Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG
Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste
Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)
Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
Direkte Verknüpfung mit dem Digital Markets Act (DMA), da beide Regelwerke gemeinsam das Paket zum Gesetz über digitale Dienste der Europäischen Kommission bilden
Zweigeteiltes Sanktionssystem (Aufsicht über VLOPs und VLOSEs übernimmt EU-Kommission, alle anderen Vermittlungsdiensteanbieter unterliegen dem jeweiligen nationalen Koordinator für digitale Dienste
Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds
Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
Haftungsprivilegien: eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer
Querbezüge zur DSGVO, sobald personenbezogene Daten verarbeitet werden
Geldbußen bis zu 1% des weltweiten Jahresumsatzes des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen
Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
Vermittlungsdienste, die einen Dienst an der Informationsgesellschaft darstellen
Regelungen zu Governance, Aufsicht und Durchsetzung
Querbezüge zu verbraucherschutzrechtlichen Vorschriften und zur Marktüberwachung
Geldbußen bis zu 6% des weltweiten Jahresumsatzes des betreffenden Anbieters bei einem vorsätzlichen oder fahrlässigen Verstoß
Verwirklichung des Binnenmarktes
Klein- und Kleinstunternehmen sind von bestimmten Sorgfaltspflichten ausgenommen
Zentrale Inhalte: dark patterns, Werbeschaltungen, rechtswidrige Inhalte, Forschungsdatenzugang, Transparenzpflichten
Zwangsgelder: max. 5% des durchschnittlichen weltweiten Tagesumsatzes
Rechtssicherheit
Vollumfängliche zeitliche Anwendbarkeit: seit 17. Februar 2024
Schutzvorschriften für Verbraucher und Nutzer im Allgemeinen
Starke Grundrechtsbezüge (insb Recht auf Meinungs- und Informationsfreiheit, Nichtdiskriminierung, Datenschutz, etc.)
Einstweilige Maßnahmen: In dringenden Fällen kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen Anbieter von VLOPs und VLOSEs anordnen
Einführung
Paket zum Gesetz über digitale Dienste der Europäischen Kommission (c) Research Institute
Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten.[1] Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit, das Recht auf Nichtdiskriminierung sowie den Verbraucherschutz.[2] Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem Digital Markets Act (DMA) bildet er das Paket zum Gesetz über digitale Dienste der Europäischen Kommission mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.[3][4][5]
Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert[6]:
Die Erwägungsgründe sind dem eigentlichen Normtext vorgelagert und enthalten unverbindliche Erläuterungen, die bei der Bewertung der Bestimmungen, Zwecke und Ziele des DSA helfen sollen.
In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Begriffsbestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt.
Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.
Anwendungsbereich
Räumlich
Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sog. Marktortprinzip folgt und seinen Anwendungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.[3]
Sachlich
Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.[7]
Datenfluss bei den unterschiedlichen Arten der Vermittlungsdienste nach dem DSA (c) Research Institute
Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g):
Entweder erfolgt eine „reine Durchleitung“, wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise Internetzugangsprovider, der Betrieb eines WLAN-Netzwerks oder Internet-Sprachtelephonie.[7][8]
Oder es wird eine „Caching“-Leistung erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.[7]
Schließlich kann es sich auch um einen „Hosting"-Dienst handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.[7]
Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie „Online-Plattformen“ abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.[9] Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet[10], wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können (sog. "Transaktionsplattformen").[9]
Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sog. „sehr große Online-Plattformen“ (Very Large Online Platforms – VLOPs) und „sehr große Online-Suchmaschinen“ (Very Large Search Engines – VLOSEs) mit erheblicher Reichweite ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.[11]
VLOPs: Instagram, LinkedIn, booking.com, Temu, Wikipedia, Zalando, etc.[12]
Zusätzlich muss es sich bei dem Vermittlungsdienst um eine "Dienstleistung der Informationsgesellschaft" handeln, welche in der Regel vorliegt, sobald ein Dienst gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf eines Empfängers erbracht wird.[13] Somit muss die Tätigkeit wirtschaftlich ausgerichtet bzw. kostendeckend sein und darf nicht rein für gemeinnützige bzw. altruistische Zwecke erfolgen.[14] Der Begriff der Entgeltlichkeit ist im Zweifel jedoch weit auszulegen und die Vergütung für einen Dienst, den ein Anbieter im Rahmen seiner wirtschaftlichen Tätigkeit erbringt, muss nicht notwendigerweise von denjenigen bezahlt werden, denen der Dienst zugutekommt.[15] Außerdem darf es sich bei dem Dienst nicht um einen integralen Bestandteil einer Gesamtdienstleistung handeln, die eigenständig reguliert ist.[16]
Folgende Beispiele veranschaulichen den sachlichen Anwendungsbereich der Vorschriften des DSA:
Beispiele
Kostenfreier WLAN Zugang
WLAN-Dienste gelten als reine Durchleitungsdienste und somit als Vermittlungsdienste im Sinne des DSA. Dies umfasst auch kostenfreie WLAN-Netze unter bestimmten Voraussetzungen: So fallen beispielsweise werbefinanzierte Diensteanbieter in den Anwendungsbereich des DSA, da diese ihren Dienst zwar nicht direkt entgeltlich gegenüber Nutzern anbieten, sich allerdings auf andere Weise finanzieren und somit auf Gewinnerzielung bzw. Kostendeckung abzielen. Auch solche Leistungen, die zu Werbezwecken erbracht werden, gelten als entgeltlich. So kann der WLAN Zugang in einem Café, der vordergründig kostenlos angeboten wird, dennoch das Entgeltlichkeitserfordernis erfüllen und somit als Vermittlungsdienst nach dem DSA angesehen werden, da sich das Café über den Verkauf anderer Produkte finanziert.[8]
Taxi App
Im Falle einer Applikation, die Fahrgäste und Fahrtenanbieter zum Zwecke der Abwicklung einer Taxifahrt zusammenbringt, handelt es sich um keinen Vermittlungsdienst nach dem DSA, da es hier an dem Erfordernis der eigenständigen Leistung mangelt. Die App bildet vielmehr einen integralen Bestandteil einer Gesamtdienstleistung, nämlich einer Taxidienstleistung als Verkehrsdienstleistung.[16]
WLAN Netz einer Universität
Der Anwendungsfall eines WLAN Netzes, das Studierenden von der Universität zur Verfügung gestellt wird, gestaltet sich durchaus schwieriger. Die Tatbestandsmerkmale, auf die es in diesem Beispiel ankommt, sind einerseits die Entgeltlichkeit und andererseits die Eigenständigkeit der Dienstleistung.
Entgeltlichkeit: Das Erfordernis der Entgeltlichkeit ist im Zweifel weit auszulegen. Das WLAN wird den Studierenden zwar kostenfrei zur Verfügung gestellt, allerdings gilt der Grundsatz, dass das Entgelt nicht von denjenigen erbracht werden muss, denen die Dienstleistung zugute kommt bzw. sich nicht auf die Dienstleistung selbst beziehen muss. Daher könnte argumentiert werden, dass, da sich Universitäten aus anderen Mitteln finanzieren (private und staatliche Förderungen, Studienbeiträge, etc.) und keine gemeinnützigen Zwecke verfolgen, sondern auf Gewinnerzielung bzw. Kostendeckung ausgerichtet sind, ihre Tätigkeit entgeltlich erfolgt, was sich auch auf den WLAN Zugang als Nebenleistung erstreckt. Andererseits ist auch die Argumentation denkbar, dass dies nicht ausreicht, um bei der Nebenleistung des WLAN Zugangs Entgeltlichkeit anzunehmen. Ob in diesem Fall das Tatbestandsmerkmal der Entgeltlichkeit erfüllt ist, wird daher im Einzelfall zu prüfen sein.
Integraler Bestandteil einer Gesamtdienstleistung: Ob der WLAN Zugang eine eigenständige Dienstleistung oder vielmehr einen integralen Bestandteil der Universitätsdienstleistung darstellt, ist schwierig zu beurteilen und muss im Einzelfall geprüft werden.
Fazit: Dieses Beispiel kann an dieser Stelle nicht abschließend beurteilt werden und es wird im Einzelfall zu prüfen sein, ob der Anwendungsbereich des DSA eröffnet ist.
Blockchain
Blockchains werden grundsätzlich als Unterkategorie der sogenannten "Distributed-Ledger-Techniken" verstanden und zeichnen sich somit dadurch aus, dass sie Dienste ohne zentralen Intermediär darstellen. Da jedoch die Regelungen des DSA durchweg auf zentrale Diensteanbieter zugeschnitten sind, gestaltet sich eine Einordnung der Blockchain-Technologie unter die Bestimmungen des DSA als schwierig. In Teilen der Literatur wird die These vertreten, einzelnen Teilnehmenden als Infrastrukturbetreiber (Nodes bzw. Netzwerkknoten) mangels Kontrolle über die automatisch verbreiteten Inhalte zumindest Haftungsprivilegien zu gewähren.[17] Jedoch die als Teil der Sorgfaltspflichten des DSA einzurichtenden Verfahren sind in dezentralen Systemen oftmals schwer bis gar nicht umsetzbar, beispielsweise im Falle von public permissionless Distributed-Ledger-Systemen, in denen die Einwirkung auf Inhalte durch einzelne Teilnehmende nicht möglich ist.[17] Ebensowenig im Fall von einzelnen Server-Instanzen sonstiger dezentraler Netzwerke, bei denen teilweise die Ansicht vertreten wird, dass sie zumindest nicht den Pflichten nach den Art 20ff DSA unterliegen (sofern sie überhaupt die Schwelle von Klein- und Kleinstunternehmen überschreiten).[17] Außerdem wird argumentiert, dass die reine Teilnahme an dezentralen Netzwerken erst recht keinen Betrieb eiens Vermittlungsdienstes darstellt.[17]
Ausnahmen
Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro[18] sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, die zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder die Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.
