Digital Services Act (DSA): Unterschied zwischen den Versionen

Verordnung (EU) 2022/2065
Titel:	Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG
Kurztitel:	Digital Services Act/Gesetz über digitale Dienste
Bezeichnung: (nicht amtlich)	DSA
Geltungsbereich:	EWR
Rechtsmaterie:	Digitale Dienste
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	17. Februar 2024 (mit Ausnahmen)
Fundstelle:	ABl L 2022/277, 1
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Kurzübersicht

Einführung

Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.^[1] Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.^[2] Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem Digital Markets Act (DMA) bildet er das Paket zum Gesetz über digitale Dienste der Europäischen Kommission mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.^[3][4][5]

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert^[6]:

• Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
• In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
• In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt.
• Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
• Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

Anwendungsbereich

Räumlich

Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sogenannten Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.^[3]

Sachlich

Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.^[7]

Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g DSA):

• Entweder erfolgt eine „reine Durchleitung“, wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.^[7][8]
• Oder es wird eine „Caching“-Leistung erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.^[7]
• Schließlich kann es sich auch um einen „Hosting"-Dienst handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.^[7]

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie „Online-Plattformen“ abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.^[9] Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet^[10], wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sogenannte "Transaktionsplattformen").^[9]

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sogenannte „sehr große Online-Plattformen“ (Very Large Online Platforms – VLOPs) und „sehr große Online-Suchmaschinen“ (Very Large Search Engines – VLOSEs) mit erheblicher Reichweite ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.^[11]

• VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando, etc.^[12]
• VLOSEs: Bing, Google Search, etc.^[12]

Zusätzlich muss es sich bei dem Vermittlungsdienst um eine "Dienstleistung der Informationsgesellschaft" handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.^[13] Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw kostendeckend sein und darf nicht rein für gemeinnützige bzw altruistische Zwecke erfolgen.^[14] Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.^[15] Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.^[16]

Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA und damit zusammenhängende Abgrenzungsfragen:

Ausnahmen

Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro^[18] sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, die zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder die Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

Zeitlich

Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.^[19] Dennoch wurden in Österreich einige Bestimmungen des DSA mit dem DSA-Begleitgesetz in nationales Recht gegossen.

Zentrale Inhalte

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.^[20] Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte Werbeschaltungen an Minderjährige oder die Verwendung von manipulativen Taktiken wie "dark patterns“) und bestimmte Verpflichtungen im Umgang mit rechtswidrigen Inhalten. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.^[8]

Haftungsprivilegien

Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.^[21] Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.^[8]

• In den Art 4-6 findet sich eine bedingte Haftungsbefreiung für Vermittlungsdienste, wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6 DSA). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.^[22] Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus.^[22] Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "Sorgfaltspflichten von Hostingdiensteanbietern").
• Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer „Gute-Samariter-Regelung“, laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.^[8] Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
• Die Artikel 8-9 enthalten verfahrensrechtliche Vorgaben.^[8] In Art 8 DSA wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.  

Abgestufter Pflichtenkatalog

Kapitel III (Art 11-43 DSA) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.

Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15)

Die allgemeinen Verpflichtungen in Abschnitt 1 (Art 11-15 DSA) treffen alle Anbieter von Vermittlungsdiensten.

• Diese beinhalten einerseits eine Harmonisierung der Kommunikationsmöglichkeiten von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12 DSA)^[8] sowie eines gesetzlichen Vertreters, sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13 DSA). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.^[23]
• In Art 14 normiert der DSA, dass in den Allgemeinen Geschäftsbedingungen der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
• Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen Transparenzbericht zu veröffentlichen (Art 15 DSA), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.^[24] Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)

Abschnitt 2 (Art 16-18 DSA) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

• Zunächst haben sämtliche Hostingdiensteanbieter ein Melde- und Abhilfeverfahren einzurichten (Art 16 DSA), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.^[23] Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17 DSA).
• Sofern ein Hostingdiensteanbieter Maßnahmen nach einer Meldung gemäß Art 16 DSA ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu begründen (Art 17 DSA). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).^[25]
• Der Hostingdiensteanbieter ist verpflichtet, bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18 DSA). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der Menschenhandel-RL, Kinderpornografie-RL und der Terrorismusbekämpfungs-RL fallen.^[26]

Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32)

