Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).<ref name=":8" /> Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".<ref name=":8" />

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).<ref name=":8" /> Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.<ref name=":8" />

'''Querverbindungen zum [[Artificial Intelligence Act (AIA)]]:'''

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA). [[Datei:Entscheidungsbaum rechtswidrige Inhalte EU DSA Prüfschritte.png|mini|704x704px|Prüfschritte bei rechtswidrigen Inhalten - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Rechtswidrige Inhalte ===
Ein Hauptzweck des DSA ist die '''Regulierung rechtswidriger Online-Inhalte''' durch die '''Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter''', womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen ''Hate Speech'' soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

* Datenschutzverletzungen (DSGVO, DSG)
* "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
* "Cyber Mobbing" (§107c StGB)
* Kreditschädigung (§152 StGB)
* Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
* Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
* Verhetzung (§283 StGB)
* Straftatbestände des Verbotsgesetzes 1947
* Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten '''[[Digital Services Act (DSA)#Haftungsprivilegien|Haftungsprivilegien]]'''. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden '''Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt''' gegen den Vermittlungsdienstanbieter erlassen können.<ref>Im Zusammenhang mit der Verbreitung terroristischer Inhalte können Behörden zudem Entfernungsanordnungen nach der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte (TI-VO) bzw dem Terrorinhalte-Bekämpfungs-Gesetz (TIB-G) erlassen. Einer derartigen Anordnung hat der Online-Diensteanbieter grundsätzlich innerhalb einer Stunde zu entsprechen und den Inhalt zu entfernen oder den Zugang zu terroristischen Inhalten in der gesamten Union zu sperren. Mehr Informationen sind unter folgendem Link abrufbar: https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/TCO-VO/TCO_VO.de.html</ref> Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für '''Auskunftsanordnungen''' nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche '''Meldesysteme''' zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

* Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
* Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
* Name und E-Mail-Adresse der meldenden Person oder Einrichtung
* Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

'''Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:'''

* Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
* Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
* Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
* Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
* Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
* Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Am 20. Jänner 2025 wurde der '''[https://ec.europa.eu/newsroom/dae/redirection/document/111777 "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+"]''', der auf einem bereits [https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en 2016 angenommenen Verhaltenskodex] beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram etc. unterzeichnet.<ref>Vgl https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.</ref> Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

'''Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:'''

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen (siehe nähere Informationen unter: "[[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|Österreichisches Recht - das DSA-Begleitgesetz]]"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
=== Werbeschaltungen ===
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.<ref>Vgl Art 26 Abs 1 DSA.</ref> Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen:

* das werbende bzw die Werbung finanzierende Unternehmen
* Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und
* Hinweise, wie diese Parameter unter Umständen geändert werden können.

Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.<ref>Vgl Art 26 Abs 2 DSA.</ref>

Nicht definiert wird, wann ein Nutzer dazu in der Lage ist, die in Art. 26 Abs. 1 lit. a – d genannten Daten klar, präzise, in eindeutiger Weise und in Echtzeit zu erkennen. Diesbezüglich lassen sich in Erwgr. 68 Anhaltspunkte finden. So sollen betreffenden Informationen hervorgehoben dargestellt werden, etwa durch standardisierte visuelle oder akustische Kennzeichnungen, sodass sie für den durchschnittlichen Nutzer klar erkennbar und eindeutig sind.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 25, beck-online.</ref> Art. 26 Abs. 1 lit. a DSA ähnelt dabei Art. 6 lit. a E-Commerce-RL, wonach die kommerzielle Kommunikation „klar […] erkennbar“ sein muss. Der Maßstab der klaren Erkennbarkeit soll dazu führen, dass der Werbecharakter eines dargestellten Inhalts nicht verschleiert wird und Werbeanzeige dürfen nicht als objektiven Information erscheinen. Die Anforderung, dass die Informationen den Nutzern „in Echtzeit“ gegeben werden muss, bedeutet, dass sie wahrgenommen werden können müssen, während die Werbeanzeige eingeblendet wird.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 27, 28, beck-online.</ref>

'''Folgende Werbeschaltungen sind gemäß DSA verboten:'''

* Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.<ref>Vgl Art 26 Abs 3 DSA.</ref>
* Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.<ref>Vgl Art 28 Abs 2 DSA.</ref>
Werbeschaltungen die auf Basis von besonderen Datenkategorien erfolgen, können auch nicht durch eine Einwilligung gerechtfertigt werden.

'''Transparenz der Empfehlungssysteme:'''

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.<ref>Vgl Art 27 Abs 1 DSA.</ref> Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.<ref>Vgl Art 27 Abs 2 DSA.</ref>

Parameter können - je nach Plattform - etwa "Kundenaktionen“, „Informationen über den Artikel“, "Informationen über Aktivität und Kontakte" aber auch auch die Tageszeit und die Dauer der Nutzung sein.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Da Empfehlungssysteme eng mit der Attraktivität der jeweiligen Plattform in Verbindung stehen, sind sie komplex und häufigen Änderungen unterworfen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.<ref>MwN ''Roos/Voget,'' Transparenzpflichten für die Nutzung von KI auf Online-Marktplätzen, RDi 2024, 487.</ref> Wird über den Einsatz von KI informiert, so ist insbesondere beim Einsatz von Deep Learning häufig nicht mehr nachzuvollziehen, aufgrund welcher Parameter die Entscheidung durch den Algorithmus bzw. die Algorithmen (hier dem Empfehlungssystem) zustande gekommen ist. Es lassen sich jedochuch beim Einsatz von Techniken des maschinellen Lernens Informationen auf einem gewissen Abstraktionsniveau darlegen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.<ref>Art 27 Abs 3 DSA.</ref>

'''Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:'''

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.<ref>Vgl Art 38 DSA.</ref> Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.<ref>Vgl Art 39 DSA.</ref> In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.<ref>Vgl Art 46 DSA.</ref> Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
=== Forschungsdatenzugang ===

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. In Art 40 DSA werden zwei Arten des Datenzugangs unterschieden:

* Zugang zu Daten, die in den Online-Schnittstellen der Plattformen öffentlich zugänglich sind (öffentlicher Datenzugang, Art 40 Abs 12 DSA)
* Privilegierter Zugang zu Plattformdaten (nicht öffentlicher Datenzugang) in Art 40 Abs 4 DSA)

Je nach Art des beantragten Zugangs gibt es Unterschiede hinsichtlich der Frage, wer den Zugang beantragen kann, an wen der Antrag zu stellen ist und welche Verpflichtungen mit dem Datenzugang verbunden sind.<ref>KommAustria, Artikel 40 Datenzugang für Forschende Information für Antragstellende (2025), [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf.]</ref>

Gemäß Art 40 DSA kann der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste (KDD)]] unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.<ref>https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

* die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen (Art 40 Abs 8 lit a DSA),
* sie sind unabhängig von kommerziellen Interessen (Art 40 Abs 8 lit b DSA),
* ihr Antrag gibt Aufschluss über die Finanzierung der Forschung (Art 40 Abs 8 lit c DSA),
* sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben (Art 40 Abs 8 lit e DSA),
* sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist (Art 40 Abs 8 lit e DSA),
* die geplanten Forschungstätigkeiten werden zu den in Art 40 Abs 4 DSA genannten Zwecken durchgeführt (Art 40 Abs 8 lit f DSA),
* sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen (Art 40 Abs 8 lit g DSA).
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]])'''.''' Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR)] und auf der [https://digital-strategy.ec.europa.eu/de/policies/list-designated-vlops-and-vloses Webseite der Europäischen Kommission] gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

Um Zugang zu öffentlichen Daten zu erhalten, sollten sich Forschende direkt an die VLOP/VLOSE wenden. Plattformen müssen öffentliche Daten bereitstellen, verlangen jedoch im Antrag den in Art 40 Abs 12 DSA normierten Nachweis darüber, dass die Bedingungen nach Art 40 Abs 8 lit b–e DSA erfüllt sind.

Sofern Ihr Forschungsvorhaben den Zugang (auch) zu personenbezogenen Daten umfasst, müssen Sie nachweisen, dass Sie in der Lage sind, die besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen. Zur Einhaltung der datenschutzrechtlichen Anforderungen können Checklisten wie die ''Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art 40 Abs. 4 DSA des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.2025''<ref>Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.202, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Checkliste_Datenschutzanforderungen.pdf</ref> herangezogen werden.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Seit dem Inkrafttreten des delegierten Rechtsakts über den Datenzugang am 29. Oktober 2025 eröffnen sich den Forschenden neue Möglichkeiten. Durch diesen Rechtsakt wird der Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglicht. Seit Oktober 2025 ist die Antragstellung über ein zentrales Portal der Europäischen Kommission möglich.<ref>Der Zugang zum Portal ist seit 29.10.2025 unter <nowiki>https://data-access.dsa.ec.europa.eu/public/hta/data-access</nowiki> möglich.</ref>
{| class="wikitable"
|+
!Beispiel<ref>Das Beispiel stammt in abgewandelter Form von folgender Seite: https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>
|-
|Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
|}

== Verbraucherschutz und Rechtsbehelfe ==
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.<ref>Vgl Art 3 lit b DSA und ErwGr 2 DSA. </ref> Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.<ref>Art 2 Abs 4 lit f DSA nennt die spezifischen Verbraucherschutzinstrumente, die von dem Anwendungsbereich des DSA unberührt bleiben, beispielsweise die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32013L0011 EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (2013/11/EU)] oder die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R2394 Verordnung über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden ((EU) 2017/2394)]. ErwGr 10 DSA führt zudem unter anderem die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 EU-Richtlinie über die Rechte der Verbraucher (2011/83/EU)] und die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie über unlautere Geschäftspraktiken (2005/29/EG)] an. </ref>

=== Konkrete Schutzvorschriften ===

==== Allgemeine Vorschriften ====
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte '''Haftungsprivileg''' für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.<ref>Vgl Art 6 Abs 3 DSA. </ref> Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.<ref name=":7">Vgl ''Dregelies'', Verbraucherschutz im Digital Services Act, VuR 2023, 175. </ref>

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren '''AGBs''' in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.<ref>Vgl Art 14 DSA.</ref> Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein '''internes Beschwerdemanagementsystem''' einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.<ref>Vgl Art 20 DSA. </ref> Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf '''außergerichtliche Streitbeilegung'''.<ref>Vgl Art 21 DSA.</ref> Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von '''vertrauenswürdigen Hinweisgebern''' ("trusted flaggers") vorrangig und unverzüglich behandelt werden.<ref>Vgl Art 22 DSA.</ref> Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidriger Inhalte]] verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher<ref>Die Aufzählung entstammt der Webseite der RTR unter: https://www.rtr.at/medien/presse/pressemitteilungen/Presseinformationen_2024/PI11292024KOA_TrustedFlaggers.de.html

Eine Liste aller EU-weit zertifizierter vertrauenswürdiger Hinweisgeber kann hier eingesehen werden: https://digital-strategy.ec.europa.eu/en/policies/trusted-flaggers-under-dsa. </ref>:

* Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
* Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
* Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
* Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
* Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)<ref>Die Zertifizierungen der KommAustria sind unter folgendem Link abrufbar: https://www.rtr.at/medien/aktuelles/entscheidungen/Uebersicht.de.html</ref>

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine '''Risikobewertung''' durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.<ref>Vgl Art 34 Abs 1 lit b DSA. </ref>

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter '''freiwillige Verhaltenskodizes''' ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

==== Besondere Vorschriften für Anbieter von Transaktionsplattformen ====
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten '''"Know-your-Business-Customer"-Grundsatz'''<ref name=":7" />, wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.<ref>Vgl Art 30 DSA.</ref> Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ('''"Konformität durch Technikgestaltung"''').<ref>Vgl Art 31 DSA.</ref>

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).<ref>Vgl ''Nemec'', Digital Services Act und Verbraucherschutz, ecolex 2024/119.</ref> <ref name=":7" />

'''Recht auf Information (Art 32 DSA):''' Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

=== Rechtsbehelfe ===

* '''Beschwerderecht (Art 53 DSA):''' Die Nutzer von Vermittlungsdiensten haben das Recht, beim [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
* '''Entschädigung (Art 54 DSA):''' Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind. 
== Verfahren nach dem DSA ==

=== Auf Profiling basierende Werbeschaltungen auf LinkedIn ===
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen [https://edri.org/ EDRi], [https://www.globalwitness.org/en/ Global Witness], [https://freiheitsrechte.org/ Gesellschaft für Freiheitsrechte] und [https://www.bitsoffreedom.nl/ Bits of Freedom] an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.<ref>Vgl https://edri.org/our-work/civil-society-complaint-raises-concern-that-linkedin-is-violating-dsa-ad-targeting-restrictions/.</ref> Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-request-information-linkedin-potentially-targeted-advertising-based-sensitive-data.</ref>

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann [https://ec.europa.eu/commission/presscorner/detail/de/STATEMENT_24_3172 hier] nachgelesen werden.

=== Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr ===
Die chinesische '''Online-Plattform Temu''', die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.<ref>Vgl https://germany.representation.ec.europa.eu/news/dsa-kommission-eroffnet-formelles-verfahren-gegen-temu-2024-10-31_de?prefLang=en.</ref> Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]].

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

* Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
* Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme <ref>Für mehr Informationen zu den Belohungsprogrammen siehe: https://www.chip.de/news/Das-Temu-Prinzip-Wie-Online-Shopping-zum-Spiel-wird_185170925.html.</ref>
* Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
* Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes. Im Juli 2025 hat die Kommission vorläufig einen DSA-Verstoß Temu's in Bezug auf illegale Produkte festgestellt.<ref name=":22">Vgl https://germany.representation.ec.europa.eu/news/vorlaufige-feststellung-temu-verstosst-bezug-auf-illegale-produkte-gegen-gesetz-uber-digitale-2025-07-28_de sowie die originale Pressemitteilung: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1913.</ref> Demnach hätte der Diensteanbieter eine zu ungenaue Risikobewertung durchgeführt und daher wahrscheinlich unzureichende Maßnahmen zur Eindämmung des Verkaufs nicht konformer Produkte auf seiner Plattform gesetzt. Temu steht nun die Möglichkeit offen, seine Verteidigungsrechte auszuüben und auf die Feststellungen zu antworten.<ref name=":22" />

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste '''TikTok, YouTube''' und '''Snapchat'''.<ref>Vgl https://www.t-online.de/nachrichten/ausland/internationale-politik/id_100501946/eu-ermittelt-youtube-tiktok-snapchat-wegen-suchtgefahr-unter-druck.html.</ref> Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-requests-information-youtube-snapchat-and-tiktok-recommender-systems-under-digital.</ref>

=== Weitere Klagen gegen Temu ===
Gegen Temu ist auch auf nationaler ein Rechtsstreit anhängig, speziell aufgrund der vermeintlichen Verwendung unerlaubter "dark patterns".<ref>Vgl https://verbraucherrecht.at/verfahren-gegen-temu<nowiki/>.MwN vgl auch die mediale Berichterstattung: https://www.derstandard.at/story/3000000290329/wie-stark-werden-onlinekaeufer-manipuliert-sozialministerium-klagt-billigriesen-temu; https://www.diepresse.com/20163737/wer-trickst-verliert-sozialministerium-klagt-chinesischen-temu; https://orf.at/stories/3407287/. </ref> Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Österreichischen Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz beim Handelsgericht Wien eine Verbandsklage gegen Temu eingebracht. Gegenstand ist die Verwendung bestimmter Designmuster durch Temu, wodurch Kunden zur Preisgabe personenbezogener Daten und zu großzügigen Ausgaben animiert würden, bspw durch aufdringliche Pop-Ups, Gewinnspiele, künstliche Verknappung und der Einsatz von Countdowns. Ebenso würden Kunden zu vorschnellen Kaufentscheidungen verleitet, durch Gutscheine gelockt, deren Einlösung an versteckte Bedingungen geknüpft ist, und die Löschung des Nutzerkontos gestalte sich als überaus kompliziert, im Gegensatz zur einfachen Kontoerstellung.

=== Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen ===
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.<ref>Weitere Informationen finden sich unter folgendem Link: https://ec.europa.eu/commission/presscorner/detail/de/ip_24_6487.</ref> Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.<ref>Bereits am 26. April 2024 hat die Europäische Kommission Leitlinien für Anbieter sehr großer Online-Plattformen und -Suchmaschinen zur Minderung systemischer Risiken in Wahlprozessen veröffentlicht: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014.</ref> Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.<ref name=":11">https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/767150/EPRS_ATA(2024)767150_DE.pdf.</ref> Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.<ref name=":11" />

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

* die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
* die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

=== Vorläufige Feststellung der Kommission: TikTok und Meta verstoßen gegen ihre Transparenzpflichten im Rahmen des Gesetzes über digitale Dienste ===
Die Europäische Kommission hat am 24.10.2025 vorläufig festgestellt, dass sowohl TikTok als auch Meta gegen ihre Pflicht aus dem Gesetz über digitale Dienste verstoßen haben, Forschenden den Antrag auf Zugang zu öffentlichen Daten zu erschweren und einen angemessenen Zugang zu öffentlichen Daten zu gewähren. Nach den vorläufigen Feststellungen haben Facebook, Instagram und TikTok möglicherweise aufwendige Verfahren und Systeme eingeführt, welche den Forschenden den Antrag auf Zugang zu öffentlichen Daten erschweren. Die erschwerte Antragstellung kann dazu führen, dass Forschende oftmals nur unvollständige oder unzuverlässige Daten erhalten, ihre Forschungstätigkeiten dadurch erschwert werden, , z. B. zur Untersuchung der Frage, ob Nutzerinnen und Nutzer, einschließlich Minderjähriger, illegalen oder schädlichen Inhalten ausgesetzt sind.

Forschenden Zugang zu den Daten von Plattformen zu gewähren, wird als eine wesentliche Transparenzpflicht nach dem DSA gesehen, da dies eine öffentliche Kontrolle der potenziellen Auswirkungen von Plattformen auf die körperliche und psychische Gesundheit ermöglicht.<ref>Pressemitteilung der Europäischen Kommission vom 24.10.2025,abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2503</ref>

=== Weitere Verfahren bzw relevante Entwicklungen ===

* Die Plattform X (ehemals Twitter) steht im Verdacht, gegen die Bestimmungen des DSA in Bezug auf Desinformation und illegale Inhalte verstoßen zu haben.<ref>Vgl https://www.politico.eu/article/eu-charges-musks-x-for-letting-disinfo-run-wild/.</ref> Hintergrund ist eine antisemitische Äußerung des in die Plattform integrierten Chatbots "Grok".<ref>Vgl https://www.euractiv.com/news/x-warned-it-could-face-shut-down-in-poland-after-groks-antisemitic-outburst/. </ref> Darüber hinaus hat der irische Koordinator für digitale Dienste (Coimisiún na Meán) im November 2025 ein Verfahren gegen X wegen eines angeblichen Verstoßes gegen Art 20 DSA eröffnet, wonach Anbieter von Online-Plattformen Nutzern Zugang zu einem internen Beschwerdemanagementsystem gewähren müssen.<ref>MwN https://www.mlex.com/mlex/articles/2410041. </ref>
* Im Februar 2025 reichte die niederländische NGO "SOMI" (Stichting Onderzoek Marktinformatie) eine Sammelklage auf Schadenersatz gegen TikTok ein. Gegenstand der Klage sind sowohl angebliche Verstöße TikToks gegen den DSA als auch gegen die DSGVO und den AI Act, da der Diensteanbieter höchstpersönliche Nutzerdaten sammeln, analysieren und darauf basierend Persönlichkeitsprofile für Werbezwecke erstellen würde sowie Nutzer durch seine Algorithmen gezielt abhängig mache.<ref>MwN https://www.lto.de/recht/hintergruende/h/eu-kommission-dsa-tiktok-verstoesse. </ref>
* Die Europäische Kommission hat am 26. November 2025 im Rahmen des DSA ein Auskunftsersuchen an Shein gerichtet, nachdem vorläufige Hinweise darauf vorliegen, dass illegale Waren, insbesondere kinderähnliche Sexpuppen und Waffen, auf dem Markt angeboten werden, die sie , dass das Shein-System ein systemisches Risiko für die Verbraucher in der gesamten Europäischen Union darstellen könnte. Verlangt werden insbesondere detaillierte Informationen und interne Dokumente darüber vorzulegen, wie sie sicherstellt, dass Minderjährige nicht altersunangemessenen Inhalten ausgesetzt sind.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-requests-shein-provide-information-sale-illegal-products-under-digital-services-act</ref>
* Ein aktueller Überblick über laufende Verfahren und bisherige Rechtsstreitigkeiten kann [https://www.mlex.com/mlex/case_files/671808c4e48ada0e00bb040e hier] abgerufen werden.

== Synergien ==
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).<ref name=":9">Vgl ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).</ref>

Die Kommission hat das Verhältnis des DSA zu anderen Digitalrechtsakten in einem Bericht dargestellt.<ref>Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.</ref>

Im Folgenden findet sich eine partielle Erörterung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

=== Datenschutz-Grundverordnung (DSGVO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung] (DSGVO) regelt die Verarbeitung von '''personenbezogenen Daten'''. Darunter sind gemäß Art 4 Z 1 DSGVO all jene Informationen zu verstehen,

''"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".''

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich '''Verantwortlicher''' (Art 4 Z 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.<ref>Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgl dazu: ''Scheichenbauer,'' Datenschutzrecht für Vereine (2023).</ref> Der EuGH hat kürzlich klargestellt, dass Betreiber von Online-Marktplätzen als (gemeinsam) Verantwortliche nach der DSGVO gelten, wenn sie Zwecke und Mittel der Veröffentlichung von Nutzendeninhalten mitbestimmen. Sie können sich bei Datenschutzverstößen nicht auf die Haftungsprivilegien der E-Commerce-RL<ref>Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl L 2000/178, 1.</ref> (der Vorgängerin des DSA) berufen. Zugleich sind sie zu präventiven technischen und organisatorischen Maßnahmen verpflichtet (Art 32 DSGVO), insb zur Identifikation und Kontrolle von Anzeigen mit besonderen Kategorien personenbezogener Daten, zur Identitätsprüfung von Inserent*innen sowie zu effektiven Sicherheitsmaßnahmen gegen Kopieren und Weiterverbreitung solcher Inhalte.<ref>EuGH 2.12.2025, C-492/23 (''Russmedia Digital und Inform Media Press).'' </ref>

Weiters kann der DSA als '''gesetzliche Vorgabe''' eine '''Rechtsgrundlage''' für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.<ref name=":9" /> Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.<ref name=":9" />

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu '''"[[Digital Services Act (DSA)#Dark patterns|dark patterns]]"''' ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO verstoßen "dark patterns" insbesondere gegen die Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, die allgemeinen Datenverarbeitungsgrundsätze nach Art 5 DSGVO sowie den Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO).<ref name=":9" />

* Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (vgl Art 4 Z 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".<ref name=":9" />
* Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12 ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).<ref name=":9" />
* Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.<ref name=":9" />
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von '''Profiling''' und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Z 4 DSGVO. Demnach bezeichnet Profiling

''"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".''

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

* Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
* Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
* Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.<ref name=":9" /> Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.<ref name=":9" /> Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Der DSA kann auch (mittelbar) der Durchsetzung von DSGVO-Verstößen dienen: So kam die Berliner Datenschutzbeauftragte zum Ergebnis, dass ein bestimmter App-Betreiber wegen rechtswidriger Übermittlung personenbezogener Daten der Nutzer nach China gegen Art 46 Abs 1 DSGVO verstoße. Sie forderte daher das Unternehmen auf, die erforderlichen Maßnahmen zur Herstellung eines DSGVO-konformen Zustands zu ergreifen. Da das Unternehmen dem allerdings nicht nachkam, machte die Berliner Datenschutzbeauftragte von der [[Digital Services Act (DSA)#Abgestufter Pflichtenkatalog|Möglichkeit nach Art 16 DSA]] Gebrauch und meldete die rechtswidrigen Inhalte den App Store-Betreibern, auf deren Plattformen die entsprechende App angeboten wurde.<ref>''Berliner Beauftragte für Datenschutz und Informationsfreiheit'', Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt, Pressemitteilung vom 27.06.2025, https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/.</ref>

Nähere Informationen zum Zusammenspiel zwischen dem DSA und der DSGVO finden sich in den entsprechenden [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf Leitlinien], die der Europäische Datenschutzausschuss (EDSA) im September 2025 veröffentlicht hat.

=== [[Digital Markets Act (DMA)]] ===

Der DSA bildet zusammen mit dem [[Digital Markets Act (DMA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" ("Gatekeeper") auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen "Torwächter" mit zentralen Plattformdiensten, das sind jene Anbieter, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw die von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführende Praktiken.