Zeitlich
Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.[19]
Zentrale Inhalte
Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.[20] Während er einerseits Haftungsprivilegien für Anbieter digitaler Dienste normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte Werbeeinschaltungen an Minderjährige oder die Verwendung von manipulativen Taktiken wie "dark patterns“) und bestimmte Verpflichtungen im Umgang mit illegalen Inhalten. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, welche unter anderem nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit umfassen.[8]
Haftungsprivilegien
Die Bestimmungen in Kapitel II zur „Haftung der Anbieter von Vermittlungsdiensten“ begründen keine Anbieterhaftung, sondern greifen jene Haftungsprivilegien auf, die bisher in der E-Commerce-RL geregelt waren und nun aus dieser gestrichen wurden.[21] Während die unbedingte Haftung für eigene Inhalte als Selbstverständlichkeit erscheint, möchte der DSA eine eingeschränkte Verantwortlichkeit der Vermittlungsdienste für die Inhalte ihrer Nutzer normieren.[8]
In den Art 4-6 findet sich eine bedingte Haftungsbefreiung für Vermittlungsdienste, wonach diese keine Haftung für Inhalte Dritter trifft, sofern bestimmte Bedingungen eingehalten werden. Für die unterschiedlichen Arten der Vermittlungsdienste gelten jedoch Besonderheiten. Anbieter, deren Tätigkeiten in der reinen Durchleitung bestehen, sind von der Haftung ausgenommen, sofern sie in keiner Weise mit der übermittelten oder abgerufenen Information in Verbindung stehen (Art 4 DSA). Caching-Dienste haften nicht für die Inhalte Dritter, sofern sie die Informationen nicht verändern, die Bedingungen für den Zugang zu den Informationen berücksichtigen sowie die in der Branche üblichen Regeln für die Aktualisierung der Informationen beachten (Art 5 DSA). Sie trifft allerdings eine zügige Handlungspflicht zum Sperren und Entfernen von Inhalten, sobald Kenntnis darüber besteht, dass diese Informationen aus dem Netz entfernt wurden, der Zugang zu ihnen gesperrt wurde oder die Behörden deren Sperrung bzw. Entfernung angeordnet haben (Art 5 DSA). Hostingdiensteanbieter müssen zudem bei Kenntnis über rechtswidrige Inhalte diese zügig sperren oder entfernen (Art 6). Diese Ausnahmen von der Haftungsbefreiung sind dem Umstand geschuldet, dass diese Online-Dienste zunehmend für die Speicherung und Verbreitung rechtswidriger Inhalte missbraucht werden. Dieser Entwicklung möchte man entgegenwirken und gleichzeitig die Diensteanbieter nicht zu Mittätern durch Unterlassung werden lassen.[22] Das Vorliegen einer tatsächlichen Kenntnis ist jedenfalls dann gegeben, wenn der Diensteanbieter „sicheres Wissen“ über rechtswidrige Inhalte hat – eine bloße Möglichkeit oder Wahrscheinlichkeit reichen nicht aus.[22] Eine Kenntniserlangung aufgrund eines Hinweises ist dann als „tatsächliche Kenntnis“ zu werten, wenn der Hinweis so konkret ist, dass er es dem Anbieter die Feststellung eines rechtswidrigen Inhalts ohne eingehende rechtliche Prüfung ermöglicht (siehe dazu auch die Ausführungen zum Melde- und Abhilfeverfahren unter "Sorgfaltspflichten von Hostingdiensteanbietern").
Artikel 7 konkretisiert diese Haftungsprivilegierungen mit einer „Gute-Samariter-Regelung“, laut der die Haftungsausschlüsse auch dann für Diensteanbieter gelten, wenn diese auf Eigeninitiative freiwillige Untersuchungen in Bezug auf rechtswidrige Inhalte durchführen.[8] Diese Regelung soll einer bewussten Untätigkeit der Anbieter vorbeugen, um möglichst keine Kenntnis von rechtswidrigen Inhalten zu erlangen, die eine Haftung begründen könnten.
Die Artikel 8-9 enthalten verfahrensrechtliche Vorgaben.[8] In Artikel 8 wird klargestellt, dass Diensteanbieter keine allgemeine Verpflichtung zur Überwachung und aktiven Nachforschung der von ihnen übermittelten oder gespeicherten Informationen trifft. Sie müssen auch nicht aktiv nach Umständen forschen, die auf rechtswidrige Tätigkeiten hindeuten. Außerdem regelt der DSA in Art 9 den Umgang mit Anordnungen von Behörden zum Vorgehen gegen rechtswidrige Inhalte.
Abgestufter Pflichtenkatalog
Kapitel III (Art 11-43) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie(n) erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.
Der abgestufte Pflichtenkatalog nach dem Digital Services Act (c) Research Institute
Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15)
Die allgemeinen Verpflichtungen in Abschnitt 1 (Art 11-15) treffen alle Anbieter von Vermittlungsdiensten.
Diese beinhalten einerseits eine Harmonisierung der Kommunikationsmöglichkeiten von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12)[8] sowie eines gesetzlichen Vertreters, sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.[23]
In Art 14 normiert der DSA, dass in den Allgemeinen Geschäftsbedingungen der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen Transparenzbericht zu veröffentlichen (Art 15), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Im November 2024 hat die Europäische Kommission eine Durchführungsverordnung angenommen, in der die Vorschriften für das Format und den Inhalt der Transparenzberichterstattung vereinheitlicht werden und entsprechende Muster enthalten sind, denen sich die Vermittlungsdiensteanbieter bedienen sollen.[24] Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.
Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)
Abschnitt 2 (Art 16-18) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:
Zunächst haben sämtliche Hostingdiensteanbieter ein Melde- und Abhilfeverfahren einzurichten (Art 16), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.[23] Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift. Sobald die gemeldeten Inhalte geprüft und als rechtswidrig befunden werden, sind zeitnah Maßnahmen zu ergreifen (siehe sogleich Art 17).
Sofern ein Hostingdiensteanbieter Maßnahmen nach einer Meldung gemäß Art 16 ergreift, hat er diese den betroffenen Nutzern klar und spezifisch zu begründen (Art 17). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten. Weiters hat die Begründung Informationen über die getroffene Entscheidung, die Tatsachengrundlage für die Entscheidung sowie einen Bezug auf die Rechtsgrundlage zu enthalten. Anbieter von Online-Plattformen müssen die Entscheidung sowie die diesbezügliche Begründungserklärung weiters unverzüglich und in anonymisierter Form an die Europäische Kommission für die Aufnahme in eine öffentlich zugängliche Datenbank übermitteln (Vgl Art 24 Abs 5 DSA).[25]
Der Hostingdiensteanbieter ist verpflichtet, bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw. begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat. Dies betrifft beispielsweise jene Straftaten, die in den Anwendungsbereich der Menschenhandel-RL, Kinderpornografie-RL und der Terrorismusbekämpfungs-RL fallen.[26]
Erweiterter Pflichtenkatalog für Online-Plattformen und Transaktionsplattformen (Art 19-32)
Anschließend regelt Abschnitt 3 (Art 19-32) weitergehende Sorgfaltspflichten für Anbieter von Online-Plattformen sowie Plattformen und Diensten, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Explizit ausgenommen sind Kleinst- und Kleinunternehmen (Art 19), worunter Unternehmen fallen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 10 Millionen Euro nicht übersteigt.[18]
Die Artikel 20-22 enthalten Regelungen zum Umgang mit Meldungen und Beschwerden von Nutzern. Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und dieses Nutzern zur Verfügung stellen (Art 20). In weiterer Folge haben Nutzer den Anspruch auf außergerichtliche Streitbeilegung (Art 21).[8] Art 22 regelt den Schutz von vertrauenswürdigen Hinweisgebern, deren Meldungen beispielsweise im Rahmen des Melde- und Abhilfeverfahrens gemäß Art 16 vorrangig zu behandeln und unverzüglich zu bearbeiten sind.
Art 23 enthält verpflichtende Mindestvorgaben zur Eindämmung von Missbrauch, wie beispielsweise die Aussetzung der Erbringung ihrer Dienste oder die Aussetzung der Bearbeitung von häufigen und offensichtlich unbegründeten Meldungen und Beschwerden.
Die Anbieter von Online-Plattformen treffen erweiterte Transparenzberichtspflichten (Art 24). So müssen zusätzlich zu den in Art 15 genannten Informationen Angaben über die Streitigkeiten vor außergerichtlichen Streitbeilegungsstellen und über Maßnahmen wegen missbräuchlicher Verwendung gemacht werden.[23] Darüber hinaus finden sich in Art 24 noch Regelungen, welche Angaben an den Koordinator für digitale Dienste und die EU-Kommission übermittelt werden müssen (beispielsweise die anonymisierten Entscheidungen und Begründungserklärungen gemäß Art 17 DSA).
Anbieter von Online-Plattformen unterliegen einem Verbot des Einsatzes sogenannter „dark patterns“ (Art 25). Dies bedeutet, dass ihre Online-Schnittstellen nicht derart konzipiert sein dürfen, dass Nutzer getäuscht, manipuliert oder in ihrer freien Entscheidungsfindung maßgeblich beeinträchtigt werden. Beispielhaft als „dark patterns“ genannt sind die stärkere Hervorhebung von Auswahlmöglichkeiten, wiederholte Aufforderungen, eine Auswahl zu treffen, obwohl der Nutzer bereits eine Auswahl getroffen hat, sowie ein schwierigeres Verfahren zur Beendigung des Dienstes als zur Anmeldung bei diesem Dienst (Art 25 Abs 3).[23]
Darüber hinaus normiert der DSA erweiterte Vorgaben zur Gestaltung der betroffenen Dienste[23], wie etwa Transparenzvorgaben für Werbung (Art 26) und Empfehlungssysteme (Art 27) sowie einen weitreichenden Online-Schutz Minderjähriger (Art 28). Nutzer müssen erkennen können, dass es sich bei bestimmten Informationen um Werbung handelt, welches Unternehmen die Werbeeinschaltung finanziert und nach welchen Parametern die Zielgruppe der Werbung bestimmt wird. Nutzer sollen die Möglichkeit erhalten, einen bestimmten Inhalt als kommerzielle Werbeschaltung zu kennzeichnen, damit der Inhalt auch für andere Nutzer in Echtzeit als solche erkennbar wird. Ähnliches gilt für Empfehlungssysteme, worunter ein vollständig oder teilweise automatisiertes System zu verstehen ist, das von einer Online-Plattform verwendet wird, um den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren (Art 3 lit s). Anbieter, die solche Empfehlungssysteme verwenden, müssen deren wichtigste Parameter in ihren Allgemeinen Geschäftsbedingungen transparent und leicht verständlich offenlegen. Ist die Online-Plattform für Minderjährige zugänglich, so müssen deren Privatsphäre und Sicherheit in einem hohen Maß geschützt werden und es besteht ein Verbot von Werbeschaltungen, die basierend auf Profiling unter Verwendung personenbezogener Daten geschalten werden.