Anschließend regelt Abschnitt 3 (Art 19-32 DSA) weitergehende Sorgfaltspflichten für Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Explizit ausgenommen sind Kleinst- und Kleinunternehmen (Art 19 DSA), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw Jahresbilanz 10 Millionen Euro nicht übersteigt.^[18]

• Die Artikel 20-22 DSA enthalten Regelungen zum Umgang mit Meldungen und Beschwerden von Nutzern. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20 DSA). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21 DSA).^[8] Art 22 DSA regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 DSA vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
• Art 23 DSA enthält verpflichtende Mindestvorgaben zur Eindämmung von Missbrauch, wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
• Die Anbieter von Online-Plattformen treffen erweiterte Transparenzberichtspflichten (Art 24 DSA). So müssen zusätzlich zu den in Art 15 DSA genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.^[23] Darüber hinaus finden sich in Art 24 DSA noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
• Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter „dark patterns“ (Art 25 DSA). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3 DSA).^[23]
• Darüber hinaus normiert der DSA erweiterte Vorgaben zur Gestaltung der betroffenen Dienste^[23], wie etwa Transparenzvorgaben für Werbung (Art 26 DSA) und Empfehlungssysteme (Art 27 DSA) sowie einen weitreichenden Online-Schutz Minderjähriger (Art 28 DSA). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s DSA). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von Werbeschaltungen, die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
• Abschnitt 4 (Art 29-32 DSA) enthält ergänzende Bestimmungen für Transaktionsplattformen^[8], worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30 DSA) sowie rechtswidrige Dienste (Art 32 DSA) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.^[23] Dies soll im Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31 DSA). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.  

Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43)

Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33 DSA).

• Die Art 34 und 35 DSA enthalten spezifische Regelungen für Anbieter dieser Kategorie zur Bewertung und Minderung der von ihren Diensten ausgehenden Risiken, worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen.^[23] Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder die Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.^[28] Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer unabhängigen Prüfung unterziehen (Art 37 DSA). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.^[23]
• Der in Art 36 DSA vorgesehene Krisenreaktionsmechanismus erlaubt es der EU-Kommission auf Empfehlung des Gremiums^[29] im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.^[30]
• Die für Online-Plattformen geltenden Transparenzpflichten für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39 DSA) und die allgemeinen Transparenzpflichten erweitert (Art 42 DSA).^[8]
• Gemäß Art 40 DSA haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste Zugang zu Daten zu gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine Compliance-Abteilung einzurichten (Art 41 DSA) und eine jährliche Aufsichtsgebühr an die EU-Kommission zu entrichten (Art 43 DSA).  

Maßnahmen zur Selbstregulierung

Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.^[8] Dazu zählt etwa die Förderung der Ausarbeitung freiwilliger Verhaltenskodizes in den Artikeln 45 bis 47 DSA, die insbesondere Maßnahmen gegen rechtswidrige Inhalte, den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten.^[31] Zusätzlich wird die Ausarbeitung freiwilliger Krisenprotokolle empfohlen (Art 48 DSA). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um „soft law“ – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.^[8]    

Governance, Aufsicht und Durchsetzung

Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und Sanktionierung zuständig sind.

Koordinator für Digitale Dienste

Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.^[33] Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G), welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.

Folgende Befugnisse kommen der KommAustria als KDD gemäß Art 51 DSA zu:

1. Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
   • Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
   • Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
   • Aufforderung an Mitarbeiter, Erklärungen abzugeben
2. Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
   • Verpflichtungszusagen von Anbietern als bindend zu erklären
   • Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
   • Verhängung von Geldbußen und Zwangsgeld
   • Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
3. Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
   • Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
   • Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)

Des Weiteren hat der KDD folgende Aufgaben:

1. Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55 DSA)
   • Einschließlich der Zahl der eingegangenen Beschwerden nach Art 53 DSA und Übersicht über entsprechende Folgemaßnahmen
   • Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
   • Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 DSA sowie Angaben über die Befolgung dieser Anordnungen
2. Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57 DSA)
3. Grenzüberschreitende Zusammenarbeit (Art 58 DSA)
4. Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2 DSA)

Europäisches Gremium für digitale Dienste

Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der Koordinatoren für digitale Dienste für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.

Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.

Folgende Aufgaben kommen dem Gremium gemäß Art 63 DSA zu:

• Unterstützung der Koordinierung gemeinsamer Untersuchungen
• Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
• Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
• Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
• Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.