=== Platform-to-Business-VO (P2B-VO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019R1150 Platform-to-Business-VO] ("P2B-VO")<ref>Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten, ABl L 2019/186, 57.</ref> gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an '''gewerbliche''' '''Nutzer''', verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.<ref>Vgl Art 1 Abs 2 P2B-VO. </ref> Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.<ref name=":17">Nähere Informationen können auf folgender Seite der Wirtschaftskammer Österreich (WKO) eingesehen werden: https://www.wko.at/oe/handel/p2b-verordnung.</ref> Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.<ref name=":17" /><ref>Vgl Art 1 Abs 3 P2B-VO. </ref> Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitestgehend auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der nach dem DSA.<ref>Vgl dazu die Begriffsbestimmungen des DSA in Artikel 3 und jene der P2B-VO in Artikel 2. </ref> Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29 ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33 ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von '''Allgemeinen Geschäftsbedingungen''' (AGBs), beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.<ref name=":9" /> Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.<ref name=":9" /> Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.<ref name=":9" /> Hier gehen die Meinungen in der Literatur auseinander: während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

=== [[Artificial Intelligence Act (AIA)]] ===

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der [[Artificial Intelligence Act (AIA)]], dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.<ref name=":13">Vgl ''Honer/Schöbel,'' Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.</ref> Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.<ref name=":13" /> Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).<ref name=":14">Vgl ''Hacker,'' Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024). </ref> Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.<ref name=":14" /> Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.<ref name=":14" />

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
{| class="wikitable"
|+
!
!DSA
!AIA
!Beispiele und nähere Erläuterungen
|-
|'''Adressaten'''
|Vermittlungsdiensteanbieter
|Vorrangig Anbieter bzw Betreiber von (generativer) KI
|Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Ein Beispiel wäre der Einsatz von KI durch YouTube, um die Videos seiner Nutzer zu editieren.<ref>Vgl ''Germain,'' YouTube secretly used AI to edit people's videos. The results could bend reality, bbc.com 24.08.2025, https://www.bbc.com/future/article/20250822-youtube-is-using-ai-to-edit-videos-without-permission. </ref> Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#GPAI-Modelle_(Art_51_ff_AI_Act) General Purpose AI - GPAI]) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act).<ref name=":14" /> Hier treten also die Anforderungen nach dem DSA neben die Pflichten nach dem AI Act.
Wie bereits erörtert wird aktuell geprüft, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine (VLOSEs) einzustufen ist.<ref name=":21" /> Damit wäre ChatGPT die erste eigenständige KI-Anwendung, die unter den DSA fällt, und würde einen wichtigen Präzedenzfall für die Regulierung KI-gestützter Online-Dienste in Europa darstellen. Die formelle Einstufung könnte laut Medienberichterstattung noch einige Wochen dauern und weder die EU-Kommission noch OpenAI haben zum heutigen Stand (November 2025) Statements dazu veröffentlicht.<ref name=":21" />
|-
|'''Risikoanalyse'''
|Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl Art 34 Abs 1 und Art 35 DSA)
|Anbieter von Hochrisiko-KI-Systemen sind gemäß Art 17 AI Act zur Etablierung eines Risikomanagementsystems nach Art 9 AI Act verpflichtet.<ref>Näheres dazu findet sich im [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Risikoanalyse:_Digital_Services_Act_(DSA)_vs_AI_Act Eintrag über den AI Act im Kapitel Synergien] und wird daher an dieser Stelle nicht näher behandelt.</ref>
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
|Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.<ref>Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt. </ref> Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (beispielsweise Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc.), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse sollte überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sogenannte "konsolidierte und technologieübergreifende Risikoanalyse").<ref name=":14" /> So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
|-
|'''Forschungsdatenzugang'''
|Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
|Der AIA enthält keine vergleichbare Regelung
|Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.<ref name=":14" />
|-
|'''Inhaltsmoderation'''
|Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Vermittlungsdiensteanbieter trifft nur eine eingeschränkte Verantwortlichkeit für illegale Inhalte (vgl die sog [https://wiki.atlaws.eu/index.php/Digital_Services_Act_(DSA)#Haftungsprivilegien Haftungsprivilegien]). Demnach haften sie unter anderem dann für die illegalen Inhalte ihrer Nutzer, wenn sie tatsächliche Kenntnis von deren rechtswidrigem Charakter haben.
|Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
|Vermittlungsdiensteanbieter bzw Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (zB rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.<ref name=":14" /> Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.<ref name=":14" /> Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Gewisse Monitoring- und Risikoanalyseverpflichtungen nach dem AI Act könnten dazu führen, dass ein Vermittlungsdiensteanbieter, der KI auf seinen Plattformen einsetzt, tatsächliche Kenntnis von illegalen Inhalten erlangt. Die in Art 7 DSA normierte "Gute-Samariter-Regelung" könnte diese Haftungsbegründung allerdings wieder ausschließen. Denn laut dieser gelten die Haftungsprivilegien weiterhin für Vermittlungsdiensteanbieter, wenn diese auf Eigeninitiative Untersuchungen zur Erkennung illegaler Inhalte durchführen, beispielsweise um den Anforderungen des Unionsrechts nachzukommen, wozu eben auch der AI Act zählt.<ref>Diese Interpretation ist allerdings noch nicht höchstgerichtlich bestätigt. MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 51, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>
|-
|'''Umgang mit künstlich erzeugten Inhalten ("Deepfakes")'''
|Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
|Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
|Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw Offenlegung der künstlich erzeugten Inhalte verpflichtet wird. Ansonsten ist auch denkbar, dass die Rollen nach dem AI Act und dem DSA zusammenfallen. Wenn das KI-System hingegen von einer anderen Partei als dem Anbieter einer sehr großen Online-Plattform oder -Suchmaschine betrieben wird, bspw durch Einbettung, dann haben beide Unternehmen insbesondere auf technischer Ebene zusammenzuarbeiten, um die Verfügbarkeit und Kohärenz der Kennzeichnungen sicherzustellen.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 50, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref>
Diese Synergie zwischen dem DSA und dem AI Act ist explizit in ErwGr 120 AI Act angesprochen, wonach die Pflichten zur Offenlegung und Feststellung von künstlich erzeugten oder manipulierten Inhalten nach dem AI Act von besonderer Bedeutung für die Einhaltung der Verpflichtungen nach dem DSA sind, insbesondere jene zur Risikoanalyse.
|}

[[Datei:Die Wirkung der Grundrechte.png|mini|750x750px|Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Grundrechtsschutz ===
In Artikel 1 Absatz 1 DSA wird der Schutz der in der [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).<ref name=":12">Vgl ''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024). </ref> Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

* Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA). In diesem Sinne hat Facebook-Gründer Mark Zuckerberg im Jänner 2025 grundlegende Änderungen der Inhaltemoderation auf den Plattformen des Mutterkonzerns Meta [https://about.fb.com/news/2025/01/meta-more-speech-fewer-mistakes/?ref=platf angekündigt].<ref>MwN https://www.mlex.com/mlex/technology/articles/2281128.</ref> Ziel sei eine Reduktion automatisierter Filter, um nicht mehr jegliche Verstöße gegen die Nutzungsbedingungen zu erkennen, sondern nur mehr eindeutig rechtswidrige Inhalte und schwerwiegende Verstöße, wobei geringfügige AGB-Verletzungen weiterhin über ein nutzerbasiertes Meldesystem eingebracht werden können. Dadurch soll einerseits die Fehlerquote der automatisierten Inhaltemoderation verringert und andererseits der Meinungspluralismus gefördert werden.<ref>MwN ''Jennerjahn'', Änderungen der Inhaltemoderation auf den Meta-Plattformen, MMR 2025, 247. </ref>
* Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
* Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.<ref name=":3" /> Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

* Die [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] (EU GRC)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000308 Europäische Menschenrechtskonvention] (EMRK)
* Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 Richtlinie über die Rechte der Verbraucher]
* Die [https://headless-live.unicef.de/caas/v1/media/194402/data/3828b8c72fa8129171290d21f3de9c37 UN-Konvention über die Rechte des Kindes] (UN-Kinderrechtskonvention)
* Die [https://broschuerenservice.sozialministerium.at/Home/Download?publicationId=19 UN-Behindertenrechtskonvention] (UN-BRK)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000741 UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau] (CEDAW)
* Österreichische Rechtsakte:
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000138 Bundes-Verfassungsgesetz (B-VG)]
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000006 Staatsgrundgesetz 1867] (StGG)
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002462 Konsumentenschutzgesetz (KSchG)]
*# [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz]
*# [https://www.ris.bka.gv.at/GeltendeFassung/Bundesnormen/20003395/GlBG%2C%20Fassung%20vom%2007.11.2016.pdf Gleichbehandlungsgesetz]
*# [https://ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2023_I_76/BGBLA_2023_I_76.html Barrierefreiheitsgesetz:] Dieses ist seit dem 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).<ref>Mehr Informationen finden sich auf der Webseite der Wirtschaftskammer Österreich (WKO) unter folgendem Link: https://www.wko.at/ce-kennzeichnung-normen/informationen-zum-barrierefreiheitsgesetz.</ref>

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.<ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).</ref><ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023). </ref> Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.<ref name=":3" /> Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.<ref name=":3" /> Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.<ref name=":3" /><ref>''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).</ref>

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.<ref name=":12" />
=== Österreichisches Recht - das DSA-Begleitgesetz ===
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20011678 Telekommunikationsgesetz 2021], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

==== Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G) ====
Mit dem [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 KDD-G] wird die nationale Aufsicht über die digitalen Dienste und die Funktion des [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinators für digitale Dienste (KDD)]] als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

* [[Datei:Stakeholder und Akteure.png|mini|711x711px|Vom DSA betroffene Stakeholder, Akteure und Sektoren © Research Institute basierend auf der Abbildung von 7p mobility<ref>https://7p-mobility.com/blog/digital-services-act-dsa-wie-die-eu-die-online-welt-sicherer-macht</ref>]]die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
* die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
* die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
* Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
* die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

==== Das E-Commerce-Gesetz (ECG) ====
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]] (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetzes (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

==== Sonstige Änderungen durch das DSA-Begleitgesetz ====
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 Allgemeines Bürgerliches Gesetzbuch (ABGB):] In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.<ref name=":15">Vgl ''Wittmann'', Das DSA-Begleitgesetz: Neue Instrumente zur Bekämpfung von "Hass-im Netz", MR 2023, 298. </ref>
* [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 Urheberrechtsgesetz (UrhG):] Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.<ref name=":15" />
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 Strafprozessordnung (StPO):] Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.<ref name=":15" />
== Sanktionen ==
Der DSA sieht ein '''zweigeteiltes Sanktionssystem''' vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 Koordinator-für-digitale-Dienste-Gesetz (KDD-G)] verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.<ref>Vgl § 5 Abs 6 iVm § 6 KDD-G.</ref>

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

* Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.<ref>Vgl Art 52 DSA.</ref> Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.<ref>Vgl § 5 iVm § 6 Abs 1 Z 1 KDD-G</ref> Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.<ref>Vgl Art 74 DSA.</ref>
* Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.<ref>Vgl Art 52 DSA iVm § 6 Abs 1 Z 2 KDD-G und Art 74 DSA. </ref>
* '''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes.<ref>Vgl Art 52 iVm § 6 Abs 2 KDD-G und 76 DSA.</ref> Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
* '''Einstweilige Maßnahmen:''' In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine ''prima facie'' Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.<ref>Vgl Art 70 DSA. </ref> 
== Weiterführende Literatur ==

* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Hofmann/Raue,'' Digital Services Act. Gesetz über digitale Dienste (2023).
* ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Müller-Terpitz/Köhler'', Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

== Links und Materialien ==

* https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
* https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
* https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
* https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
* https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
* https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).
* [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf KommAustria Jahresbericht 2024].
* [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf EDSA-Richtlinien zum Zusammenspiel zwischen dem DSA und der DSGVO] (11. September 2025).
* Europäische Kommission, Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, 17.11.2025, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.

== Referenzen ==
<references />

Digital Services Act (DSA)

2025-12-05T09:39:55Z

Mirjam.tercero: /* Datenschutz-Grundverordnung (DSGVO) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=2065|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG|Kurztitel=Digital Services Act/Gesetz über digitale Dienste|Bezeichnung=DSA|Rechtsmaterie=Digitale Dienste|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/277, 1|Anzuwenden=17. Februar 2024 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen
|-
|Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
|Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
|Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
|Direkte Verknüpfung mit dem [[Digital Markets Act (DMA)]], da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
|Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
|-
|Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
|Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
|Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
|Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
|Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
|-
|Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
|Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
|Regelungen zu Governance, Aufsicht und Durchsetzung
|Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
|Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
|-
|Verwirklichung des Binnenmarktes
|Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
|Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
|Querbezüge zum [[Artificial Intelligence Act (AIA)]], sofern Vermittlungsdiensteanbieter auf KI-basierte Systeme zurückgreifen
|'''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes
|-
|Rechtssicherheit
|Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
|Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
|Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz etc.)
|'''Einstweilige Maßnahmen:''' In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
|}

== Einführung ==
[[Datei:Paket digitale dienste.png|mini|400x400px|Paket zum Gesetz über digitale Dienste der Europäischen Kommission -Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.<ref name=":25">Vgl Art 1 Abs 1 DSA. </ref> Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.<ref name=":26">Vgl Art 1 Abs 1 iVm ErwGr 3 DSA. </ref> Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem [[Digital Markets Act (DMA)]] bildet er das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.<ref name=":0">''Kern,'' Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.</ref><ref>''Staudegger'', Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).</ref><ref>Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des [[Digital Markets Act (DMA)]]. </ref>

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert<ref>Siehe auch die Einteilung in Art 1 Abs 2 DSA. </ref>:

* Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
* In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
* In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt (sogenannte "Haftungsprivilegien").
* Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
* Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

== Anwendungsbereich ==

=== Räumlich ===
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.<ref name=":0" />

=== Sachlich ===

==== Vermittlungsdienst ====
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.<ref name=":1">Siehe ErwGr 29 DSA. </ref>
[[Datei:Vermittlungsdienste.png|mini|504x504px|Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