Abschnitt 4 (Art 29-32) enthält ergänzende Bestimmungen für Transaktionsplattformen[8], worunter Plattformen zu verstehen sind, auf denen der Abschluss von Fernabsatzverträgen ermöglicht wird. Auch von diesen Bestimmungen sind Klein- und Kleinstunternehmen ausgenommen. Diese erweiterten Regelungen zielen darauf ab, dass Verbraucher wesentliche Informationen über ihren Vertragspartner (Art 30) sowie rechtswidrige Dienste (Art 32) erhalten, wodurch ein sicheres und transparentes Online-Umfeld geschaffen werden soll.[23] Dies soll in Einklang mit dem Grundsatz der Konformität durch Technikgestaltung („law-by-design“) ermöglicht werden, wonach Anbieter ihre Online-Schnittstelle so zu konzipieren haben, dass Unternehmen diesen Verpflichtungen auch nachkommen können (Art 31). Den Anbieter trifft weiters eine Nachforschungspflicht zur Verlässlichkeit und Vollständigkeit der von den Unternehmen bereitgestellten Angaben, die unter anderem deren Namen, Anschrift, Telephonnummer, E-Mail-Adresse, Angaben zum Zahlungskonto, Handelsregisternummer und eine Selbstbescheinigung beinhalten müssen.
Abgestufte Checkliste der anwendbaren Sorgfaltspflichten auf die verschiedenen Vermittlungsdiensteanbieter (c) Research Institute in Ergänzung der Abbildung von Noerr[27]
Zusätzliche Verpflichtungen für Anbieter von sehr großen Online-Plattformen und -Suchmaschinen (Art 33-43)
Den strengsten Pflichtenkatalog sieht der DSA in Abschnitt 5 (Art 33-43) für Anbieter von sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs) vor. Reguliert wird der Umgang mit systemischen Risiken und die Benennung einer Online-Plattform oder -Suchmaschine als VLOP bzw. VLOSE erfolgt durch einen Benennungsbeschluss der EU-Kommission (Art 33).
Die Art 34 und 35 enthalten spezifische Regelungen für Anbieter dieser Kategorie zur Bewertung und Minderung der von ihren Diensten ausgehenden Risiken, worunter die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf öffentliche Debatten, Wahlprozesse, die öffentliche Sicherheit sowie auf den Schutz der öffentlichen Gesundheit oder von Minderjährigen fallen.[23] Als Risikominderungsmaßnahmen nennt der DSA etwa die Umgestaltung des Dienstes, die Anpassung der Inhaltsmoderation, die Setzung von Sensibilisierungsmaßnahmen, die Stärkung interner Prozesse oder Anpassung von Werbe- und Empfehlungssystemen. Die EU-Kommission ist berechtigt, Leitlinien zu Risikominderungsmaßnahmen herauszugeben, was sie beispielsweise in Bezug auf die Minderung systemischer Risiken für Wahlprozesse getan hat.[28] Sehr große Online-Plattformen und -Suchmaschinen müssen sich auch jährlich im Hinblick auf die Einhaltung ihrer Verpflichtungen auf eigene Kosten einer unabhängigen Prüfung unterziehen (Art 37). Dabei wird die Einhaltung der Sorgfaltspflichten der verschiedenen Stufen des DSA sowie von Verpflichtungszusagen auf Grundlage von Verhaltenskodizes nach Art 45 und 46 DSA und Krisenprotokollen nach Art 48 DSA geprüft.[23]
Der in Art 36 vorgesehene Krisenreaktionsmechanismus erlaubt es der EU-Kommission auf Empfehlung des Gremiums[29] im Krisenfall einen Beschluss zu fassen, der bestimmte Maßnahmen vorsieht, die Anbieter ergreifen müssen. Ein Krisenfall liegt vor, sobald außergewöhnliche Umstände eintreten, welche die öffentliche Sicherheit oder öffentliche Gesundheit in schwerwiegender Weise bedrohen, wie beispielsweise bewaffnete Konflikte, terroristische Handlungen, Naturkatastrophen oder Pandemien.[30]
Die für Online-Plattformen geltenden Transparenzpflichten für Online-Werbung und Empfehlungssysteme werden verschärft (Art 38-39) und die allgemeinen Transparenzpflichten erweitert (Art 42).[8]
Gemäß Art 40 haben Anbieter dieser Kategorie dem Koordinator für digitale Dienste Zugang zu Daten gewähren, damit dieser die Einhaltung des DSA durch diese kontrollieren kann. Anbieter dieser Kategorie haben überdies eine Compliance-Abteilung einzurichten (Art 41) und eine jährliche Aufsichtsgebühr an die EU-Kommission zu entrichten (Art 43).
Maßnahmen zur Selbstregulierung
Abschnitt 6 steht unter der Überschrift „Sonstige Bestimmungen über Sorgfaltspflichten“ und enthält Maßnahmen zur Selbstregulierung.[8] Dazu zählt etwa die Förderung der Ausarbeitung freiwilliger Verhaltenskodizes in den Artikeln 45 bis 47, die insbesondere Maßnahmen gegen rechtswidrige Inhalte, den Schutz personenbezogener Daten, die Bekämpfung systemischer Risiken, die Regulierung von Online-Werbung und die Sicherstellung von barrierefreien Diensten zum Gegenstand haben sollten. Zusätzlich wird die Ausarbeitung freiwilliger Krisenprotokolle empfohlen (Art 48). Zwar handelt es sich bei diesen Maßnahmen zur Selbstregulierung um „soft law“ – also nicht um zwingendes Recht –, allerdings dienen diese der Konkretisierung der teilweise nicht im Detail ausgestalteten Sorgfaltspflichten und sollen deren Einhaltung erleichtern.[8]
Governance, Aufsicht und Durchsetzung
Die Governance-Struktur und Organe nach dem Digital Services Act (c) Research Institute in Ergänzung der Abbildung von BVDW[31]
Der DSA sieht einerseits die Einrichtung neuer Stellen vor, die mit seiner Umsetzung und Durchsetzung betraut werden. Andererseits räumt er bereits bestehenden Organen und Einrichtungen bestimmte Befugnisse ein, damit diese die Einhaltung der Bestimmungen des DSA überwachen bzw. durchsetzen können. Außerdem beinhaltet er ein zweigeteiltes Sanktionssystem, wonach je nach Größe und Einfluss des Vermittlungsdiensteanbieters unterschiedliche Einrichtungen für dessen Kontrolle und Sanktionierung zuständig sind (Für mehr Details siehe unten der Abschnitt "Sanktionen").
Koordinator für Digitale Dienste
Die EU-Mitgliedstaaten haben jeweils eine oder mehrere Behörden zu benennen, die für die Beaufsichtigung der Vermittlungsdiensteanbieter zuständig sind (Art 49 Abs 1 DSA). Eine dieser Behörden ist als "Koordinator für digitale Dienste" (KDD) zu benennen und für alle Fragen im Zusammenhang mit der Überwachung und Durchsetzung des DSA in dem Mitgliedstaat zuständig (Art 49 Abs 2 DSA). In Österreich wurde die Kommunikationsbehörde Austria ("KommAustria") als KDD benannt. Dabei handelt es sich um eine unabhängige und weisungsfreie Behörde, die für Regulierungsaufgaben im Bereich der elektronischen Audiomedien und elektronischen audiovisuellen Medien einschließlich der Aufsicht über den Österreichischen Rundfunk (ORF) und die Förderungsverwaltung für Medien zuständig ist.[32] Die entsprechende Rechtsgrundlage für die Benennung der KommAustria als KDD im Sinne des DSA bildet das "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G), welches am 17. Februar 2024 in Kraft trat und die bisherige nationale Regelung, das Kommunikationsplattformen-Gesetz (KoPl-G), ablöste.
Folgende Befugnisse kommen der KommAustria als KDD gemäß Art 51 DSA zu:
Untersuchungsbefugnisse in Bezug auf Anbieter von Vermittlungsdiensten:
Befugnis, von diesen und allen anderen Personen, die Kenntnis von einem DSA-Verstoß haben, die Übermittlung von Informationen zu verlangen
Nachprüfungen in gewerblichen Räumlichkeiten vorzunehmen oder zuständige Behörden dazu aufzufordern
Aufforderung an Mitarbeiter, Erklärungen abzugeben
Durchsetzungsbefugnisse gegen Anbieter von Vermittlungsdiensten:
Verpflichtungszusagen von Anbietern als bindend zu erklären
Anordnung der Einstellung von Zuwiderhandlungen und gegebenenfalls Verhängung von Abhilfemaßnahmen
Verhängung von Geldbußen und Zwangsgeld
Ergreifung von einstweiligen Maßnahmen zur Vermeidung der Gefahr eines schwerwiegenden Schadens
Weitergehende Befugnisse (sofern bisherige Maßnahmen bei Zuwiderhandlung nicht greifen):
Folgendes vom Leitungsorgan des betroffenen Anbieters zu verlangen: Prüfung der Lage, Vorlage eines Aktionsplans mit Maßnahmen zur Einstellung der Zuwiderhandlung
Vorschlag der Nutzungseinschränkung der Dienste an zuständige Justizbehörde (gilt grundsätzlich für 4 Wochen, verlängerbar)
Des Weiteren hat der KDD folgende Aufgaben:
Übermittlung von Jahresberichten über seine Tätigkeit an Kommission und Gremium (Art 55)
Einschließlich der Zahl der eingegangenen Beschwerden nach Art 53 und Übersicht über entsprechende Folgemaßnahmen
Veröffentlichungspflicht für Tätigkeitsberichte in maschinenlesbarem Format
Einschließlich Anzahl und Gegenstand der Anordnungen zum Vorgehen gegen rechtswidrige Inhalte und Auskunftsanordnungen gemäß Art 9 und 10 sowie Angaben über die Befolgung dieser Anordnungen
Gegenseitige Amtshilfe und enge Zusammenarbeit mit Kommission (Art 57)
Grenzüberschreitende Zusammenarbeit (Art 58)
Aufforderung an Kommission im Rahmen des Informationsaustauschsystems nach Art 85, einen potentiellen Verstoß gegen den DSA durch VLOPs und VLOSEs zu prüfen (Art 65 Abs 2)
Europäisches Gremium für digitale Dienste
Das Europäische Gremium für digitale Dienste ("Gremium") ist eine unabhängige Beratergruppe der Koordinatoren für digitale Dienste für die Beaufsichtigung der Anbieter von Vermittlungsdiensten (Art 61ff DSA). Es setzt sich aus hochrangigen Beamten als Vertreter der nationalen KDDs zusammen und die Kommission hat den Vorsitz inne. Bei Abstimmungen verfügt jeder Mitgliedstaat über eine Stimme, wobei der Kommission kein Stimmrecht zukommt.