Europäische Kommission

Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:

• So ist die Kommission im Sinne des zweigeteilten Sanktionssystems des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen.
• Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
• Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
• Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
• Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das Gremium die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
• Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
• Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.

Ausgewählte Themen im Fokus

Dark patterns

Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sogenannten "dark patterns".^[34][35] Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.

ErwGr 67 DSA nennt weitere Beispiele:

• Einerseits ausbeuterische Gestaltungsmuster, mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
• Weiters Praktiken, die darin bestehen, einen Nutzer wiederholt aufzufordern, eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde (Nagging, Confirm Shaming).
• Die Gestaltung eines Verfahrens zur Stornierung eines Dienstes als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
• Dazu zählt, es unverhältnismäßig schwierig zu machen, Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
• Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
• Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden.

Die Kommission kann Leitlinien für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).

Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):

Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) oder der Richtlinie für unlautere Geschäftspraktiken (UGP-RL) fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.^[36]

Querverbindungen zum Digital Markets Act (DMA):

Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.^[37] Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).^[37] Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".^[37]

Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).^[37] Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.^[37]

Querverbindungen zum Artificial Intelligence Act (AIA):

Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, das sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA).

Rechtswidrige Inhalte

Ein Hauptzweck des DSA ist die Regulierung rechtswidriger Online-Inhalte durch die Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter, womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen Hate Speech soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt, etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:

• Datenschutzverletzungen (DSGVO, DSG)
• "Cyber Stalking" (§107a Abs 2 Z 2 StGB)
• "Cyber Mobbing" (§107c StGB)
• Kreditschädigung (§152 StGB)
• Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
• Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
• Verhetzung (§283 StGB)
• Straftatbestände des Verbotsgesetzes 1947
• Urheberrechtsverletzungen (UrhG)

Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten Haftungsprivilegien. Diesen zufolge haften Vermittlungsdiensteanbieter nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.

Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt gegen den Vermittlungsdienstanbieter erlassen können.^[38] Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen Koordinator für digitale Dienste zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für Auskunftsanordnungen nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.

Hostindiensteanbieter müssen des Weiteren nutzerfreundliche Meldesysteme zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:

• Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
• Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
• Name und E-Mail-Adresse der meldenden Person oder Einrichtung
• Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.

Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.

Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:

• Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
• Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
• Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
• Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
• Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1 DSA). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
• Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).  

Am 20. Jänner 2025 wurde der "freiwillige Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet+", der auf einem bereits 2016 angenommenen Verhaltenskodex beruht, gemäß Art 45 DSA in den Rechtsrahmen des DSA integriert und von Anbietern wie beispielsweise Facebook, TikTok, Snapchat, YouTube, LinkedIn, X, Instagram, etc. unterzeichnet.^[39] Der Verhaltenskodex+ enthält unter anderem Vorgaben für das Vorgehen gegen illegale Hassrede, Bestimmungen für die Überprüfung und mögliche Entfernung bzw Sperrung des Zugangs zu rechtswidrigen Inhalten sowie Regelungen bzgl Transparenz, Rechenschaftspflicht und Überwachung. Außerdem räumt der Verhaltenskodex+ der Kooperation mit Stakeholdern einen großen Stellenwert ein und beinhaltet ein Bekenntnis zur Förderung von Bewusstseinsbildung.

Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das DSA-Begleitgesetz (DSA-BegG) beschlossen (siehe nähere Informationen unter: "Österreichisches Recht - das DSA-Begleitgesetz"), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G), eine Reihe von Änderungen anderer Gesetze (KommAustria-Gesetz, E-Commerce-Gesetz, ABGB, UrhG, Mediengesetz, StPO, etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im E-Commerce-Gesetz (ECG). So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Werbeschaltungen

Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.^[40] Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen: das werbende bzw die Werbung finanzierende Unternehmen, Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und Hinweise, wie diese Parameter unter Umständen geändert werden können. Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.^[41]

Folgende Werbeschaltungen sind gemäß DSA verboten:

• Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.^[42]
• Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.^[43]

Transparenz der Empfehlungssysteme:

Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.^[44] Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.^[45] Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.^[46] Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.^[47]

Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:

Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.^[48] Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.^[49] In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.

Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.^[50] Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.