* Entweder erfolgt eine '''„reine Durchleitung“''', wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.<ref name=":1" /><ref name=":3" />
* Oder es wird eine '''„Caching“-Leistung''' erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.<ref name=":1" />
* Schließlich kann es sich auch um einen '''„Hosting"-Dienst''' handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.<ref name=":1" />

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie '''„Online-Plattformen“''' abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.<ref name=":2">Siehe ErwGr 13 DSA.</ref> Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet<ref>Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe ErwGr 14 DSA). </ref>, wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").<ref name=":2" />

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte '''„sehr große Online-Plattformen“''' (''Very Large Online Platforms – VLOPs)'' und '''„sehr große Online-Suchmaschinen“''' (''Very Large Search Engines – VLOSEs)'' mit '''erheblicher Reichweite''' ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.<ref>Siehe ErwGr 76 DSA.</ref>

* VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando<ref>Zalando hat die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat. Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu</ref> etc.<ref name=":10">Eine Liste der benannten VLOPs und VLOSEs findet sich auf folgender Seite der Europäischen Kommission: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.</ref>
* VLOSEs: Bing, Google Search etc.<ref name=":10" />
Da der DSA für VLOPs/VLOSEs strenge Sorgfaltspflichten vorsieht, haben bisher einige der designierten Anbieter versucht, diesen Einstufungsbeschluss der Kommission abzuwenden. Zalando hat bspw die Einstufung als VLOP bereits im Juni 2023 angefochten. Nach einem langen Rechtsstreit wurde die Einstufung jedoch im September 2025 gerichtlich bestätigt, wogegen Zalando ein Rechtsmittel eingelegt hat.<ref>Der ganze bisherige Verfahrensgang kann hier nachgelesen werden: https://www.mlex.com/mlex/case_files/6718316ab067d30e2e6498f2/technology-regulation-zalando-action-against-dsa-designation-as-a-vlop-eu.</ref> Die Klage von Amazon gegen den Kommissionsbeschluss, mit dem die Plattform Amazon Store als VLOP benannt wurde, wurde am 19. November 2025 vom EuGH (Rechtssache T-367/23) abgewiesen.<ref>Vgl https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-11/cp250144de.pdf. </ref> Geprüft wird aktuell, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine einzustufen ist.<ref name=":21">Vgl Näheres unter: https://www.mlex.com/mlex/technology/articles/2402210/openai-inches-toward-seeing-chatgpt-regulated-under-eu-digital-rulebook und https://www.euractiv.com/news/commission-checking-if-chatgpt-falls-under-eu-online-governance-rules/.</ref>

==== Dienstleistung der Informationsgesellschaft ====
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine '''"Dienstleistung der Informationsgesellschaft"''' handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.<ref>Vgl Art 3 lit a DSA iVm Art 1 Abs 1 lit b RL (EU) 2015/1535 (Info-RL). </ref> Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.<ref>MwN ''Steinrötter/Schauer'' in ''Steinrötter'' (Hrsg)'','' Europäische Plattformregulierung – Rechtshandbuch (2023) § 2 Rz 7.</ref> Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.<ref>Vgl dazu das EuGH-Urteil 15.09.2016, C-484/14, ''McFadden/Sony Music'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.<ref name=":16">Vgl dazu das EuGH-Urteil 20.12.2017, C-434/15 ''Elite Taxi/Uber System Spain'' und die näheren Ausführungen in: ''Hofmann/Raue'', Digital Services Act. Gesetz über digitale Dienste (2023).</ref> Die RL (EU) 2015/1535 (Info-RL), nach der sich die Einstufung als Dienstleistung der Informationsgesellschaft bemisst, enthält in Anhang I eine sogenannte "Negativliste" an Diensten, die jedenfalls nicht als Dienst der Informationsgesellschaft iSd Art 1 Abs 1 lit b Info-RL zu klassifizieren sind:

* Nicht "im Fernabsatz" erbrachte Dienste: Untersuchung oder Behandlung von Patienten in einer Arztpraxis mithilfe elektronischer Geräte, Buchung eines Flugtickets über ein Computernetz in einem Reisebüro in Anwesenheit des Kunden, Bereitstellung elektronischer Dienste in einer Spielehalle in Anwesenheit eines Nutzers. Die Diensteerbringung im Fernabsatz findet nämlich ohne zeitgleiche physische Anwesenheit der Vertragsparteien statt, was bei den genannten Beispielen jedoch nicht der Fall ist;
* Nicht "elektronisch" erbrachte Dienste bzw Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden: Geldausgabe- oder Fahrkartenautomaten, Offline-Dienste (Software, Disketten, CD-ROMSs), Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienste, Telefaxdienste, medizinische Beratung über Telefon, Direktmarketing per Telefon etc.);
* Nicht auf individuellen Abruf erbrachte Dienste, da sie im Wege einer gleichzeitigen Übertragung von Daten für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden: Fernsehdienste, Hörfunkdienste, Teletext (über Fernsehsignal).<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 3 ff. </ref>
Art 2 Abs 2 DSA schließt Dienstleistungen von der Anwendung des DSA aus, die keine Vermittlungsdienste sind, auch wenn sie durch die Nutzung eines Vermittlungsdienstes erbracht werden.<ref name=":20">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11.</ref> Kann ein Gesamtangebot getrennt werden (zB gemeinsame Angebote von Telefon, Internetzugang und TV - sogenanntes „Tripleplay“), ist jede Dienstleistung getrennt einer eigenen Qualifikation zu unterziehen.<ref name=":20" /> Können einzelne Dienste nicht abgegrenzt werden, kommt es auf den Schwerpunkt des Dienstes an, wobei es keine Vermutungsregel gibt, dass ein Dienst im Zweifel ein Dienst der Informationsgesellschaft ist.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 11 f.</ref>Darüber hinaus gelten Dienste nicht als Vermittlungsdienste, wenn sie eigene Inhalte präsentieren, da eine Vermittlung stets die "Fremdheit" eines Inhalts voraussetzt.<ref>Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 13.</ref>

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:
{| class="wikitable"
|+
! colspan="2" |Beispiele
|-
|'''Kostenfreier WLAN- Zugang'''
|WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich.<ref name=":19">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 4.</ref> So kann der WLAN-Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.<ref name=":3" /> <ref name=":19" />
|-
|'''Taxi App'''
|Im Falle einer Applikation (App), die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.<ref name=":16" /> Das entscheidende Kriterium ist hierbei laut EuGH, dass weder Fahrer noch die beförderte Person ohne die App ihre Leistungen anbieten bzw in Anspruch nehmen können. Außerdem würde das hinter der App stehende Unternehmen auf den Preis Einfluss nehmen und die Zahlungsabwicklung übernehmen, weshalb die Leistung hier über die reine Vermittlung von Dienstleistungen Dritter hinaus ginge und nicht mehr von einer rein passiven, technisch bedingten Vermittlungsleistung die Rede sein könne.<ref name=":18">Vgl ''Köhler'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024) Art. 3 Rz 58. </ref> Anders verhält es sich bei einer Vermittlungsplattform für Kurzzeitmieten, die Vermieter und Wohnungssuchende zusammenbringt.<ref>Vgl dazu EuGH 19.12.2019, C-390/18 ''(Airbnb Ireland).'' </ref> In diesem Fall befand der EuGH, dass die Plattform keinen wesentlichen Bestandteil des Angebots eines Vermieters gegenüber wohnungssuchenden Kurzzeitmietern darstelle, weil der Dienst nicht zwingend für das Entstehen entsprechender Angebote sei und keinen Einfluss auf die Vertragsgestaltung des Vermieters mit dem Mieter nehme.<ref name=":18" />
|-
|'''WLAN-Netz einer Universität'''
|Der Anwendungsfall eines WLAN-Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.

* Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN-Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN-Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
* Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN-Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.

Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
|-
|'''Blockchain'''
|Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.<ref name=":9" /> Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.<ref name=":9" /> Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).<ref name=":9" /> Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eines Vermittlungsdienstes darstellt.<ref name=":9" />
|-
|'''Gaming'''
|Um den Pflichten nach dem DSA zu unterliegen, muss es sich bei einem Online-Gaming-Anbieter um einen Vermittlungsdienst handeln. Dazu ist zum einen die Eigenschaft als "Dienst der Informationsgesellschaft" ausschlaggebend, welche bei (zumindest entgeltlichen) Online-Spielen in der Praxis wohl zu bejahen sein wird, da diese in der Regel im Fernabsatz auf individuellen Abruf des Empfängers erbracht werden.<ref name=":23">Vgl ''Lober/Trunk,'' Games im neuen Plattformrecht der EU, MMR 2025, 665.</ref> Weiters muss der Dienst eine Mittlerfunktion einnehmen, also von Dritten bereitgestellte Informationen übermitteln, ohne dabei selbst die Kontrolle über diese Informationen auszuüben. Für Online-Spiele bedeutet dies, dass Spiele, die den Nutzern die Möglichkeit zum Hochladen bzw zur Kreation von Inhalten sowie zur Interaktion bieten, potenziell als Vermittlungsdienste einzustufen sind.<ref name=":23" /> Je nachdem, wie diese Informationen ausgetauscht werden (als reine Durchleitung, durch Zwischenspeicherung oder gar durch öffentliche Verbreitung über eine Online-Plattform), treffen den Anbieter unterschiedliche Sorgfaltspflichten nach dem DSA. So kann es sich bspw bei einer integrierten Chatfunktion zum Spieleraustausch um einen Dienst der reinen Durchleitung handeln.<ref name=":23" /> Die Teilnahme an einem Online-Spiel ist zwar ebenfalls mit der Übermittlung von Informationen an Mit- bzw. Gegenspieler verbunden, allerdings wird es sich hierbei in der Regel nicht um Informationen handeln, auf dessen Regelung der DSA abzielt. Denn dieser möchte ein vertrauenswürdiges und (rechts-)sicheres Online-Umfeld schaffen, das von der einfachen Übermittlung von Spielzügen, Lebenspunkten, Aktionen etc. nicht bedroht erscheint und sich daher grundsätzlich nicht auf vorprogrammierte Spielerinterkationen übertragen lässt.<ref name=":23" /> Ist es jedoch möglich, in einem Spiel kreative Freiheiten auszuleben und Inhalte sowohl selbst zu generieren als auch zu verbreiten, könnte es zu einer Einstufung als Vermittlungsdienst iSd DSA kommen. Es wird daher stark auf die Art des Spiels sowie der Spielerinteraktion ankommen, ob ein Online-Gaming-Anbieter als Vermittlungsdienst einzustufen ist.<ref name=":23" /> Denn während in manchen Spielen die Teilnehmenden miteinander in den Wettkampf treten oder gemeinsam Aufgaben lösen, werden in anderen Spielen ganze Welten erschaffen und mit anderen Nutzern geteilt (zB Roblox oder Minecraft).<ref name=":23" />
|}

=== Ausnahmen ===
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro<ref name=":5" /> sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, den zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder den Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

=== Zeitlich ===
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.<ref>Vgl Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). </ref> Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem [[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|DSA-Begleitgesetz]] in nationales Recht gegossen.

== Zentrale Inhalte ==

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.<ref>''Decarolis/Li'', Regulating online search in the EU. From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).</ref> Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]] an Minderjährige oder die Verwendung von manipulativen Taktiken wie "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“) und bestimmte Verpflichtungen im Umgang mit [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]]. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.<ref name=":3">Vgl ''Hofmann/Raue'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).</ref>
=== Haftungsprivilegien ===
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.<ref>''Staudegger,'' Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.</ref> Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.<ref name=":3" />

* In den Art 4-6 findet sich eine '''bedingte Haftungsbefreiung für Vermittlungsdienste''', wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.<ref name=":6">''Handel,'' Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.</ref> Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus''.''<ref name=":6" /> Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "[[Digital Services Act (DSA)#Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)|Sorgfaltspflichten von Hostingdiensteanbietern]]"). In einem kürzlich ergangenen Beschluss des LG Berlin hat das Gericht das Erfordernis der "tatsächlichen Kenntnis" sehr eng ausgelegt und sieht diese nur als gegeben, wenn der Anbieter im Wege eines bestehenden Melde- und Abhilfeverfahrens gemäß Art 16 DSA über den illegalen Inhalt informiert wurde.<ref>[https://www-juris-de.uaccess.univie.ac.at/static/infodienst/autoren/D_NJRE001616389.htm LG Berlin, Beschluss vom 07.08.2025, Az. 27 O 262/25 eV.] </ref> Hingegen soll die Kenntnisnahme eines Verstoßes über formlose Mitteilungen via E-mail oder Kontaktformular keinerlei Prüf- oder Handlungspflichten seitens des Anbieters auslösen, soweit dieser ein Melde- und Abhilfeverfahren gemäß Art 16 DSA eingerichtet hat. Inwieweit andere Gerichte dieser Rsp folgen werden, bleibt abzuwarten.
* Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer '''„Gute-Samariter-Regelung“''', laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.<ref name=":3" /> Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
* Die Artikel 8-9 enthalten '''verfahrensrechtliche Vorgaben'''.<ref name=":3" /> In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
=== Abgestufter Pflichtenkatalog ===
Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
[[Datei:DSA Infographik Sorgfaltspflichten.png|mini|750x750px|Der abgestufte Pflichtenkatalog nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

==== Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15) ====
Die '''allgemeinen Verpflichtungen''' in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

* Diese beinhalten einerseits eine Harmonisierung der '''Kommunikationsmöglichkeiten''' von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)<ref name=":3" /> sowie eines '''gesetzlichen Vertreters''', sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.<ref name=":4">Vgl ''Schonhofen,'' Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.</ref>
* In Art 14 normiert der DSA, dass in den '''Allgemeinen Geschäftsbedingungen''' der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
* Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen '''Transparenzbericht''' zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-harmonises-transparency-reporting-rules-under-digital-services-act mit Links zu der Durchführungsverordnung, dem Muster und der Ausfüllhilfe. </ref> Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

==== Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18) ====
Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

* Zunächst haben sämtliche Hostingdiensteanbieter ein '''Melde- und Abhilfeverfahren''' einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.<ref name=":4" /> Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
* Sofern ein Hostingdiensteanbieter '''Maßnahmen''' nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu '''begründen''' (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).<ref>Hier können die veröffentlichten Erklärungen eingesehen werden: https://transparency.dsa.ec.europa.eu/statement

Über folgende API können die Erklärungen an die Kommission übermittelt werden: https://transparency.dsa.ec.europa.eu/page/api-documentation</ref>
* Der Hostingdiensteanbieter ist verpflichtet, bei '''Verdacht, dass eine Straftat vorliegt,''' die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der [https://eur-lex.europa.eu/eli/dir/2011/36/oj Menschenhandel-RL], [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32011L0093 Kinderpornografie-RL] und der [https://eur-lex.europa.eu/eli/dir/2017/541/oj Terrorismusbekämpfungs-RL] fallen.<ref>Siehe ErwGr 56 DSA.</ref> Im November 2025 hat die Kommission einen Konsultationsprozess gestartet, um Input von relevanten Stakeholdern zu ihren Erfahrungen in Bezug auf diesen Meldeprozess einzuholen.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/commission-launches-targeted-consultation-notification-suspicions-criminal-offences-under-digital. </ref>
==== Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32) ====
Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für '''Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen''' ermöglicht wird. Explizit '''ausgenommen sind Kleinst- und Kleinunternehmen''' (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.<ref name=":5">Siehe Art 2 Anhang zur [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361 Empfehlung 2003/361/EG]</ref>

* Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit '''Meldungen und Beschwerden von Nutzern'''. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).<ref name=":3" /> Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
* Art 23 DSA enthält verpflichtende Mindestvorgaben zur '''Eindämmung von Missbrauch''', wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
* Die Anbieter von Online-Plattformen treffen erweiterte '''Transparenzberichtspflichten''' (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.<ref name=":4" /> Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
* Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter '''„[[Digital Services Act (DSA)#Dark patterns|dark patterns]]“''' (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).<ref name=":4" />
* Darüber hinaus normiert der DSA erweiterte '''Vorgaben zur Gestaltung der betroffenen Dienste'''<ref name=":4" />, wie etwa '''Transparenzvorgaben für [[Digital Services Act (DSA)#Werbeschaltungen|Werbung]]''' (Art 26 DSA) und '''Empfehlungssysteme''' (Art 27 DSA) sowie einen weitreichenden '''Online-Schutz Minderjähriger''' (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von [[Digital Services Act (DSA)#Werbeschaltungen|Werbeschaltungen]], die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
* Abschnitt 4 (Art 29-32 DSA) enthält '''ergänzende Bestimmungen für Transaktionsplattformen'''<ref name=":3" />, worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.<ref name=":4" /> Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
[[Datei:Sorgfaltspflichten Checkliste.png|mini|887x887px|Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter © Research Institute in Ergänzung der Abbildung von Noerr<ref>https://www.noerr.com/de/insights/der-digital-services-act-tritt-in-kraft-neue-pflichten-fur-digitale-vermittlungsdienste.</ref>]]
==== Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43) ====
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

* Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur '''Bewertung und Minderung der von ihren Diensten ausgehenden Risiken,''' worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen''.''<ref name=":4" /> Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014</ref> Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer '''unabhängigen Prüfung''' unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.<ref name=":4" />
* Der in Art 36 DSA vorgesehene '''Krisenreaktionsmechanismus''' erlaubt es der EU-Kommission auf Empfehlung des [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremiums]]<ref>Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board.</ref> im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.<ref>Vgl Art 36 Abs 2 iVm ErwGr 91 DSA.</ref>
* Die für Online-Plattformen geltenden '''Transparenzpflichten''' für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).<ref name=":3" />
* Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste '''Zugang zu Daten''' zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine '''Compliance-Abteilung''' einzurichten (Art 41 DSA) und eine jährliche '''Aufsichtsgebühr''' an die EU-Kommission zu entrichten (Art 43 DSA).

==== Maßnahmen zur Selbstregulierung ====
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.<ref name=":3" /> Dazu zählt etwa die Förderung der Ausarbeitung '''freiwilliger Verhaltenskodizes''' in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrige Inhalte]], den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.<ref>Ein Verhaltenskodex zur Bekämpfung illegaler Hetze im Netz wurde am 20. Jänner 2025 angenommen und von Anbietern wie Facebook, Instagram, LinkedIn, Snapchat, TikTok, X, YouTube, etc. unterzeichnet. Mehr Informationen finden sich auf der Webseite der Europäischen Kommission unter folgendem Link: https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.

Ein weiterer Verhaltenskodex zur Bekämpfung von Desinformation wurde im Februar 2025 angenommen. Mehr Informationen finden sich hier: https://merlin.obs.coe.int/article/10251.</ref> Zusätzlich wird die Ausarbeitung '''freiwilliger Krisenprotokolle''' empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um '''„soft law“''' – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.<ref name=":3" />

=== Governance, Aufsicht und Durchsetzung ===
[[Datei:Governance Struktur.png|mini|502x502px|Die Governance-Struktur und Organe nach dem Digital Services Act © Research Institute in Ergänzung der Abbildung von BVDW<ref>https://eclear.com/de/artikel/digital-services-act-schutz-und-verantwortung-in-der-digitalen-welt/.</ref>]]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und [[Digital Services Act (DSA)#Sanktionen|Sanktionierung]] zuständig sind.

==== Koordinator für Digitale Dienste ====
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.<ref>Für mehr Informationen zur KommAustria, siehe: https://www.rtr.at/medien/wer_wir_sind/KommAustria/KommAustria.de.html und https://www.bundeskanzleramt.gv.at/agenda/medienrecht/kommunikationsbehorde-austria.html.</ref> Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G)], welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende '''Befugnisse''' kommen der KommAustria als KDD gemäß Art 51 DSA zu:

# Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
#* Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
#* Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
#* Aufforderung an Mitarbeiter, Erklärungen abzugeben
# Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
#* Verpflichtungszusagen von Anbietern als bindend zu erklären
#* Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
#* Verhängung von Geldbußen und Zwangsgeld
#* Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
# Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
#* Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
#* Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende '''Aufgaben''':

# Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA). Den ersten [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf Jahresbericht für das Jahr 2024] hat die KommAustria bereits veröffentlicht.<ref>Nähere Informationen auf der [https://www.rtr.at/KDD_Jahresbericht_2024 Seite der RTR] sowie in der [https://www.ots.at/presseaussendung/OTS_20250818_OTS0034/erster-dsa-jahresbericht-der-kommaustria-zeigt-fortschritte-beim-schutz-der-nutzerrechte-durch-den-digital-services-act OTS-Presseaussendung]. </ref> Der Jahresbericht hat überdies folgende Informationen zu enthalten:
#* Die Zahl der eingegangenen Beschwerden nach Art 53 DSA und eine Übersicht über entsprechende Folgemaßnahmen
#* Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
#* Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen.
# Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
# Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
# Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

==== Europäisches Gremium für digitale Dienste ====
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende '''Aufgaben''' kommen dem Gremium gemäß Art 63 DSA zu:

* Unterstützung der Koordinierung gemeinsamer Untersuchungen
* Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
* Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
* Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
* Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Darüber hinaus hat das Gremium gemäß Art 35 Abs 2 DSA einmal jährlich einen umfassenden Bericht über systemische Risiken in Zusammenhang mit den Anbietern von VLOPs und VLOSEs zu veröffentlichen. Dieser beinhaltet die Ermittlung und Bewertung auffälliger wiederkehrender systemischer Risiken, die von Anbietern von VLOPs und VLOSEs gemeldet werden, sowie deren Minderung durch die genannten Anbieter. Im November 2025 hat das Gremium seinen ersten derartigen [https://ec.europa.eu/newsroom/dae/redirection/document/121707 Bericht] veröffentlicht.<ref>MwN https://digital-strategy.ec.europa.eu/en/news/press-statement-european-board-digital-services-following-its-16th-meeting-0.</ref>

==== Europäische Kommission ====

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

* So ist die Kommission im Sinne des zweigeteilten [[Digital Services Act (DSA)#Sanktionen|Sanktionssystems]] des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
* Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
* Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
* Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
* Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das [[Digital Services Act (DSA)#Europäisches Gremium für digitale Dienste|Gremium]] die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
* Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
* Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
* Gemäß Art 43 DSA ist die Kommission dazu berechtigt, von den Anbietern sehr großer Online-Plattformen und -Suchmaschinen eine jährliche Aufsichtsgebühr zu verlangen. Dazu hat die Kommission delegierte Rechtsakte zu erlassen, worin die detaillierte Methodik und das entsprechende Verfahren der Berechnung und Erhebung dieser Gebühr festgelegt sind. In einem EuGH-Urteil von September 2025 in den verbundenen Rechtssachen Meta Platforms Ireland und TikTok Technology hat der EuGH jedoch die dazu von der Kommission erlassene Implementierungsentscheidung aufgrund methodischer Mängel annulliert. Es obliegt nun der Kommission, diese Mängel zu beheben und die Berechnungsmethode in Entsprechung der relevanten Bestimmungen des DSA durch delegierte Rechtsakte festzulegen. Praktisch dürfte dies jedoch nichts ändern, da die grundsätzliche Verpflichtung zur Zahlung von Aufsichtsgebühren nicht gegen den DSA verstößt und verpflichtende Zahlungen weiterhin für eine Übergangsperiode von höchstens 12 Monaten zu entrichten sind.<ref>Vgl die Pressemitteilung des EuGH vom 10. September 2025 für nähere Informationen: https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250114en.pdf. </ref> 
== Ausgewählte Themen im Fokus ==
=== Dark patterns ===
[[Datei:Dark patterns .png|mini|550x550px|Dimensionen von Dark patterns nach dem Digital Services Act - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0] ]]
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".<ref>Vgl Art 25 DSA.</ref><ref>ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind '''Praktiken''', mit der darauf abgezielt oder tatsächlich erreicht wird, dass die '''Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird'''. Solche Praktiken können eingesetzt werden, um die Nutzer zu '''unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen''', die '''negative Folgen''' für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.</ref> Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer '''getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden'''. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

'''ErwGr 67 DSA''' nennt weitere Beispiele:

* Einerseits '''ausbeuterische Gestaltungsmuster''', mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
* Weiters Praktiken, die darin bestehen, einen Nutzer '''wiederholt aufzufordern''', eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde ''(Nagging, Confirm Shaming).''
* Die Gestaltung eines '''Verfahrens zur Stornierung eines Dienstes''' als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
* Dazu zählt, es unverhältnismäßig schwierig zu machen, '''Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden,''' die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
* Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden. Ebenso abzugrenzen sind "dark patterns" vom eher positiv konnotierten "Nudging", das zwar ebenfalls auf die Verhaltenssteuerung der Nutzer abzielt, allerdings eher positive Resultate beweckt - sei es gesamtgesellschaftlich oder für den Nutzer selbst.<ref name=":24">Vgl ''Barudi'' in ''Müller-Terpitz/Köhler,'' Digital Services Act. Gesetz über digitale Dienste (2024), Art. 25 Gestaltung und Organisation der Online-Schnittstelle Rz 10. </ref> Die Grenze ist allerdings fließend und mitunter wird auch das "Nudging" als unzulässige Verhaltensweise gesehen.<ref name=":24" />

Die '''Kommission kann Leitlinien''' für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

'''Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):'''

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung (DSGVO)] oder der [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie für unlautere Geschäftspraktiken (UGP-RL)] fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.<ref>Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."</ref>

'''Querverbindungen zum [[Digital Markets Act (DMA)]]:'''

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.<ref name=":8">Vgl ''Martini/Kramme/Kamke,'' KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.</ref> Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).<ref name=":8" /> Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".<ref name=":8" />

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).<ref name=":8" /> Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.<ref name=":8" />

'''Querverbindungen zum [[Artificial Intelligence Act (AIA)]]:'''

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA). [[Datei:Entscheidungsbaum rechtswidrige Inhalte EU DSA Prüfschritte.png|mini|704x704px|Prüfschritte bei rechtswidrigen Inhalten - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Rechtswidrige Inhalte ===
Ein Hauptzweck des DSA ist die '''Regulierung rechtswidriger Online-Inhalte''' durch die '''Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter''', womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen ''Hate Speech'' soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