Das Ziel des Gremiums ist es, einen Beitrag zur einheitlichen Anwendung des DSA und zur Zusammenarbeit der KDDs zu leisten und die KDDs sowie die Kommission bei der Beaufsichtigung von VLOPs/VLOSEs zu unterstützen. Außerdem obliegt dem Gremium die Koordinierung und Mitwirkung an den Leitlinien und Analysen der Kommission, der KDDs und anderer zuständiger Behörden.
Folgende Aufgaben kommen dem Gremium gemäß Art 63 DSA zu:
Unterstützung der Koordinierung gemeinsamer Untersuchungen
Unterstützung der zuständigen Behörden bei der Analyse der Berichte und Ergebnisse von Prüfungen von VLOPs und VLOSEs
Abgabe von Stellungnahmen, Empfehlungen und Ratschlägen an KDDs
Beratung der Kommission hinsichtlich Maßnahmen gegen VLOPs und VLOSEs und Abgabe von Stellungnahmen
Unterstützung und Förderung der Entwicklung und Umsetzung europäischer Normen, Leitlinien, Berichte, Vorlagen und Verhaltenskodizes in Zusammenarbeit mit den einschlägigen Interessenträgern, u. a. durch Abgabe von Stellungnahmen, sowie Bestimmung neu auftretender Fragen in Bezug auf Angelegenheiten, die in den Anwendungsbereich des DSA fallen.
Europäische Kommission
Der DSA verfolgt den Ansatz, dass die grundsätzlichen Befugnisse zur Überwachung und Durchsetzung dieses Regelwerks jenem Mitgliedstaat obliegen, in dem sich die Hauptniederlassung des Vermittlungsdiensteanbieters befindet (Art 56 Abs 1 DSA). Von diesem Grundsatz bestehen jedoch einige Ausnahmen, nach denen der Kommission in gewissen Fällen ausschließliche Durchsetzungs- und Überwachungsbefugnisse zukommen:
So ist die Kommission im Sinne des zweigeteilten Sanktionssystems des DSA für die Überwachung von VLOPs und VLOSEs zuständig (Art 56 Abs 2 und 3 iVm Art 72 DSA) und ihr kommt die Befugnis zu, gegen diese Beschlüsse wegen Nichteinhaltung des DSA zu erlassen (Art 73 DSA) sowie Geldbußen (Art 74 DSA) und Zwangsgelder (Art 76 DSA) zu verhängen. Näheres dazu unten in dem Abschnitt "Sanktionen".
Die Kommission kann weiters Verfahren gegen VLOPs und VLOSEs wegen Nichteinhaltung der Vorschriften des DSA oder zur Verhängung von Geldbußen einleiten (Art 66 DSA).
Bei mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA durch Anbieter von VLOPs oder VLOSEs ist die Kommission befugt, von den betreffenden Anbietern Auskunft und die Übermittlung der relevanten Informationen zu verlangen (Art 67 DSA) und Nachprüfungen vorzunehmen (Art 69 DSA). Dabei hat die Kommission dem betreffenden Anbieter die Rechtsgrundlage und den Zweck des Auskunftsverlangens mitzuteilen.
Der Kommission kommt weiters im Rahmen einer Untersuchung der mutmaßlichen Zuwiderhandlung die Befugnis zu, Befragungen durchzuführen und Aussagen aufzunehmen (Art 68 DSA).
Die Kommission hat außerdem subsidiäre Zuständigkeiten in Bezug auf gemeinsame Untersuchungen (Art 60 Abs 3 iVm Art 59 DSA). Diese obliegen grundsätzlich dem KDD, doch unter gewissen Voraussetzungen kann das Gremium die Kommission mit der Angelegenheit befassen, sofern etwa der KDD seinen Standpunkt nicht einbringt, das Gremium mit diesem nicht übereinstimmt oder der KDD es verabsäumt hat, eine gemeinsame Untersuchung unverzüglich einzuleiten.
Darüber hinaus kann die Kommission Durchführungsrechtsakte zu den praktischen Modalitäten von Verfahren und Anhörungen erlassen (Art 83 DSA).
Die Kommission ist außerdem dafür zuständig, ein zuverlässiges und sicheres Informationsaustauschsystem für die Kommunikation zwischen den KDDs, dem Gremium und ihr selbst zu errichten und zu pflegen (Art 85 DSA). Dieses ist von den genannten Akteuren für alle Mitteilungen nach dem DSA zu nutzen.
Ausgewählte Themen im Fokus
Dark patterns
Dimensionen von Dark patterns nach dem Digital Services Act
Teil des erweiterten Pflichtenkatalogs für Online-Plattformen und Transaktionsplattformen ist das Verbot von sog. "dark patterns".[33][34] Demnach dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden. Dies bedeutet ein Verbot von irreführenden Oberflächengestaltungen und Designmustern für Online-Plattformen. Darunter würde beispielsweise bei geforderten Einwilligungen die Nutzung von grauen, unscheinbaren Widersprechen-Schaltflächen fallen, während die Akzeptieren-Schaltflächen grün eingefärbt sind und deutlich hervorstechen.
ErwGr 67 DSA nennt weitere Beispiele:
Einerseits ausbeuterische Gestaltungsmuster, mit denen die Nutzer zu Handlungen verleitet werden sollen, die dem Anbieter von Online-Plattformen zugutekommen, aber möglicherweise nicht im Interesse der Nutzer sind, und bei denen die Auswahlmöglichkeiten in einer nicht neutralen Weise präsentiert werden, etwa indem bestimmte Auswahlmöglichkeiten durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden, wenn die Nutzer aufgefordert werden, eine Auswahl zu treffen.
Weiters Praktiken, die darin bestehen, einen Nutzer wiederholt aufzufordern, eine Auswahl zu treffen, wenn diese Auswahl bereits getroffen wurde (Nagging, Confirm Shaming).
Die Gestaltung eines Verfahrens zur Stornierung eines Dienstes als erheblich umständlicher als die entsprechende Anmeldung oder die schwierigere und zeitaufwendigere Gestaltung bestimmter Wahlmöglichkeiten im Vergleich zu anderen.
Dazu zählt, es unverhältnismäßig schwierig zu machen, Käufe abzubrechen oder sich von einer bestimmten Online-Plattform abzumelden, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglicht, und die Nutzer in die Irre zu führen, indem sie zu Entscheidungen bezüglich Transaktionen verleitet werden.
Ferner die unverhältnismäßige Beeinflussung der Entscheidungsfindung der Nutzer durch Standardeinstellungen, die sehr schwer zu ändern sind, wodurch die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer verzerrt und beeinträchtigt werden.
Gewöhnliche Werbeschaltungen sollten nicht als "dark patterns" gesehen werden.
Die Kommission kann Leitlinien für die Anwendung dieser Vorschrift auf eine bestimmte Praxis herausgeben, insbesondere in Bezug darauf, ob bestimmte Auswahlmöglichkeiten stärker hervorgehoben werden, wenn der Nutzer eine Entscheidung treffen muss, dass der Nutzer wiederholt dazu aufgefordert wird, eine Auswahl zu treffen, obwohl er bereits eine Auswahl getroffen hat und falls das Verfahren zur Beendigung eines Dienstes schwieriger als das Verfahren zur Anmeldung bei diesem Dienst gestaltet wird (Art 25 Abs 3 DSA).