Forschungsdatenzugang

Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. Gemäß Art 40 DSA kann der Koordinator für digitale Dienste (KDD) unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur für dieses vom KDD beschieden werden.^[51]

Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:

• die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen,
• sie sind unabhängig von kommerziellen Interessen,
• ihr Antrag gibt Aufschluss über die Finanzierung der Forschung,
• sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben,
• sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist,
• sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen.

Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (Nähere Informationen dazu finden sich im Abschnitt über den Koordinator für digitale Dienste). Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR) und auf der Webseite der Europäischen Kommission gelistet.

Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.

In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Ein Entwurf für einen entsprechenden delegierten Rechtsakt befindet sich gerade in Ausarbeitung und dessen aktueller Status kann auf der offiziellen Webseite der Kommission nachverfolgt werden.

Verbraucherschutz und Rechtsbehelfe

In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c DSA jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.^[53] Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.^[54]

Konkrete Schutzvorschriften

Allgemeine Vorschriften

Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte Haftungsprivileg für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.^[55] Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.^[56]

Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren AGBs in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.^[57] Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.

Anbieter von Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.^[58] Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf außergerichtliche Streitbeilegung.^[59] Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von vertrauenswürdigen Hinweisgebern ("trusted flaggers") vorrangig und unverzüglich behandelt werden.^[60] Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung rechtswidriger Inhalte verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der Koordinator für digitale Dienste zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher^[61]:

• Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
• Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
• Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
• Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
• Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)^[62]

Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine Risikobewertung durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.^[63]

Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter freiwillige Verhaltenskodizes ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.

Besondere Vorschriften für Anbieter von Transaktionsplattformen

Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.

Einerseits verfolgt der DSA einen sogenannten "Know-your-Business-Customer"-Grundsatz^[56], wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.^[64] Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).

Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ("Konformität durch Technikgestaltung").^[65]

Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).^{[66] [56]}

Recht auf Information (Art 32 DSA): Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln, Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.

Rechtsbehelfe

• Beschwerderecht (Art 53 DSA): Die Nutzer von Vermittlungsdiensten haben das Recht, beim Koordinator für digitale Dienste des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet sie der Koordinator für digitale Dienste, der die Beschwerde erhält, an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
• Entschädigung (Art 54 DSA): Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind.

Verfahren nach dem DSA

Auf Profiling basierende Werbeschaltungen auf LinkedIn

Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen EDRi, Global Witness, Gesellschaft für Freiheitsrechte und Bits of Freedom an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.^[67] Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).

Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.^[68]

Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann hier nachgelesen werden.

Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr

Die chinesische Online-Plattform Temu, die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.^[69] Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "dark patterns" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen Koordinator für digitale Dienste.

Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:

• Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
• Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme ^[70]
• Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
• Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher

Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.

Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes.

Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste TikTok, YouTube und Snapchat.^[71] Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.^[72]

Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen

Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.^[73] Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.^[74] Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.^[75] Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.^[75]

Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:

• die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw automatisierte Ausnutzung des Dienstes
• die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte

Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Art 34 Abs 1, 34 Abs 2 und 35 Abs 1 DSA.

Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).

Synergien

Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).^[17] Im Folgenden findet sich eine partielle Darstellung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung von personenbezogenen Daten. Darunter sind gemäß Art 4 Abs 1 DSGVO all jene Informationen zu verstehen,

"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".

Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich Verantwortlicher (siehe Art 4 Abs 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.^[76]

Weiters kann der DSA als gesetzliche Vorgabe Rechtsgrundlage für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.^[17] Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.^[17]

Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu "dark patterns" ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen. Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO stehen "dark patterns" insbesondere den Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, den allgemeinen Datenverarbeitungsgrundsätzen nach Art 5 DSGVO sowie dem Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO) entgegen.^[17]

• Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (Vgl Art 4 Abs 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".^[17]
• Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12ff DSGVO ausüben zu können (zB das Recht auf Auskunft, Löschung, Berichtigung, etc.).^[17]
• Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und Designs zu verstehen sind.^[17]

Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von Profiling und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Abs 4 DSGVO. Demnach bezeichnet Profiling

"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".

Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:

• Art 26 Abs 3 DSA: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
• Art 28 Abs 2 DSA: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
• Art 38 DSA: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.

Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.^[17] Verletzungen der Bestimmungen lösen den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.^[17] Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.

Digital Markets Act (DMA)

Der DSA bildet zusammen mit dem Digital Markets Act (DMA) das Paket zum Gesetz über digitale Dienste der Europäischen Kommission und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" (Gatekeeper) auf dem Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.

Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen die sogenannte "Torwächter", worunter jene Plattformen zu verstehen sind, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.

Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw den von diesen ernannten Koordinatoren für digitale Dienste zuständig. Die Geldbußen für Verstöße richten sich nach dem weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie zB die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.

Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "dark patterns". Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführenden Praktiken.

Platform-to-Business-VO (P2B-VO)

Die Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten ("Platform-to-Business-VO" oder "P2B-VO") gilt bereits seit 2020 unmittelbar in der Union. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an gewerbliche Nutzer, verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.

Die P2B-VO gilt für Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen, die entweder in der Union niedergelassen sind oder ihre Dienste in der Union erbringen.^[77] Darunter fallen beispielsweise Online-Marktplätze (Amazon, Ebay, etc.), Buchungsportale, Preisvergleichsdienste, Suchmaschinen (Google, Bing, etc.) und soziale Medien, soweit sie eine gewerbliche Nutzung ermöglichen.^[78] Nicht in den Anwendungsbereich der Verordnung fallen hingegen Online-Zahlungsdienste, Werbebörsen oder Werbeinstrumente.^[78][79] Der Begriff des Online-Vermittlungsdienstes nach der P2B-VO erstreckt sich weitgehendst auf Online- und Transaktionsplattformen nach dem DSA und auch der Begriff der Online-Suchmaschine nach der P2B-VO ist fast deckungsgleich mit jenem der Online-Suchmaschine nach dem DSA.^[80] Somit fallen Anbieter von Online-Vermittlungsdiensten und -Suchmaschinen nach der P2B-VO in den meisten Fällen unter den Anwendungsbereich des DSA und unterliegen den darin normierten Sorgfaltspflichten, insbesondere jenen der Art 29ff DSA für Transaktionsplattformen und im Fall von Online-Suchmaschinen den erweiterten Sorgfaltspflichten der Art 33ff DSA, falls der Schwellenwert erfüllt wird, um als VLOSE eingestuft zu werden.

Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von AGBs, beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGBs sowie zur Suspendierung und Kündigung.^[17] Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.^[17] Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking (die Hervorhebung von Waren und Dienstleistungen in den Suchergebnissen oder Angeboten von Online-Diensten) relevant, wonach Anbieter von Online-Vermittlungsdiensten in ihren AGBs die Hauptparameter für das Ranking sowie deren Gewichtung darlegen müssen. Dies ähnelt den Bestimmungen zur Transparenz von Empfehlungssystemen gemäß Art 27 und 38 DSA und wirft die Frage auf, ob einer der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt.^[17] Hier gehen die Meinungen in der Literatur auseinander und während manche den Vorrang der P2B-VO gegenüber dem DSA annehmen, argumentieren andere für eine ergänzende Anwendung der P2B-VO, wonach deren Bestimmungen und Verpflichtungen (beispielsweise hinsichtlich der Algorithmentransparenz) Ergänzungen zu den Bestimmungen nach dem DSA darstellen und folglich sowohl die Vorgaben des DSA als auch jene der P2B-VO einzuhalten sind. Dies würde dazu führen, dass bei einem Verstoß gegen beispielsweise Transparenzvorgaben die Rechtsfolgen des DSA und der P2B-VO eröffnet sind. Die P2B-VO gehört jedenfalls zu jenen Rechtsakten, die gemäß Art 2 Abs 4 DSA von diesem unberührt bleiben und somit grundsätzlich Vorrang genießen.

Artificial Intelligence Act (AIA)

Der DSA zielt prinzipiell auf andere Regelungsbereiche als der Artificial Intelligence Act (AIA), dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.

Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.^[81] Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.^[81] Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.

Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).^[82] Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.^[82] Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.^[82]

Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:

Grundrechtsschutz

In Artikel 1 Absatz 1 DSA wird der Schutz der in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).^[84] Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:

• Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA).
• Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
• Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.^[8] Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.

Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:

• Die Charta der Grundrechte der Europäischen Union (EU GRC)
• Die Europäische Menschenrechtskonvention (EMRK)
• Die Richtlinie über die Rechte der Verbraucher
• Die UN-Konvention über die Rechte des Kindes (UN-Kinderrechtskonvention)
• Die UN-Behindertenrechtskonvention (UN-BRK)
• Die UN-Konvention zur Beseitigung jeder Form von Diskriminierung der Frau (CEDAW)
• Österreichische Rechtsakte:
  1. Bundes-Verfassungsgesetz (B-VG)
  2. Staatsgrundgesetz 1867 (StGG)
  3. Konsumentenschutzgesetz (KSchG)
  4. Datenschutzgesetz
  5. Gleichbehandlungsgesetz
  6. Barrierefreiheitsgesetz: Dieses ist ab 28. Juni 2025 anwendbar und legt unter anderem Verpflichtungen für Online-Dienste fest, barrierefreie Produkte und Dienstleistungen anzubieten (beispielsweise müssen Informationen zur Nutzung eines Produkts, das online angeboten wird, über mehr als einen sensorischen Kanal zur Verfügung gestellt werden und es werden besondere Anforderungen an die Barrierefreiheit von Webseiten und Online-Shops gestellt, wie etwa einfache Darstellungen, ausreichend große Schriftarten, etc.).^[85]

Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.^[86][87] Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.^[8] Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.^[8] Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.^[8][88]

Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.^[84]

Österreichisches Recht - das DSA-Begleitgesetz

Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das DSA-Begleitgesetz (DSA-BegG) beschlossen, welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G), eine Reihe von Änderungen anderer Gesetze (KommAustria-Gesetz, E-Commerce-Gesetz, ABGB, UrhG, Mediengesetz, StPO, Telekommunikationsgesetz 2021, etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Im Folgenden werden einige Änderungen durch das DSA-Begleitgesetz exemplarisch veranschaulicht.

Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G)

Mit dem KDD-G wird die nationale Aufsicht über die digitalen Dienste und die Funktion des Koordinators für digitale Dienste (KDD) als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm Art 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl §2 Abs 3 KDD-G)

• 

  die Zulassung bzw den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
• die Zuerkennung bzw den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
• die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
• Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
• die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.

Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl §4 Abs 1 KDD-G).

§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").

Das E-Commerce-Gesetz (ECG)

Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von rechtswidrigen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des E-Commerce-Gesetzes (ECG). So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.

Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.

Sonstige Änderungen durch das DSA-Begleitgesetz

• Allgemeines Bürgerliches Gesetzbuch (ABGB): In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.^[90]
• Urheberrechtsgesetz (UrhG): Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach §81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.^[90]
• Strafprozessordnung (StPO): Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.^[90]

Sanktionen

Der DSA sieht ein zweigeteiltes Sanktionssystem vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten Koordinatoren für digitale Dienste (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im Koordinator-für-digitale-Dienste-Gesetz (KDD-G) verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.^[91]

Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:

• Geldbußen bis zu 1% des weltweiten Jahresumsatzes des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.^[92] Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.^[93] Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4 DSA.^[94]
• Geldbußen bis zu 6% des weltweiten Jahresumsatzes des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.^[95]
• Zwangsgelder: max. 5% des durchschnittlichen weltweiten Tagesumsatzes.^[96] Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
• Einstweilige Maßnahmen: In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine prima facie Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.^[97]

Weiterführende Literatur

• Hofmann/Raue, Digital Services Act. Gesetz über digitale Dienste (2023).
• Kraul (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
• Mast/Kettemann/Dreyer/Schulz, DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024, iE).
• Müller-Terpitz/Köhler, Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
• Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).

Weiterführende Links

• https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses (Verzeichnis VLOPs und VLOSEs).
• https://www.rtr.at/medien/was_wir_tun/DigitaleDienste/Regelungen/zugang_zu_daten_fuer_die_forschung.de.html (Forschungsdatenzugang).
• https://digital-strategy.ec.europa.eu/de/library/implementing-regulation-laying-down-templates-concerning-transparency-reporting-obligations (Link zur Durchführungsverordnung zur Vereinheitlichung der Transparenzberichterstattung mit entsprechenden Musterformularen).
• https://www.consilium.europa.eu/de/infographics/digital-services-act/ (der DSA als Infographik).
• https://dscdb.edri.org/ (Datenbank der einzelnen Koordinatoren für digitale Dienste aller 27 EU-Mitgliedstaaten).
• https://merlin.obs.coe.int/article/10251 (Verhaltenskodex zur Bekämpfung von Desinformation inklusive Beschluss, diesen als freiwilligen Verhaltenskodex iSd Art 45 DSA anzuerkennen).

Referenzen