* Datenschutzverletzungen (DSGVO, DSG)
* "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
* "Cyber Mobbing" (§107c StGB)
* Kreditschädigung (§152 StGB)
* Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
* Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
* Verhetzung (§283 StGB)
* Straftatbestände des Verbotsgesetzes 1947
* Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten '''[[Digital Services Act (DSA)#Haftungsprivilegien|Haftungsprivilegien]]'''. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden '''Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt''' gegen den Vermittlungsdienstanbieter erlassen können.<ref>Im Zusammenhang mit der Verbreitung terroristischer Inhalte können Behörden zudem Entfernungsanordnungen nach der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte (TI-VO) bzw dem Terrorinhalte-Bekämpfungs-Gesetz (TIB-G) erlassen. Einer derartigen Anordnung hat der Online-Diensteanbieter grundsätzlich innerhalb einer Stunde zu entsprechen und den Inhalt zu entfernen oder den Zugang zu terroristischen Inhalten in der gesamten Union zu sperren. Mehr Informationen sind unter folgendem Link abrufbar: https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/TCO-VO/TCO_VO.de.html</ref> Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für '''Auskunftsanordnungen''' nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche '''Meldesysteme''' zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

* Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
* Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
* Name und E-Mail-Adresse der meldenden Person oder Einrichtung
* Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

'''Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:'''

* Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
* Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
* Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
* Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
* Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
* Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Am 20. Jänner 2025 wurde der '''[https://ec.europa.eu/newsroom/dae/redirection/document/111777 "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+"]''', der auf einem bereits [https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en 2016 angenommenen Verhaltenskodex] beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram etc. unterzeichnet.<ref>Vgl https://digital-strategy.ec.europa.eu/de/library/code-conduct-countering-illegal-hate-speech-online.</ref> Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

'''Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:'''

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen (siehe nähere Informationen unter: "[[Digital Services Act (DSA)#Österreichisches Recht - das DSA-Begleitgesetz|Österreichisches Recht - das DSA-Begleitgesetz]]"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
=== Werbeschaltungen ===
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.<ref>Vgl Art 26 Abs 1 DSA.</ref> Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen:

* das werbende bzw die Werbung finanzierende Unternehmen
* Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und
* Hinweise, wie diese Parameter unter Umständen geändert werden können.

Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.<ref>Vgl Art 26 Abs 2 DSA.</ref>

Nicht definiert wird, wann ein Nutzer dazu in der Lage ist, die in Art. 26 Abs. 1 lit. a – d genannten Daten klar, präzise, in eindeutiger Weise und in Echtzeit zu erkennen. Diesbezüglich lassen sich in Erwgr. 68 Anhaltspunkte finden. So sollen betreffenden Informationen hervorgehoben dargestellt werden, etwa durch standardisierte visuelle oder akustische Kennzeichnungen, sodass sie für den durchschnittlichen Nutzer klar erkennbar und eindeutig sind.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 25, beck-online.</ref> Art. 26 Abs. 1 lit. a DSA ähnelt dabei Art. 6 lit. a E-Commerce-RL, wonach die kommerzielle Kommunikation „klar […] erkennbar“ sein muss. Der Maßstab der klaren Erkennbarkeit soll dazu führen, dass der Werbecharakter eines dargestellten Inhalts nicht verschleiert wird und Werbeanzeige dürfen nicht als objektiven Information erscheinen. Die Anforderung, dass die Informationen den Nutzern „in Echtzeit“ gegeben werden muss, bedeutet, dass sie wahrgenommen werden können müssen, während die Werbeanzeige eingeblendet wird.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kramme/Ponholzer, 1. Aufl. 2025, DSA Art. 26 Rn. 27, 28, beck-online.</ref>

'''Folgende Werbeschaltungen sind gemäß DSA verboten:'''

* Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.<ref>Vgl Art 26 Abs 3 DSA.</ref>
* Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.<ref>Vgl Art 28 Abs 2 DSA.</ref>
Werbeschaltungen die auf Basis von besonderen Datenkategorien erfolgen, können auch nicht durch eine Einwilligung gerechtfertigt werden.

'''Transparenz der Empfehlungssysteme:'''

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.<ref>Vgl Art 27 Abs 1 DSA.</ref> Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.<ref>Vgl Art 27 Abs 2 DSA.</ref>

Parameter können - je nach Plattform - etwa "Kundenaktionen“, „Informationen über den Artikel“, "Informationen über Aktivität und Kontakte" aber auch auch die Tageszeit und die Dauer der Nutzung sein.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Da Empfehlungssysteme eng mit der Attraktivität der jeweiligen Plattform in Verbindung stehen, sind sie komplex und häufigen Änderungen unterworfen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.<ref>MwN ''Roos/Voget,'' Transparenzpflichten für die Nutzung von KI auf Online-Marktplätzen, RDi 2024, 487.</ref> Wird über den Einsatz von KI informiert, so ist insbesondere beim Einsatz von Deep Learning häufig nicht mehr nachzuvollziehen, aufgrund welcher Parameter die Entscheidung durch den Algorithmus bzw. die Algorithmen (hier dem Empfehlungssystem) zustande gekommen ist. Es lassen sich jedochuch beim Einsatz von Techniken des maschinellen Lernens Informationen auf einem gewissen Abstraktionsniveau darlegen.<ref>Vgl Mast/Kettemann/Dreyer/Schulz/Kettemann/Müller, 1. Aufl. 2025, DSA Art. 27 Rn. 19, beck-online.</ref>

Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.<ref>Art 27 Abs 3 DSA.</ref>

'''Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:'''

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.<ref>Vgl Art 38 DSA.</ref> Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.<ref>Vgl Art 39 DSA.</ref> In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.<ref>Vgl Art 46 DSA.</ref> Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
=== Forschungsdatenzugang ===

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. In Art 40 DSA werden zwei Arten des Datenzugangs unterschieden:

* Zugang zu Daten, die in den Online-Schnittstellen der Plattformen öffentlich zugänglich sind (öffentlicher Datenzugang, Art 40 Abs 12 DSA)
* Privilegierter Zugang zu Plattformdaten (nicht öffentlicher Datenzugang) in Art 40 Abs 4 DSA)

Je nach Art des beantragten Zugangs gibt es Unterschiede hinsichtlich der Frage, wer den Zugang beantragen kann, an wen der Antrag zu stellen ist und welche Verpflichtungen mit dem Datenzugang verbunden sind.<ref>KommAustria, Artikel 40 Datenzugang für Forschende Information für Antragstellende (2025), [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/KOA_Leitfaden-Art-40_DSA.pdf.]</ref>

Gemäß Art 40 DSA kann der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste (KDD)]] unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.<ref>https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

* die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen (Art 40 Abs 8 lit a DSA),
* sie sind unabhängig von kommerziellen Interessen (Art 40 Abs 8 lit b DSA),
* ihr Antrag gibt Aufschluss über die Finanzierung der Forschung (Art 40 Abs 8 lit c DSA),
* sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben (Art 40 Abs 8 lit e DSA),
* sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist (Art 40 Abs 8 lit e DSA),
* die geplanten Forschungstätigkeiten werden zu den in Art 40 Abs 4 DSA genannten Zwecken durchgeführt (Art 40 Abs 8 lit f DSA),
* sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen (Art 40 Abs 8 lit g DSA).
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]])'''.''' Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der [https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR)] und auf der [https://digital-strategy.ec.europa.eu/de/policies/list-designated-vlops-and-vloses Webseite der Europäischen Kommission] gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

Um Zugang zu öffentlichen Daten zu erhalten, sollten sich Forschende direkt an die VLOP/VLOSE wenden. Plattformen müssen öffentliche Daten bereitstellen, verlangen jedoch im Antrag den in Art 40 Abs 12 DSA normierten Nachweis darüber, dass die Bedingungen nach Art 40 Abs 8 lit b–e DSA erfüllt sind.

Sofern Ihr Forschungsvorhaben den Zugang (auch) zu personenbezogenen Daten umfasst, müssen Sie nachweisen, dass Sie in der Lage sind, die besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen. Zur Einhaltung der datenschutzrechtlichen Anforderungen können Checklisten wie die ''Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art 40 Abs. 4 DSA des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.2025''<ref>Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.10.202, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Checkliste_Datenschutzanforderungen.pdf</ref> herangezogen werden.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Seit dem Inkrafttreten des delegierten Rechtsakts über den Datenzugang am 29. Oktober 2025 eröffnen sich den Forschenden neue Möglichkeiten. Durch diesen Rechtsakt wird der Zugang zu nicht öffentlichen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglicht. Seit Oktober 2025 ist die Antragstellung über ein zentrales Portal der Europäischen Kommission möglich.<ref>Der Zugang zum Portal ist seit 29.10.2025 unter <nowiki>https://data-access.dsa.ec.europa.eu/public/hta/data-access</nowiki> möglich.</ref>
{| class="wikitable"
|+
!Beispiel<ref>Das Beispiel stammt in abgewandelter Form von folgender Seite: https://centerforuserrights.freiheitsrechte.org/der-forschungsdatenzugang-nach-art-40-abs-4-digital-services-act.</ref>
|-
|Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
|}

== Verbraucherschutz und Rechtsbehelfe ==
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.<ref>Vgl Art 3 lit b DSA und ErwGr 2 DSA. </ref> Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.<ref>Art 2 Abs 4 lit f DSA nennt die spezifischen Verbraucherschutzinstrumente, die von dem Anwendungsbereich des DSA unberührt bleiben, beispielsweise die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32013L0011 EU-Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (2013/11/EU)] oder die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32017R2394 Verordnung über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden ((EU) 2017/2394)]. ErwGr 10 DSA führt zudem unter anderem die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 EU-Richtlinie über die Rechte der Verbraucher (2011/83/EU)] und die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32005L0029&qid=1688425982477 Richtlinie über unlautere Geschäftspraktiken (2005/29/EG)] an. </ref>

=== Konkrete Schutzvorschriften ===

==== Allgemeine Vorschriften ====
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte '''Haftungsprivileg''' für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.<ref>Vgl Art 6 Abs 3 DSA. </ref> Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.<ref name=":7">Vgl ''Dregelies'', Verbraucherschutz im Digital Services Act, VuR 2023, 175. </ref>

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren '''AGBs''' in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.<ref>Vgl Art 14 DSA.</ref> Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein '''internes Beschwerdemanagementsystem''' einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.<ref>Vgl Art 20 DSA. </ref> Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf '''außergerichtliche Streitbeilegung'''.<ref>Vgl Art 21 DSA.</ref> Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von '''vertrauenswürdigen Hinweisgebern''' ("trusted flaggers") vorrangig und unverzüglich behandelt werden.<ref>Vgl Art 22 DSA.</ref> Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidriger Inhalte]] verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher<ref>Die Aufzählung entstammt der Webseite der RTR unter: https://www.rtr.at/medien/presse/pressemitteilungen/Presseinformationen_2024/PI11292024KOA_TrustedFlaggers.de.html

Eine Liste aller EU-weit zertifizierter vertrauenswürdiger Hinweisgeber kann hier eingesehen werden: https://digital-strategy.ec.europa.eu/en/policies/trusted-flaggers-under-dsa. </ref>:

* Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
* Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
* Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
* Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
* Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)<ref>Die Zertifizierungen der KommAustria sind unter folgendem Link abrufbar: https://www.rtr.at/medien/aktuelles/entscheidungen/Uebersicht.de.html</ref>

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine '''Risikobewertung''' durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.<ref>Vgl Art 34 Abs 1 lit b DSA. </ref>

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter '''freiwillige Verhaltenskodizes''' ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

==== Besondere Vorschriften für Anbieter von Transaktionsplattformen ====
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten '''"Know-your-Business-Customer"-Grundsatz'''<ref name=":7" />, wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.<ref>Vgl Art 30 DSA.</ref> Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ('''"Konformität durch Technikgestaltung"''').<ref>Vgl Art 31 DSA.</ref>

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).<ref>Vgl ''Nemec'', Digital Services Act und Verbraucherschutz, ecolex 2024/119.</ref> <ref name=":7" />

'''Recht auf Information (Art 32 DSA):''' Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

=== Rechtsbehelfe ===

* '''Beschwerderecht (Art 53 DSA):''' Die Nutzer von Vermittlungsdiensten haben das Recht, beim [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]] des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
* '''Entschädigung (Art 54 DSA):''' Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind. 
== Verfahren nach dem DSA ==

=== Auf Profiling basierende Werbeschaltungen auf LinkedIn ===
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen [https://edri.org/ EDRi], [https://www.globalwitness.org/en/ Global Witness], [https://freiheitsrechte.org/ Gesellschaft für Freiheitsrechte] und [https://www.bitsoffreedom.nl/ Bits of Freedom] an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.<ref>Vgl https://edri.org/our-work/civil-society-complaint-raises-concern-that-linkedin-is-violating-dsa-ad-targeting-restrictions/.</ref> Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-request-information-linkedin-potentially-targeted-advertising-based-sensitive-data.</ref>

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann [https://ec.europa.eu/commission/presscorner/detail/de/STATEMENT_24_3172 hier] nachgelesen werden.

=== Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr ===
Die chinesische '''Online-Plattform Temu''', die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.<ref>Vgl https://germany.representation.ec.europa.eu/news/dsa-kommission-eroffnet-formelles-verfahren-gegen-temu-2024-10-31_de?prefLang=en.</ref> Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinator für digitale Dienste]].

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

* Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
* Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme <ref>Für mehr Informationen zu den Belohungsprogrammen siehe: https://www.chip.de/news/Das-Temu-Prinzip-Wie-Online-Shopping-zum-Spiel-wird_185170925.html.</ref>
* Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
* Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes. Im Juli 2025 hat die Kommission vorläufig einen DSA-Verstoß Temu's in Bezug auf illegale Produkte festgestellt.<ref name=":22">Vgl https://germany.representation.ec.europa.eu/news/vorlaufige-feststellung-temu-verstosst-bezug-auf-illegale-produkte-gegen-gesetz-uber-digitale-2025-07-28_de sowie die originale Pressemitteilung: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1913.</ref> Demnach hätte der Diensteanbieter eine zu ungenaue Risikobewertung durchgeführt und daher wahrscheinlich unzureichende Maßnahmen zur Eindämmung des Verkaufs nicht konformer Produkte auf seiner Plattform gesetzt. Temu steht nun die Möglichkeit offen, seine Verteidigungsrechte auszuüben und auf die Feststellungen zu antworten.<ref name=":22" />

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste '''TikTok, YouTube''' und '''Snapchat'''.<ref>Vgl https://www.t-online.de/nachrichten/ausland/internationale-politik/id_100501946/eu-ermittelt-youtube-tiktok-snapchat-wegen-suchtgefahr-unter-druck.html.</ref> Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-sends-requests-information-youtube-snapchat-and-tiktok-recommender-systems-under-digital.</ref>

=== Weitere Klagen gegen Temu ===
Gegen Temu ist auch auf nationaler ein Rechtsstreit anhängig, speziell aufgrund der vermeintlichen Verwendung unerlaubter "dark patterns".<ref>Vgl https://verbraucherrecht.at/verfahren-gegen-temu<nowiki/>.MwN vgl auch die mediale Berichterstattung: https://www.derstandard.at/story/3000000290329/wie-stark-werden-onlinekaeufer-manipuliert-sozialministerium-klagt-billigriesen-temu; https://www.diepresse.com/20163737/wer-trickst-verliert-sozialministerium-klagt-chinesischen-temu; https://orf.at/stories/3407287/. </ref> Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Österreichischen Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz beim Handelsgericht Wien eine Verbandsklage gegen Temu eingebracht. Gegenstand ist die Verwendung bestimmter Designmuster durch Temu, wodurch Kunden zur Preisgabe personenbezogener Daten und zu großzügigen Ausgaben animiert würden, bspw durch aufdringliche Pop-Ups, Gewinnspiele, künstliche Verknappung und der Einsatz von Countdowns. Ebenso würden Kunden zu vorschnellen Kaufentscheidungen verleitet, durch Gutscheine gelockt, deren Einlösung an versteckte Bedingungen geknüpft ist, und die Löschung des Nutzerkontos gestalte sich als überaus kompliziert, im Gegensatz zur einfachen Kontoerstellung.

=== Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen ===
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.<ref>Weitere Informationen finden sich unter folgendem Link: https://ec.europa.eu/commission/presscorner/detail/de/ip_24_6487.</ref> Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.<ref>Bereits am 26. April 2024 hat die Europäische Kommission Leitlinien für Anbieter sehr großer Online-Plattformen und -Suchmaschinen zur Minderung systemischer Risiken in Wahlprozessen veröffentlicht: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202403014.</ref> Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.<ref name=":11">https://www.europarl.europa.eu/RegData/etudes/ATAG/2024/767150/EPRS_ATA(2024)767150_DE.pdf.</ref> Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.<ref name=":11" />

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

* die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
* die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

=== Vorläufige Feststellung der Kommission: TikTok und Meta verstoßen gegen ihre Transparenzpflichten im Rahmen des Gesetzes über digitale Dienste ===
Die Europäische Kommission hat am 24.10.2025 vorläufig festgestellt, dass sowohl TikTok als auch Meta gegen ihre Pflicht aus dem Gesetz über digitale Dienste verstoßen haben, Forschenden den Antrag auf Zugang zu öffentlichen Daten zu erschweren und einen angemessenen Zugang zu öffentlichen Daten zu gewähren. Nach den vorläufigen Feststellungen haben Facebook, Instagram und TikTok möglicherweise aufwendige Verfahren und Systeme eingeführt, welche den Forschenden den Antrag auf Zugang zu öffentlichen Daten erschweren. Die erschwerte Antragstellung kann dazu führen, dass Forschende oftmals nur unvollständige oder unzuverlässige Daten erhalten, ihre Forschungstätigkeiten dadurch erschwert werden, , z. B. zur Untersuchung der Frage, ob Nutzerinnen und Nutzer, einschließlich Minderjähriger, illegalen oder schädlichen Inhalten ausgesetzt sind.

Forschenden Zugang zu den Daten von Plattformen zu gewähren, wird als eine wesentliche Transparenzpflicht nach dem DSA gesehen, da dies eine öffentliche Kontrolle der potenziellen Auswirkungen von Plattformen auf die körperliche und psychische Gesundheit ermöglicht.<ref>Pressemitteilung der Europäischen Kommission vom 24.10.2025,abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2503</ref>

=== Weitere Verfahren bzw relevante Entwicklungen ===

* Die Plattform X (ehemals Twitter) steht im Verdacht, gegen die Bestimmungen des DSA in Bezug auf Desinformation und illegale Inhalte verstoßen zu haben.<ref>Vgl https://www.politico.eu/article/eu-charges-musks-x-for-letting-disinfo-run-wild/.</ref> Hintergrund ist eine antisemitische Äußerung des in die Plattform integrierten Chatbots "Grok".<ref>Vgl https://www.euractiv.com/news/x-warned-it-could-face-shut-down-in-poland-after-groks-antisemitic-outburst/. </ref> Darüber hinaus hat der irische Koordinator für digitale Dienste (Coimisiún na Meán) im November 2025 ein Verfahren gegen X wegen eines angeblichen Verstoßes gegen Art 20 DSA eröffnet, wonach Anbieter von Online-Plattformen Nutzern Zugang zu einem internen Beschwerdemanagementsystem gewähren müssen.<ref>MwN https://www.mlex.com/mlex/articles/2410041. </ref>
* Im Februar 2025 reichte die niederländische NGO "SOMI" (Stichting Onderzoek Marktinformatie) eine Sammelklage auf Schadenersatz gegen TikTok ein. Gegenstand der Klage sind sowohl angebliche Verstöße TikToks gegen den DSA als auch gegen die DSGVO und den AI Act, da der Diensteanbieter höchstpersönliche Nutzerdaten sammeln, analysieren und darauf basierend Persönlichkeitsprofile für Werbezwecke erstellen würde sowie Nutzer durch seine Algorithmen gezielt abhängig mache.<ref>MwN https://www.lto.de/recht/hintergruende/h/eu-kommission-dsa-tiktok-verstoesse. </ref>
* Die Europäische Kommission hat am 26. November 2025 im Rahmen des DSA ein Auskunftsersuchen an Shein gerichtet, nachdem vorläufige Hinweise darauf vorliegen, dass illegale Waren, insbesondere kinderähnliche Sexpuppen und Waffen, auf dem Markt angeboten werden, die sie , dass das Shein-System ein systemisches Risiko für die Verbraucher in der gesamten Europäischen Union darstellen könnte. Verlangt werden insbesondere detaillierte Informationen und interne Dokumente darüber vorzulegen, wie sie sicherstellt, dass Minderjährige nicht altersunangemessenen Inhalten ausgesetzt sind.<ref>Vgl https://digital-strategy.ec.europa.eu/de/news/commission-requests-shein-provide-information-sale-illegal-products-under-digital-services-act</ref>
* Ein aktueller Überblick über laufende Verfahren und bisherige Rechtsstreitigkeiten kann [https://www.mlex.com/mlex/case_files/671808c4e48ada0e00bb040e hier] abgerufen werden.

== Synergien ==
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).<ref name=":9">Vgl ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).</ref>

Die Kommission hat das Verhältnis des DSA zu anderen Digitalrechtsakten in einem Bericht dargestellt.<ref>Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.</ref>

Im Folgenden findet sich eine partielle Erörterung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

=== Datenschutz-Grundverordnung (DSGVO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 Datenschutz-Grundverordnung] (DSGVO) regelt die Verarbeitung von '''personenbezogenen Daten'''. Darunter sind gemäß Art 4 Z 1 DSGVO all jene Informationen zu verstehen,

''"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".''

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich '''Verantwortlicher''' (Art 4 Z 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.<ref>Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgl dazu: ''Scheichenbauer,'' Datenschutzrecht für Vereine (2023).</ref> ##<ref>EuGH 2.12.2025, C-492/23 (''Russmedia Digital und Inform Media Press).'' </ref>

Weiters kann der DSA als '''gesetzliche Vorgabe''' eine '''Rechtsgrundlage''' für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.<ref name=":9" /> Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.<ref name=":9" />

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu '''"[[Digital Services Act (DSA)#Dark patterns|dark patterns]]"''' ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO verstoßen "dark patterns" insbesondere gegen die Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, die allgemeinen Datenverarbeitungsgrundsätze nach Art 5 DSGVO sowie den Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO).<ref name=":9" />

* Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (vgl Art 4 Z 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".<ref name=":9" />
* Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12 ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).<ref name=":9" />
* Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.<ref name=":9" />
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von '''Profiling''' und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Z 4 DSGVO. Demnach bezeichnet Profiling

''"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".''

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

* Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
* Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
* Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.<ref name=":9" /> Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.<ref name=":9" /> Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Der DSA kann auch (mittelbar) der Durchsetzung von DSGVO-Verstößen dienen: So kam die Berliner Datenschutzbeauftragte zum Ergebnis, dass ein bestimmter App-Betreiber wegen rechtswidriger Übermittlung personenbezogener Daten der Nutzer nach China gegen Art 46 Abs 1 DSGVO verstoße. Sie forderte daher das Unternehmen auf, die erforderlichen Maßnahmen zur Herstellung eines DSGVO-konformen Zustands zu ergreifen. Da das Unternehmen dem allerdings nicht nachkam, machte die Berliner Datenschutzbeauftragte von der [[Digital Services Act (DSA)#Abgestufter Pflichtenkatalog|Möglichkeit nach Art 16 DSA]] Gebrauch und meldete die rechtswidrigen Inhalte den App Store-Betreibern, auf deren Plattformen die entsprechende App angeboten wurde.<ref>''Berliner Beauftragte für Datenschutz und Informationsfreiheit'', Berliner Datenschutzbeauftragte meldet KI-App DeepSeek in Deutschland bei Apple und Google als rechtswidrigen Inhalt, Pressemitteilung vom 27.06.2025, https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-meldet-ki-app-deepseek-in-deutschland-bei-apple-und-google-als-rechtswidrigen-inhalt/.</ref>

Nähere Informationen zum Zusammenspiel zwischen dem DSA und der DSGVO finden sich in den entsprechenden [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf Leitlinien], die der Europäische Datenschutzausschuss (EDSA) im September 2025 veröffentlicht hat.

=== [[Digital Markets Act (DMA)]] ===

Der DSA bildet zusammen mit dem [[Digital Markets Act (DMA)]] das [https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package Paket zum Gesetz über digitale Dienste der Europäischen Kommission] und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" ("Gatekeeper") auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen "Torwächter" mit zentralen Plattformdiensten, das sind jene Anbieter, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw die von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "[[Digital Services Act (DSA)#Dark patterns|dark patterns]]". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführende Praktiken.