Querverbindungen zur Datenschutz-Grundverordnung (DSGVO):
Gemäß Art 25 Abs 2 DSA gilt das "dark patterns"-Verbot nicht für Praktiken, die ohnehin entweder in den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) oder der Richtlinie für unlautere Geschäftspraktiken (UGP-RL) fallen. Der Anwendungsbereich von Art 25 DSA bleibt somit auf Fälle beschränkt, in denen die DSGVO und die UGP-RL nicht greifen. Ein Beispiel aus der DSGVO, das die Anwendbarkeit von Art 25 DSA ausschließen würde, wäre ein Verstoß gegen die datenschutzrechtlichen Grundsätze einer gültigen Einwilligung gemäß Art 4 Z 11 iVm Art 7 Abs 4 DSGVO.[35]
Auch der DMA enthält Bestimmungen, die im weitesten Sinn auf ein Verbot von "dark patterns" abzielen. Die Art 5-7 DMA sehen diesbezüglich spezifische Schranken für "Gatekeeper" (Torwächter) vor, wie beispielsweise ein Verbot der wiederholten Aufforderung zur Einwilligung innerhalb eines bestimmten Zeitraums gemäß Art 5 Abs 2 DMA. Diese Praktik wird auch als "Nagging" bezeichnet und zeichnet sich dadurch aus, bereits vom Nutzer getroffene Entscheidungen nicht zu respektieren und durch sich häufig wiederholende erneute Anfragen faktisch zu missachten.[36] Weiters sieht der DMA ein sog. "Kopplungsverbot" vor, wonach der Torwächter seine Benutzeroberfläche nicht so gestalten darf, dass der Nutzer seinen Dienst nur über den Umweg eines anderen anmeldepflichtigen Dienstes erreichen kann (Vgl Art 5 Abs 8 DMA).[36] Dieses Phänomen ist auch als "Forced-Enrollment-Pattern" bekannt und zählt im weitesten Sinn ebenfalls zu den "dark patterns".[36]
Ebenso normiert der DMA, dass weder die Bedingungen oder die Qualität der zentralen Plattformdienste für gewerbliche Nutzer oder Endnutzer, die von den in den Artikeln 5, 6 und 7 festgelegten Rechten bzw Möglichkeiten Gebrauch machen, verschlechtert werden dürfen noch die Ausübung dieser Rechte bzw. Möglichkeiten übermäßig erschwert werden darf (Vgl Art 13 Abs 6 DMA). Dies beinhaltet insbesondere ein Verbot für Gatekeeper, nicht-neutrale Wahlmöglichkeiten an Nutzer anzubieten oder deren Autonomie, Entscheidungsfreiheit oder freie Auswahl durch eine entsprechende Benutzerschnittstellengestaltung zu untergraben. Dies umfasst auch ein Verbot von Irreführungsmethoden wie "Trick Questions" (verwirrend formulierte Fragen), "Misdirection" (Designmuster, die mit auffälligen graphischen Elementen vom Inhalt ablenken) sowie "Bait and Switch" (wenn die Bedienung der Schaltfläche auf einer Webseite zu einem anderen Resultat führt, als üblicherweise zu erwarten gewesen wäre).[36] Nicht durch den DMA verschärft werden hingegen die Regeln für das im Marketing oft eingesetzte "A/B-Testing", wobei Nutzern unterschiedliche Designs bzw Maßnahmen vorgelegt werden, um zu untersuchen, welchen Effekt diese auf Nutzer haben.[36]
Ähnlich zu Art 25 DSA enthält der Artificial Intelligence Act in Art 5 Abs 1 lit a ein Verbot des Einsatzes von "Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person". Dies bedeutet, dass ein grundsätzliches Verbot für den Einsatz von KI-Systemen zur Manipulation besteht, durch welche die Fähigkeit von betroffenen Personen zur autonomen Entscheidungsfindung deutlich beeinträchtigt wird und diese dadurch ein Verhalten setzen, dass sie sonst nicht gesetzt hätten. Da insbesondere bestimmte Gruppen (Minderjährige, ältere Personen, Menschen mit Behinderung, etc.) einen besonderen Schutz in Bezug auf die Manipulationsanfälligkeit genießen sollten, untersagt Art 5 Abs 1 lit b AIA außerdem den Einsatz von Techniken, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzen. Gemein ist beiden Bestimmungen, dass das Verbot in diesen Fällen nur greift, wenn der KI-Einsatz einer Person (mit hinreichender Wahrscheinlichkeit) einen erheblichen Schaden zufügen wird. Die Anwendbarkeit dieses Verbots knüpft sich somit an einen (hinreichend wahrscheinlichen) Schadenseintritt, der sowohl physischer und psychischer als auch finanzieller Natur sein kann (Vgl ErwGr 29 AIA).
Prüfschritte bei rechtswidrigen Inhalten (c) Research Institute
Rechtswidrige Inhalte
Ein Hauptzweck des DSA ist die Regulierung rechtswidriger Online-Inhalte durch die Etablierung zusätzlicher Sorgfaltspflichten für Vermittlungsdiensteanbieter, womit der Zielsetzung der Schaffung eines sicheren, vertrauenswürdigen Online-Umfelds und den Grundsätzen des Verbraucherschutzes sowie des Grundrechtsschutzes im Allgemeinen Rechnung getragen werden soll. Gerade dem Phänomen Hate Speech soll damit ein Riegel vorgeschoben und Diskriminierungen, Anfeindungen, Aufrufe zur Gewalt etc. verhindert werden. Der DSA enthält jedoch keine klare Definition, welche Inhalte konkret als rechtswidrig im Sinne dieses Regelwerks zu verstehen sind. Art 3 lit h DSA nimmt lediglich folgenden vagen Umriss vor: Rechtswidrige Inhalte bezeichnen "alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Tätigkeit, einschließlich des Verkaufs von Produkten oder der Erbringung von Dienstleistungen, nicht im Einklang mit dem Unionsrecht oder dem Recht eines Mitgliedstaats stehen, ungeachtet des genauen Gegenstands oder der Art der betreffenden Rechtsvorschriften." Somit überlässt der DSA die Definitionshoheit den Mitgliedsstaaten bzw dem EU-Gesetzgeber. Folgende Inhalte können jedenfalls als rechtswidrig angesehen werden:
Datenschutzverletzungen (DSGVO, DSG)
"Cyber Stalking" (§107a Abs 2 Z 2 StGB)
"Cyber Mobbing" (§107c StGB)
Kreditschädigung (§152 StGB)
Verbreitung von bildlichem sexualbezogenem Kindesmissbrauchsmaterial oder bildliche sexualbezogene Darstellungen minderjähriger Personen (§207a StGB)
Aufforderung zu mit Strafe bedrohten Handlungen und Gutheißung mit Strafe bedrohter Handlungen (§282 StGB)
Verhetzung (§283 StGB)
Straftatbestände des Verbotsgesetzes 1947
Urheberrechtsverletzungen (UrhG)
Einen zentralen Bestandteil der Strategie des DSA im Zusammenhang mit rechtswidrigen Inhalten bilden die bereits weiter oben ausgeführten Haftungsprivilegien. Diesen zufolge haften Vermittlungsdienste nicht für rechtswidrige Inhalte Dritter, sofern sie bestimmte Bedingungen einhalten. Vermittlungsdiensteanbieter trifft keine Nachforschungspflicht, erlangen sie allerdings von rechtswidrigen Inhalten Kenntnis, müssen sie tätig werden.
Art 9 DSA bezieht sich ebenfalls auf rechtswidrige Inhalte und legt fest, dass zuständige nationale Justiz- oder Verwaltungsbehörden Anordnungen zum Vorgehen gegen einen bestimmten rechtswidrigen Inhalt gegen den Vermittlungsdienstanbieter erlassen können. Nach Eingang der Anordnung hat der Vermittlungsdiensteanbieter die zuständige Behörde über die Ausführung der Anordnung zu informieren und anzugeben, ob und wann die Anordnung ausgeführt wurde. Die Anordnung sowie die vom Vermittlungsdiensteanbieter erteilen Informationen zu deren Ausführung sind sodann von der Behörde an den zuständigen Koordinator für digitale Dienste zu übermitteln, welcher wiederum allen anderen Koordinatoren für digitale Dienste eine Kopie der Anordnung zukommen lassen muss. Spätestens ab dem Zeitpunkt der Befolgung der Anordnung bzw ab dem Zeitpunkt, den die Behörde in der Anordnung genannt hat, ist der betroffene Nutzer über deren Ausführung zu informieren und über seine Rechtsbehelfsmöglichkeiten aufzuklären. Derselbe Mechanismus ist für Auskunftsanordnungen nach Art 10 DSA vorgesehen, wonach der Vermittlungsdiensteanbieter auf Anordnung der zuständigen nationalen Behörde Informationen über bestimmte Nutzer mitzuteilen hat.
Hostindiensteanbieter müssen des Weiteren nutzerfreundliche Meldesysteme zur Meldung rechtswidriger Inhalte einrichten (Art 16 DSA). Diese müssen leicht zugänglich und benutzerfreundlich sein sowie eine Übermittlung von Meldungen auf elektronischem Weg ermöglichen. Das Meldeverfahren muss das Übermitteln hinreichend genauer und angemessener begründeter Meldungen erleichtern. Dazu muss es ermöglicht werden, dass die Meldung folgende Elemente beinhaltet:
Erläuterung, warum die fraglichen Informationen als rechtswidrig angesehen werden
Eindeutige Angabe des elektronischen Speicherorts dieser Informationen (zB URL-Adresse)
Name und E-Mail-Adresse der meldenden Person oder Einrichtung
Erklärung darüber, dass die meldende Person/Einrichtung in gutem Glauben davon überzeugt ist, dass die Angaben vollständig und richtig sind.
Derartige Meldungen bewirken ein Aushebeln des Haftungsprivilegs nach Art 6 DSA und es kann angenommen werden, dass der Vermittlungsdiensteanbieter „tatsächliche Kenntnis“ erlangt hat.
Weitere Sorgfaltspflichten, die Vermittlungsdiensteanbieter in Bezug auf rechtswidrige Inhalte treffen:
Generelle Transparenzverpflichtung in Bezug auf eigene Inhaltsmoderation in AGBs (Art 14 DSA)
Begründungspflicht bei Inhaltsbeschränkungen (Art 17 DSA)
Hostingdiensteanbieter haben bei Verdacht, dass eine Straftat vorliegt, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, eine Meldung an die Strafverfolgungs- und Justizbehörden vorzunehmen (Art 18 DSA). Dies umfasst beispielsweise Straftaten wie Menschenhandel, Kinderpornographie, Terrorismus, etc.
Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten und es Nutzern zur Verfügung stellen (Art 20 DSA).
Online-Plattformen müssen den Missbrauch ihrer Dienste durch Bereitstellung von rechtswidrigen Inhalten durch Nutzer eindämmen (Art 23 Abs 1). Als Maßnahme kommt etwa die Aussetzung der Erbringung ihrer Dienste infrage.
Online-Plattformen müssen Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu sorgen (Art 28 Abs 1 DSA).
Einfluss des DSA-Begleitgesetzes auf die Bekämpfung von rechtswidrigen Inhalten:
Zur Umsetzung des DSA in österreichisches Recht wurde am 15. Dezember 2023 das DSA-Begleitgesetz (DSA-BegG) beschlossen (siehe Näheres dazu in Abschnitt X.X Synergien), welches am 17. Februar 2024 in Kraft getreten ist. Es umfasst das „Koordinator-für-digitale-Dienste-Gesetz“ (KDD-G), eine Reihe von Änderungen anderer Gesetze (KommAustria-Gesetz, E-Commerce-Gesetz, ABGB, UrhG, Mediengesetz, StPO, etc.) und das Außerkrafttreten des Kommunikationsplattformen-Gesetzes. Deutliche Neuerungen brachte es in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Neuerungen im E-Commerce-Gesetz (ECG). So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen. Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
Werbeschaltungen
Online-Plattformanbieter müssen sicherstellen, dass Nutzer für jede einzelne Werbung erkennen können, dass es sich um eine Werbeschaltung handelt.[37] Nutzern muss es möglich sein, die Werbeschaltung sowie folgende weitere Informationen in klarer, präziser und eindeutiger Weise in Echtzeit zu erkennen: das werbende bzw die Werbung finanzierende Unternehmen, Informationen über die Parameter zur Bestimmung jener Nutzer, denen die Werbung angezeigt wird, und Hinweise, wie diese Parameter unter Umständen geändert werden können. Zusätzlich muss Nutzern die Möglichkeit eingeräumt werden, Informationen als Werbung zu kennzeichnen, damit andere Nutzer in Echtzeit darüber informiert werden können, dass der entsprechende Inhalt eine Werbeschaltung darstellt.[38]
Folgende Werbeschaltungen sind gemäß DSA verboten:
Werbeschaltungen, die auf Profiling gemäß Art 4 Z 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 1 DSGVO beruhen.[39]
Werbeschaltungen, die auf Profiling personenbezogener Daten von Minderjährigen beruhen.[40]
Transparenz der Empfehlungssysteme:
Anbieter von Online-Plattformen, die Empfehlungssysteme einsetzen, müssen in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen.[41] Zu den wichtigsten Parametern gehören etwa die Kriterien, die für die Bestimmung der vorgeschlagenen Informationen am wichtigsten sind und Gründe für die relative Bedeutung dieser Parameter.[42] Fraglich ist, ob die Verwendung von Künstlicher Intelligenz im Empfehlungssystem zu den wichtigsten Parametern zählt und somit offenzulegen ist, wobei diese tendenziell eher verneint wird.[43] Stehen mehrere Optionen für Empfehlungssysteme zur Verfügung, müssen Nutzer jederzeit in der Lage sein, ihre bevorzugte Option auszuwählen oder zu ändern.[44]
Erweiterte Pflichten für Anbieter von VLOPs und VLOSEs:
Betroffene Anbieter müssen bei Verwendung von Empfehlungssystemen - zusätzlich zu den in Art 27 DSA genannten Pflichten - mindestens eine Option für jedes ihrer Empfehlungssysteme vorlegen, die nicht auf Profiling gemäß Art 4 Abs 4 DSGVO beruht.[45] Ebenso treffen sie zusätzliche Transparenzbestimmungen in Bezug auf Werbeschaltungen. Dazu gehört die Einrichtung eines öffentlich zugänglichen Archivs über Werbeschaltungen mit Informationen zu dem Inhalt der Werbung, dem werbenden Unternehmen, dem Zeitraum der Werbeschaltung, ob und welchen spezifischen Nutzergruppen die Werbung angezeigt wurde, zu den Hauptparametern zur Auswahl dieser Nutzer(gruppen) und zur Gesamtzahl der erreichten Nutzer.[46] In dem Archiv dürfen hingegen keine personenbezogenen Daten der Nutzer, denen die Werbung angezeigt wurde, enthalten sein. Die genannten Angaben sind während des gesamten Zeitraums, in dem eine Werbung angezeigt wird, und ab der letzten Anzeige der Werbung noch ein Jahr lang im Archiv öffentlich abrufbar zu speichern.
Der DSA sieht darüber hinaus noch die Schaffung von freiwilligen Verhaltenskodizes für Online-Werbung für einschlägige Vermittlungsdiensteanbieter vor, um zu mehr Transparenz für alle Akteure entlang der Wertschöpfungskette der Online-Werbung beizutragen.[47] Die Kommission fördert und erleichtert die Ausarbeitung dieser freiwilligen Verhaltenskodizes und setzt sich dafür ein, dass mit diesen eine wirksame Informationsübermittlung unter uneingeschränkter Achtung der Rechte und Interessen aller Beteiligten sowie ein wettbewerbsorientiertes, transparentes und faires Umfeld in der Online-Werbung im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Bezug auf den Wettbewerb und den Schutz der Privatsphäre und personenbezogener Daten, angestrebt werden. Die Verhaltenskodizes sollten bis zum 18. Februar 2025 ausgearbeitet und bis zum 18. August 2025 angewendet werden.
Forschungsdatenzugang
Der DSA sieht die Möglichkeit des Zugriffs auf Daten für Forschungsarbeiten vor. Gemäß Art 40 DSA kann der Koordinator für digitale Dienste (KDD) unter bestimmten Voraussetzungen Forscher mit ihren Forschungsarbeiten auf Antrag als "zugelassene Forscher" zertifizieren und bei Anbietern von VLOPs und VLOSEs ein Verlangen auf Datenzugang einreichen. Dazu darf der Datenzugang nur zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten erfolgen, welche die Aufspürung, Ermittlung und das Verständnis systemischer Risiken zum Ziel haben. Dazu zählen gemäß Art 34 Abs 1 DSA beispielsweise die Verbreitung rechtswidriger Inhalte, nachteilige Auswirkungen auf Grundrechte, Wahlprozesse oder auf geschlechtsspezifische Gewalt, mangelnder Jugendschutz, Risiken für die öffentliche Gesundheit, sowie ein nachteiliger Einfluss auf die körperliche und geistige Integrität von Personen. Der Antrag muss weiters mit dem konkreten Forschungsvorhaben in Zusammenhang stehen und darf auch nur dieses vom KDD beschieden werden.[48]
Dient die Durchführung der Forschungsarbeiten diesen Zwecken, ist unter folgenden weiteren Voraussetzungen eine Zertifizierung als "zugelassene Forscher" durch den KDD möglich:
die betreffenden Forscher sind einer Forschungseinrichtung angeschlossen,
sie sind unabhängig von kommerziellen Interessen,
ihr Antrag gibt Aufschluss über die Finanzierung der Forschung,
sie sind in der Lage, die besonderen Anforderungen an die Datensicherheit und Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen und können die dahingehend getroffenen technischen und organisatorischen Maßnahmen beschreiben,
sie können nachweisen, dass der Zugang zu den Daten für die Zwecke ihrer Forschung notwendig und verhältnismäßig ist,
sie verpflichten sich, die Forschungsergebnisse (unter Berücksichtigung der DSGVO) innerhalb eines angemessenen Zeitraums nach Abschluss der Forschungsarbeiten kostenlos öffentlich zugänglich zu machen.
Der Antrag für diesbezügliche Forschungsarbeiten ist an den KDD am Niederlassungsort (Sitz des Unternehmens) des Anbieters der VLOPs oder VLOSEs bzw beim KDD der Forschungsorganisation zu stellen. Die Letztentscheidung obliegt jedenfalls dem KDD am Niederlassungsort des Anbieters. Nationaler KDD in Österreich ist die KommAustria (siehe weiter oben). Dienste, die nach dem DSA Daten zur Verfügung stellen sollen, werden auf der Seite der Rundfunk und Telekom Regulierungs-GmbH (RTR) und auf der Webseite der Europäischen Kommission gelistet.
Die Anbieter der VLOPs und VLOSEs, bei welchen ein Verlangen auf Datenzugang gestellt wurde, können den KDD innerhalb von 15 Tagen ersuchen, das Verlangen abzuändern, wenn sie keinen Zugriff auf die Daten haben oder die Gewährung des Datenzugangs zu erheblichen Schwachstellen bei der Sicherheit ihres Dienstes oder beim Schutz vertraulicher Informationen, insbesondere von Geschäftsgeheimnissen, führen würde. Ansonsten haben die betroffenen Anbieter unverzüglich Zugang zu ihren Daten zu gewähren, einschließlich - soweit dies technisch möglich ist - zu Daten in Echtzeit.
In Bezug auf die technischen Bedingungen, unter denen die betroffenen Anbieter Daten zur Verfügung stellen müssen, sowie bezüglich der Zwecke, für welche die Daten verwendet werden dürfen, obliegt es der Kommission, delegierte Rechtsakte zu erlassen, um die diesbezüglichen Anforderungen im DSA zu spezifizieren (Art 40 Abs 13 DSA). Ein Entwurf für einen entsprechenden delegierten Rechtsakt befindet sich gerade in Ausarbeitung und dessen aktueller Status kann auf der offiziellen Webseite der Kommission nachverfolgt werden.
Die österreichische Forschungseinrichtung X möchte einen Antrag auf Erforschung der Algorithmen der Plattform Y aus Irland stellen, um zu untersuchen, wie diese ihren Nutzer*innen zielgerichtet wahlbeeinflussende Inhalte von Influencer*innen präsentiert. Den Antrag auf Datenzugang stellt die Einrichtung beim Koordinator für digitale Dienste in Österreich (KommAustria). Die KommAustria leitet den Antrag nach Prüfung auf Vollständigkeit an den irischen Koordinator für digitale Dienste weiter. Dieser entscheidet dann, ob die Forschungseinrichtung den Status als zugelassene Forschende für diesen Antrag erhält.