=== Platform-to-Business-VO (P2B-VO) ===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019R1150 Platform-to-Business-VO] ("P2B-VO")<ref>Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten, ABl L 2019/186, 57.</ref> gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an '''gewerbliche''' '''Nutzer''', verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.<ref>Vgl Art 1 Abs 2 P2B-VO. </ref> Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.<ref name=":17">Nähere Informationen können auf folgender Seite der Wirtschaftskammer Österreich (WKO) eingesehen werden: https://www.wko.at/oe/handel/p2b-verordnung.</ref> Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.<ref name=":17" /><ref>Vgl Art 1 Abs 3 P2B-VO. </ref> Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitestgehend auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der nach dem DSA.<ref>Vgl dazu die Begriffsbestimmungen des DSA in Artikel 3 und jene der P2B-VO in Artikel 2. </ref> Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29 ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33 ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von '''Allgemeinen Geschäftsbedingungen''' (AGBs), beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.<ref name=":9" /> Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.<ref name=":9" /> Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.<ref name=":9" /> Hier gehen die Meinungen in der Literatur auseinander: während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

=== [[Artificial Intelligence Act (AIA)]] ===

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der [[Artificial Intelligence Act (AIA)]], dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.<ref name=":13">Vgl ''Honer/Schöbel,'' Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.</ref> Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.<ref name=":13" /> Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).<ref name=":14">Vgl ''Hacker,'' Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024). </ref> Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.<ref name=":14" /> Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.<ref name=":14" />

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
{| class="wikitable"
|+
!
!DSA
!AIA
!Beispiele und nähere Erläuterungen
|-
|'''Adressaten'''
|Vermittlungsdiensteanbieter
|Vorrangig Anbieter bzw Betreiber von (generativer) KI
|Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Ein Beispiel wäre der Einsatz von KI durch YouTube, um die Videos seiner Nutzer zu editieren.<ref>Vgl ''Germain,'' YouTube secretly used AI to edit people's videos. The results could bend reality, bbc.com 24.08.2025, https://www.bbc.com/future/article/20250822-youtube-is-using-ai-to-edit-videos-without-permission. </ref> Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#GPAI-Modelle_(Art_51_ff_AI_Act) General Purpose AI - GPAI]) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act).<ref name=":14" /> Hier treten also die Anforderungen nach dem DSA neben die Pflichten nach dem AI Act.
Wie bereits erörtert wird aktuell geprüft, ob ChatGPT, dessen Suchfunktion laut Anbieter OpenAI mittlerweile über 120 Nutzer in der EU verzeichnet und damit die 45-Millionen-Schwelle deutlich übersteigt, als sehr große Online-Suchmaschine (VLOSEs) einzustufen ist.<ref name=":21" /> Damit wäre ChatGPT die erste eigenständige KI-Anwendung, die unter den DSA fällt, und würde einen wichtigen Präzedenzfall für die Regulierung KI-gestützter Online-Dienste in Europa darstellen. Die formelle Einstufung könnte laut Medienberichterstattung noch einige Wochen dauern und weder die EU-Kommission noch OpenAI haben zum heutigen Stand (November 2025) Statements dazu veröffentlicht.<ref name=":21" />
|-
|'''Risikoanalyse'''
|Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl Art 34 Abs 1 und Art 35 DSA)
|Anbieter von Hochrisiko-KI-Systemen sind gemäß Art 17 AI Act zur Etablierung eines Risikomanagementsystems nach Art 9 AI Act verpflichtet.<ref>Näheres dazu findet sich im [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Risikoanalyse:_Digital_Services_Act_(DSA)_vs_AI_Act Eintrag über den AI Act im Kapitel Synergien] und wird daher an dieser Stelle nicht näher behandelt.</ref>
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
|Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.<ref>Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt. </ref> Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (beispielsweise Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc.), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse sollte überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sogenannte "konsolidierte und technologieübergreifende Risikoanalyse").<ref name=":14" /> So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
|-
|'''Forschungsdatenzugang'''
|Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
|Der AIA enthält keine vergleichbare Regelung
|Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.<ref name=":14" />
|-
|'''Inhaltsmoderation'''
|Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Vermittlungsdiensteanbieter trifft nur eine eingeschränkte Verantwortlichkeit für illegale Inhalte (vgl die sog [https://wiki.atlaws.eu/index.php/Digital_Services_Act_(DSA)#Haftungsprivilegien Haftungsprivilegien]). Demnach haften sie unter anderem dann für die illegalen Inhalte ihrer Nutzer, wenn sie tatsächliche Kenntnis von deren rechtswidrigem Charakter haben.
|Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
|Vermittlungsdiensteanbieter bzw Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (zB rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.<ref name=":14" /> Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.<ref name=":14" /> Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Gewisse Monitoring- und Risikoanalyseverpflichtungen nach dem AI Act könnten dazu führen, dass ein Vermittlungsdiensteanbieter, der KI auf seinen Plattformen einsetzt, tatsächliche Kenntnis von illegalen Inhalten erlangt. Die in Art 7 DSA normierte "Gute-Samariter-Regelung" könnte diese Haftungsbegründung allerdings wieder ausschließen. Denn laut dieser gelten die Haftungsprivilegien weiterhin für Vermittlungsdiensteanbieter, wenn diese auf Eigeninitiative Untersuchungen zur Erkennung illegaler Inhalte durchführen, beispielsweise um den Anforderungen des Unionsrechts nachzukommen, wozu eben auch der AI Act zählt.<ref>Diese Interpretation ist allerdings noch nicht höchstgerichtlich bestätigt. MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 51, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>
|-
|'''Umgang mit künstlich erzeugten Inhalten ("Deepfakes")'''
|Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
|Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
|Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw Offenlegung der künstlich erzeugten Inhalte verpflichtet wird. Ansonsten ist auch denkbar, dass die Rollen nach dem AI Act und dem DSA zusammenfallen. Wenn das KI-System hingegen von einer anderen Partei als dem Anbieter einer sehr großen Online-Plattform oder -Suchmaschine betrieben wird, bspw durch Einbettung, dann haben beide Unternehmen insbesondere auf technischer Ebene zusammenzuarbeiten, um die Verfügbarkeit und Kohärenz der Kennzeichnungen sicherzustellen.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 50, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref>
Diese Synergie zwischen dem DSA und dem AI Act ist explizit in ErwGr 120 AI Act angesprochen, wonach die Pflichten zur Offenlegung und Feststellung von künstlich erzeugten oder manipulierten Inhalten nach dem AI Act von besonderer Bedeutung für die Einhaltung der Verpflichtungen nach dem DSA sind, insbesondere jene zur Risikoanalyse.
|}

[[Datei:Die Wirkung der Grundrechte.png|mini|750x750px|Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Grundrechtsschutz ===
In Artikel 1 Absatz 1 DSA wird der Schutz der in der [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).<ref name=":12">Vgl ''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024). </ref> Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

* Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA). In diesem Sinne hat Facebook-Gründer Mark Zuckerberg im Jänner 2025 grundlegende Änderungen der Inhaltemoderation auf den Plattformen des Mutterkonzerns Meta [https://about.fb.com/news/2025/01/meta-more-speech-fewer-mistakes/?ref=platf angekündigt].<ref>MwN https://www.mlex.com/mlex/technology/articles/2281128.</ref> Ziel sei eine Reduktion automatisierter Filter, um nicht mehr jegliche Verstöße gegen die Nutzungsbedingungen zu erkennen, sondern nur mehr eindeutig rechtswidrige Inhalte und schwerwiegende Verstöße, wobei geringfügige AGB-Verletzungen weiterhin über ein nutzerbasiertes Meldesystem eingebracht werden können. Dadurch soll einerseits die Fehlerquote der automatisierten Inhaltemoderation verringert und andererseits der Meinungspluralismus gefördert werden.<ref>MwN ''Jennerjahn'', Änderungen der Inhaltemoderation auf den Meta-Plattformen, MMR 2025, 247. </ref>
* Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
* Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.<ref name=":3" /> Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

* Die [https://eur-lex.europa.eu/DE/legal-content/summary/charter-of-fundamental-rights-of-the-european-union.html Charta der Grundrechte der Europäischen Union] (EU GRC)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000308 Europäische Menschenrechtskonvention] (EMRK)
* Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083 Richtlinie über die Rechte der Verbraucher]
* Die [https://headless-live.unicef.de/caas/v1/media/194402/data/3828b8c72fa8129171290d21f3de9c37 UN-Konvention über die Rechte des Kindes] (UN-Kinderrechtskonvention)
* Die [https://broschuerenservice.sozialministerium.at/Home/Download?publicationId=19 UN-Behindertenrechtskonvention] (UN-BRK)
* Die [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000741 UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau] (CEDAW)
* Österreichische Rechtsakte:
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000138 Bundes-Verfassungsgesetz (B-VG)]
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000006 Staatsgrundgesetz 1867] (StGG)
*# [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002462 Konsumentenschutzgesetz (KSchG)]
*# [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetz]
*# [https://www.ris.bka.gv.at/GeltendeFassung/Bundesnormen/20003395/GlBG%2C%20Fassung%20vom%2007.11.2016.pdf Gleichbehandlungsgesetz]
*# [https://ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2023_I_76/BGBLA_2023_I_76.html Barrierefreiheitsgesetz:] Dieses ist seit dem 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).<ref>Mehr Informationen finden sich auf der Webseite der Wirtschaftskammer Österreich (WKO) unter folgendem Link: https://www.wko.at/ce-kennzeichnung-normen/informationen-zum-barrierefreiheitsgesetz.</ref>

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.<ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).</ref><ref>Vgl ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023). </ref> Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.<ref name=":3" /> Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.<ref name=":3" /> Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.<ref name=":3" /><ref>''Müller-Terpitz/Köhler'' (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).</ref>

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.<ref name=":12" />
=== Österreichisches Recht - das DSA-Begleitgesetz ===
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das '''[https://www.parlament.gv.at/gegenstand/XXVII/ME/302 DSA-Begleitgesetz (DSA-BegG)]''' beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G)], eine Reihe von Änderungen anderer Gesetze ([https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001213 KommAustria-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 ABGB], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 UrhG], [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10000719 Mediengesetz], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 StPO], [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20011678 Telekommunikationsgesetz 2021], etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

==== Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G) ====
Mit dem [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 KDD-G] wird die nationale Aufsicht über die digitalen Dienste und die Funktion des [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinators für digitale Dienste (KDD)]] als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

* [[Datei:Stakeholder und Akteure.png|mini|711x711px|Vom DSA betroffene Stakeholder, Akteure und Sektoren © Research Institute basierend auf der Abbildung von 7p mobility<ref>https://7p-mobility.com/blog/digital-services-act-dsa-wie-die-eu-die-online-welt-sicherer-macht</ref>]]die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
* die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
* die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
* Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
* die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

==== Das E-Commerce-Gesetz (ECG) ====
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von [[Digital Services Act (DSA)#Rechtswidrige Inhalte|rechtswidrigen Inhalten]] (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20001703 E-Commerce-Gesetzes (ECG)]. So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

==== Sonstige Änderungen durch das DSA-Begleitgesetz ====
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001622 Allgemeines Bürgerliches Gesetzbuch (ABGB):] In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.<ref name=":15">Vgl ''Wittmann'', Das DSA-Begleitgesetz: Neue Instrumente zur Bekämpfung von "Hass-im Netz", MR 2023, 298. </ref>
* [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001848 Urheberrechtsgesetz (UrhG):] Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.<ref name=":15" />
* [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10002326 Strafprozessordnung (StPO):] Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.<ref name=":15" />
== Sanktionen ==
Der DSA sieht ein '''zweigeteiltes Sanktionssystem''' vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten [[Digital Services Act (DSA)#Koordinator für Digitale Dienste|Koordinatoren für digitale Dienste]] (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im [https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20012478&FassungVom=2024-10-08 Koordinator-für-digitale-Dienste-Gesetz (KDD-G)] verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.<ref>Vgl § 5 Abs 6 iVm § 6 KDD-G.</ref>

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

* Geldbußen bis zu '''1% des weltweiten Jahresumsatzes''' des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.<ref>Vgl Art 52 DSA.</ref> Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.<ref>Vgl § 5 iVm § 6 Abs 1 Z 1 KDD-G</ref> Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.<ref>Vgl Art 74 DSA.</ref>
* Geldbußen bis zu '''6% des weltweiten Jahresumsatzes''' des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.<ref>Vgl Art 52 DSA iVm § 6 Abs 1 Z 2 KDD-G und Art 74 DSA. </ref>
* '''Zwangsgelder''': max. 5% des durchschnittlichen weltweiten Tagesumsatzes.<ref>Vgl Art 52 iVm § 6 Abs 2 KDD-G und 76 DSA.</ref> Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
* '''Einstweilige Maßnahmen:''' In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine ''prima facie'' Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.<ref>Vgl Art 70 DSA. </ref> 
== Weiterführende Literatur ==

* ''Geminn/Johannes'' (Hrsg), Europäisches Datenrecht. DA | DGA | DS-GVO | DMA | DSA | KI-VO (2026).
* ''Hofmann/Raue,'' Digital Services Act. Gesetz über digitale Dienste (2023).
* ''Kraul'' (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
* ''Mast/Kettemann/Dreyer/Schulz'', DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024).
* ''Müller-Terpitz/Köhler'', Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

== Links und Materialien ==

* https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
* https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
* https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
* https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
* https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
* https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).
* [https://www.rtr.at/medien/aktuelles/publikationen/Publikationen/Publikationen_2025/KDD_Jahresbericht_2024.pdf KommAustria Jahresbericht 2024].
* [https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf EDSA-Richtlinien zum Zusammenspiel zwischen dem DSA und der DSGVO] (11. September 2025).
* Europäische Kommission, Bericht über die Anwendung von Artikel 33 der Verordnung (EU) 2022/2065 und die Wechselwirkung dieser Verordnung mit anderen Rechtsakten, 17.11.2025, COM(2025) 708 final, https://digital-strategy.ec.europa.eu/de/library/report-application-article-33-regulation-eu-20222065-dsa-and-interaction-regulation-other-legal.

== Referenzen ==
<references />