Verbraucherschutz und Rechtsbehelfe
In Art 1 Abs 1 normiert der DSA den "Grundsatz des Verbraucherschutzes" als eines seiner zentralen Ziele. Unter Verbraucher ist gemäß Art 3 lit c jene natürliche Person zu verstehen, "die zu Zwecken handelt, die außerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen." Die meisten Schutzbestimmungen des DSA kommen Verbrauchern gleichermaßen wie anderen Nutzern (bzw teilweise auch gewerblichen Nutzern) zu, weshalb der DSA all diese Kategorien unter dem allgemeinen Nutzerbegriff zusammenfasst, worunter jede natürliche oder juristische Person zu verstehen ist, die einen Vermittlungsdienst in Anspruch nimmt.[50] Die spezifischen Instrumente des Verbraucherschutzes bleiben jedoch unberührt und Verbrauchern kommen weiterhin die darin verankerten speziellen Garantien zu.[51]
Konkrete Schutzvorschriften
Allgemeine Vorschriften
Einerseits weicht der Verbraucherschutz das in Art 6 DSA normierte Haftungsprivileg für Hostingdiensteanbieter auf, wonach die verbraucherschutzrechtliche Haftung von Transaktionsplattformen vom Haftungsprivileg unberührt bleibt.[52] Dies bedeutet, dass es zur Haftung von Transaktionsplattformen kommen kann, sofern ein durchschnittlicher Verbraucher annehmen darf, dass eine Information, ein Produkt oder eine Dienstleistung, die/das Gegenstand einer Transaktion ist, entweder von der Online-Plattform selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird. Unter einem "durchschnittlichen Verbraucher" ist hier der informierte, angemessen aufmerksame und verständige Verbraucher zu verstehen und es genügt der Anschein aus Sicht des durchschnittlichen Verbrauchers.[53]
Anbieter von Vermittlungsdiensten sind verpflichtet, bestimmte Informationen in ihren AGBs in klarer, einfacher, benutzerfreundlicher, verständlicher und eindeutiger Sprache darzulegen. Die AGBs müssen zudem auch für Minderjährige verständlich sein, sofern sich der Vermittlungsdienst in erster Linie an diese richtet bzw von diesen überwiegend genutzt wird, und in leicht zugänglichem und maschinenlesbarem Format veröffentlicht werden.[54] Zu den zentralen Angaben, die in den AGBs zu machen sind, gehören: die Modi der Inhaltsmoderation, der Einsatz von algorithmischen Entscheidungsfindungen, Informationen zur menschlichen Überprüfung und Verfahrensregeln für das interne Beschwerdemanagementsystem.
Anbieter von Online-Plattformen müssen ein internes Beschwerdemanagementsystem einrichten, das es Nutzern, die von Inhaltsbeschränkungen, Kontosperren oder Nutzungseinschränkungen betroffen sind, erlaubt, elektronisch und kostenlos Beschwerde gegen den Anbieter einzureichen.[55] Betroffene Nutzer haben in diesen Fällen außerdem das Recht auf außergerichtliche Streitbeilegung.[56] Darüber hinaus haben Anbieter von Online-Plattformen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, damit Meldungen von vertrauenswürdigen Hinweisgebern ("trusted flaggers") vorrangig und unverzüglich behandelt werden.[57] Der Status als vertrauenswürdiger Hinweisgeber wird auf Antrag einer Stelle zuerkannt, wenn der Antragsteller nachgewiesen hat, dass er über besondere Fachkenntnis und Kompetenz in Bezug auf die Erkennung, Feststellung und Meldung rechtswidriger Inhalte verfügt, von jeglichen Anbietern von Online-Plattformen unabhängig ist und seine Tätigkeiten sorgfältig, genau und objektiv ausübt. Für die Anerkennung des Antrags ist der Koordinator für digitale Dienste zuständig. Die zertifizierten vertrauenswürdigen Hinweisgeber für Österreich sind bisher[58]:
Die Arbeiterkammer (Expertise im Bereich Konsumentenschutz, Datenschutz und Persönlichkeitsrechte)
Das Österreichische Institut für angewandte Telekommunikation (Expertise im Bereich Urheberrecht, Persönlichkeitsrechte und Internetbetrug)
Die Rat auf Draht gemeinnützige GmbH (Expertise im Bereich Kinderrechte und Jugendschutz)
Der Schutzverband gegen unlauteren Wettbewerb (Expertise im Bereich unlautere Geschäftspraktiken und gewerblicher Rechtsschutz)
Die LSG - Wahrnehmung von Leistungsschutzrechten (Expertise im Bereich Urheber- und Leistungsschutzrecht)[59]
Anbieter von VLOPs und VLOSEs haben gemäß Art 34 DSA eine Risikobewertung durchzuführen, wobei alle systemischen Risiken zu ermitteln sind, die sich aus der Konzeption oder dem Betrieb des betreffenden Dienstes ergeben können. Die Risikobewertung muss eine Analyse der etwaigen negativen Auswirkungen des Dienstes auf Grundrechte und insbesondere den Verbraucherschutz enthalten.[60]
Die Artikel 45-47 DSA sehen vor, dass einschlägige Diensteanbieter freiwillige Verhaltenskodizes ausarbeiten, welche insbesondere die Transparenz bei Online-Werbung steigern sowie der Barrierefreiheit Rechnung tragen sollen.
Besondere Vorschriften für Anbieter von Transaktionsplattformen
Besondere Bestimmungen sieht der DSA für Transaktionsplattformen vor, da Verbraucher auf diesen Fernabsatzverträge schließen können und daher als besonders schutzwürdig gelten.
Einerseits verfolgt der DSA einen sog. "Know-your-Business-Customer"-Grundsatz[53], wonach Anbieter von Online-Marktplätzen verpflichtet werden, Informationen betreffend die Nachverfolgbarkeit von Unternehmen einzuholen.[61] Diese Informationen sind dann an die Nutzer weiterzuleiten und haben die Kontaktdaten des Unternehmens, dessen Zahlungskonto sowie eine Selbstbescheinigung des Unternehmens über rechtskonforme Produkte oder Dienstleistungen zu umfassen. Der Anbieter muss außerdem sicherstellen, dass Unternehmen, die diese Informationen nicht zur Verfügung stellen, die Online-Plattform nicht benutzen können. Außerdem trifft den Anbieter eine Prüfpflicht, wonach er sich "nach besten Kräften" darum bemühen muss, zu prüfen, ob die bereitgestellten Informationen verlässlich und vollständig sind (beispielsweise durch die Abfrage von frei zugänglichen amtlichen Online-Datenbanken).
Weiters hat der Anbieter seine Online-Schnittstelle so zu konzipieren und organisieren, dass Unternehmen diesen Vorgaben sowie ihren Verpflichtungen in Bezug auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen auch nachkommen können ("Konformität durch Technikgestaltung").[62]
Diese Bestimmungen dienen dazu, Verbraucher einerseits vor Fake-Shops zu schützen, die Verträge abschließen und sie dann nicht erfüllen, sowie andererseits den Verkauf von gefährlichen Produkten zu verhindern (beispielsweise durch den Verweis auf produktsicherheitsrechtliche Vorschriften und Konformitätsverfahren in Art 31 DSA).[63][53]
Recht auf Information (Art 32): Erhält ein Anbieter einer Transaktionsplattform, unabhängig von den verwendeten Mitteln Kenntnis, dass ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung von einem Unternehmer über seine Dienste Verbrauchern in der Union angeboten wurde, so informiert er – sofern ihm deren Kontaktdaten vorliegen – die Verbraucher, die das rechtswidrige Produkt oder die rechtswidrige Dienstleistung über seine Dienste erworben haben über das rechtswidrige Produkt bzw. die rechtswidrige Dienstleistung, die Identität des Unternehmers und die einschlägigen Rechtsbehelfe. Sofern der Anbieter nicht über die Kontaktdaten aller betroffenen Verbraucher verfügt, hat er die Informationen auf seiner Online-Schnittstelle öffentlich und leicht zugänglich zu machen. Die Pflicht, Verbraucher über rechtswidrige Produkte oder Dienstleistungen zu informieren, trifft den Plattformanbieter einerseits ab Kenntniserlangung und andererseits nur in Bezug auf Produkte oder Dienstleistungen, die in den vergangenen sechs Monaten ab dem Zeitpunkt der Kenntnis des Anbieters erworben wurden.
Rechtsbehelfe
Beschwerderecht (Art 53 DSA): Die Nutzer von Vermittlungsdiensten haben das Recht, beim Koordinator für digitale Dienste des Mitgliedstaats, in dem sich der Nutzer des Dienstes aufhält oder niedergelassen ist, Beschwerde gegen Anbieter von Vermittlungsdiensten wegen einer mutmaßlichen Zuwiderhandlung gegen diese Verordnung einzulegen. Dieses Recht steht auch jeglichen Einrichtungen, Organisationen oder Vereinigungen, die mit der Wahrnehmung der durch den DSA übertragenen Rechte beauftragt sind, zu. Der Koordinator für digitale Dienste prüft die Beschwerde und leitet sie gegebenenfalls an den Koordinator für digitale Dienste am Niederlassungsort weiter; falls er es für angebracht hält, fügt er eine Stellungnahme hinzu. Fällt die Beschwerde in die Zuständigkeit einer anderen zuständigen Behörde in seinem Mitgliedstaat, leitet der Koordinator für digitale Dienste, der die Beschwerde erhält, sie an diese Behörde weiter. Während dieser Verfahren haben beide Parteien das Recht, angehört zu werden und angemessen über den Stand der Beschwerde nach Maßgabe des nationalen Rechts unterrichtet zu werden.
Entschädigung (Art 54 DSA): Nutzer haben das Recht, im Einklang mit dem EU-Recht und nationalen Recht Schadenersatz von Anbietern von Vermittlungsdiensten für etwaige Schäden oder Verluste zu fordern, die aufgrund eines Verstoßes dieser Anbieter gegen ihre Verpflichtungen aus dem DSA entstanden sind.
Verfahren nach dem DSA
Auf Profiling basierende Werbeschaltungen auf LinkedIn
Ausgangspunkt des gegenständlichen Falles war eine Beschwerde der Zivilgesellschaftsorganisationen EDRi, Global Witness, Gesellschaft für Freiheitsrechte und Bits of Freedom an die Europäische Kommission wegen einer mutmaßlichen Verletzung der Vorschriften des DSA durch die Online-Plattform LinkedIn, welche als sehr große Online-Plattform gemäß DSA einzustufen ist. Die Zivilgesellschaftsorganisationen erhoben den Vorwurf, dass LinkedIn Werbeschaltungen auf Basis der Gruppenzugehörigkeit der Nutzer erlaube, was gemäß Art 26 Abs 3 DSA eine Verletzung des Verbots von Werbung, die auf Profiling unter Verwendung sensibler Daten nach Art 9 Abs 1 DSGVO beruht, darstelle.[64] Dazu zählen Daten, aus denen die ethnische Herkunft, politischen Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten und Daten über die sexuelle Orientierung einer Person (Vgl Art 9 Abs 1 DSGVO).
Daraufhin übermittelte die Europäische Kommission ein Auskunftsverlangen an LinkedIn, in der sie um Informationen ansuchte, inwieweit die Plattform dem Verbot dieser Art der Werbeschaltung nach Art 26 Abs 3 DSA entspricht.[65]
Daraufhin stellte LinkedIn diese Art der gezielten Werbeschaltung ein, bevor die Kommission ein Verfahren wegen Zuwiderhandlung gegen die Vorschriften des DSA einleiten konnte. Das Statement des zuständigen Kommissars, Thierry Breton, kann hier nachgelesen werden.
Verfahren gegen Temu und Ermittlungen wegen potenzieller Suchtgefahr
Die chinesische Online-Plattform Temu, die am 31. Mai 2024 als sehr große online-Plattform benannt wurde, steht im Verdacht, gegen zentrale Bestimmungen des DSA zu verstoßen, weshalb die Europäische Kommission nun ein förmliches Verfahren eingeleitet hat.[66] Hintergrund des Verfahrens sind Vorwürfe von Verbraucherschützern, dass sich Temu "dark patterns" bediene, um Kunden zum wiederholten Kauf anzuregen, und nicht rechtskonforme Produkte verkaufe. Der Beschluss, ein offizielles Verfahren gegen die Plattform einzuleiten, folgt einer vorläufigen Analyse des von Temu Ende September 2024 vorgelegten Risikobewertungsberichts, der von Dritten übermittelten Informationen sowie Temu's Antworten auf die vorangegangenen förmlichen Auskunftsersuchen. Die Kommission stand außerdem im Austausch mit dem Europäischen Gremium sowie insbesondere mit dem irischen Koordinator für digitale Dienste.
Die Untersuchung der Kommission hat folgende potenzielle Verstöße zum Gegenstand:
Die von Temu verwendeten Systeme zur Einschränkung des Verkaufs nicht rechtskonformer Produkte
Die Risiken im Zusammenhang mit der suchterzeugenden Gestaltung des Dienstes, inklusive spielähnlicher Belohnungsprogramme [67]
Die Einhaltung der DSA-Verpflichtungen in Bezug auf den Einsatz und die Gestaltung von Empfehlungssystemen
Die Einhaltung der Vorschriften bezüglich des Datenzugangs für Forscher
Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln, Befragungen durchzuführen oder bei Bedarf Durchsetzungsmaßnahmen zu ergreifen. Der DSA sieht keine Frist für die Beendigung des Untersuchungsverfahrens vor.
Sollte die Kommission Verstöße gegen den DSA (in diesem Fall die Art 27, 34, 35, 38, 40) feststellen, drohen dem Platfformanbieter Strafen bis zu 6% des weltweit erzielten Jahresumsatzes.
Wegen der mutmaßlich abhängig machenden Wirkung ihrer Algorithmen und der damit einhergehenden Suchtgefahr für Nutzer ermittelt die Europäische Kommission darüber hinaus aktuell gegen die Online-Dienste TikTok, YouTube und Snapchat.[68] Dazu hat die Kommission offiziell Auskunftsverlangen an die genannten Plattformanbieter übermittelt und diese um Bekanntgabe von Informationen bezüglich des Einsatzes und der Gestaltung ihrer Empfehlungssysteme ersucht.[69]
Förmliches Verfahren gegen TikTok im Zusammenhang mit rumänischen Präsidentschaftswahlen
Im Zusammenhang mit den Präsidentschaftswahlen in Rumänien am 24. November 2024 hat die Europäische Kommission ein förmliches Verfahren gegen den Online-Dienst TikTok wegen mutmaßlicher Verstöße gegen den DSA eingeleitet.[70] Konkret geht es um den Verdacht, dass die Plattform systemische Risiken im Zusammenhang mit der Integrität von Wahlen nicht ordnungsgemäß bewertet und abgemildert habe, wodurch Wahlbeeinflussung ermöglicht worden wäre.[71] Am 6. Dezember 2024 wurde die Wahl schließlich infolge von Einflussnahme aus dem EU-Ausland annulliert.[72] Auslöser waren Berichte über Informationsmanipulationen auf TikTok, woraufhin die Kommission das förmliche Verfahren gegen den Dienst einleitete.[72]
Im Fokus des Verfahrens steht das Risikomanagement des Dienstes in Bezug auf folgende Aspekte:
die Empfehlungssysteme von TikTok in Bezug auf koordinierte, nicht authentische Manipulation bzw. automatisierte Ausnutzung des Dienstes
die Regelungen bezüglich politischer Werbung und bezahlter politischer Inhalte
Sollte sich der Verdacht der Kommission bestätigen, drohen dem Vermittlungsdiensteanbieter Sanktionen aufgrund von Verstößen gegen die Artikel 34 Absatz 1, 34 Absatz 2 und 35 Absatz 1 DSA.
Es ist noch unklar, wie lange das Verfahren dauern wird, da der DSA keine gesetzliche Frist für die Beendigung eines förmlichen Verfahrens vorsieht. Die nächsten Schritte bestehen für die Kommission darin, weitere Beweise zu sammeln (beispielsweise durch zusätzliche Auskunftsersuchen, Überwachungsmaßnahmen, etc.) und bei Bedarf weitere Durchsetzungsmaßnahmen zu ergreifen (beispielsweise einstweilige Maßnahmen).
Synergien
Als Teil der EU-Digitalstrategie, weist der DSA zahlreiche Berührungspunkte mit anderen Rechtsakten auf und lässt explizit angeführte Rechtsakte "unberührt", womit er bestehende Regelungen im digitalen Raum nicht ersetzt, sondern ergänzt (siehe die nicht abschließende Aufzählung in Art 2 Abs 4 DSA).[17] Im Folgenden findet sich eine partielle Darstellung des Zusammenspiels zwischen dem DSA und ausgewählten Rechtsakten.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO regelt die Verarbeitung von personenbezogenen Daten. Darunter sind gemäß Art 4 Abs 1 DSGVO all jene Informationen zu verstehen,
"die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".
Sofern ein Vermittlungsdiensteanbieter personenbezogene Daten verarbeitet und über den Zweck und die Mittel dieser Verarbeitung entscheidet, gilt er als datenschutzrechtlich Verantwortlicher (siehe Art 4 Abs 7 DSGVO). "Verarbeitung" bezeichnet in diesem Zusammenhang jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie beispielsweise das Erheben, Erfassen, Ordnen, Speichern, Auslesen, etc. personenbezogener Daten.[73]
Weiters kann der DSA als gesetzliche Vorgabe Rechtsgrundlage für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art 6 Abs 1 lit c DSGVO sein.[17] Die DSGVO folgt nämlich dem Grundsatz, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern nicht eine der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtsgrundlagen vorliegt. Die Rechtsgrundlage nach Art 6 Abs 1 lit c DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten zulässig ist, sofern die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Da viele der Pflichten des DSA für Vermittlungsdiensteanbieter nur dann erfüllt werden können, wenn hierzu personenbezogene Daten verarbeitet werden, kann somit der DSA eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Zu diesen Pflichten gehören etwa die Meldung des Verdachts auf Straftaten, die Einrichtung eines internen Beschwerdesystems, die außergerichtliche Streitbeilegung oder Maßnahmen und Schutz vor missbräuchlicher Verwendung.[17]
Als erster europäischer Rechtsakt führt der DSA mit Art 25 eine eigene Regelung zu "dark patterns" ein, die oftmals in Wechselwirkung zu den Bestimmungen der DSGVO stehen (siehe auch oben). Grundsätzlich kommt Art 25 DSA jedoch nur zur Anwendung, wenn die Vorgaben der DSGVO nicht greifen. In der DSGVO stehen "dark patterns" insbesondere den Vorschriften zur Wirksamkeit und zum Widerruf der Einwilligung, den allgemeinen Datenverarbeitungsgrundsätzen nach Art 5 DSGVO sowie dem Grundsatz des Datenschutzes durch Technikgestaltung (Art 25 DSGVO) entgegen.[17]
Unwirksamkeit der Einwilligung: Damit eine datenschutzrechtliche Einwilligung in die Datenverarbeitung wirksam ist, muss diese freiwillig und in informierter Weise abgegeben worden sein (Vgl. Art 4 Abs 11 DSGVO). Dies ist in Bezug auf "dark patterns" nicht der Fall, sofern Personen in die Irre geführt bzw. getäuscht werden, wodurch Unfreiwilligkeit oder fehlende Informiertheit vorliegt. Beispiele wären die Suggestion, dass die Nutzung eines Dienstes eine Einwilligung erfordert, obwohl dies nicht der Fall ist, fehlende Wahlfreiheit in Bezug auf einen Dienst oder auch die Erschwerung des Widerrufs der Einwilligung durch "Click Fatigue".[17]
Grundsätze der Datenverarbeitung nach Art 5 DSGVO: dazu zählt insbesondere der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, wonach personenbezogene Daten auf nachvollziehbare Weise verarbeitet werden sowie verständlich und leicht zugänglich sein müssen. Im Fall von "dark patterns" wird diesem Grundsatz wohl nicht entsprochen, zumal das Nachvollziehen der Datenverarbeitung sowie der Zugang zu relevanten Informationen notwendige Prämissen darstellen, um auf Basis dieser Informationen die Betroffenenrechte nach den Art 12ff DSGVO ausüben zu können (z.B. das Recht auf Auskunft, Löschung, Berichtigung, etc.).[17]
Datenschutz durch Technikgestaltung nach Art 25 DSGVO: dieser Grundsatz beschreibt die Verpflichtung, Produkte so zu gestalten, dass sie bereits bei ihrer Entwicklung die datenschutzrechtlichen Grundsätze beachten. Dem stehen "dark patterns" insofern entgegen, als dass darunter auch irreführende Oberflächengestaltungen und irreführende Designs zu verstehen sind.[17]
Der DSA enthält weiters strenge Vorgaben in Bezug auf bestimmte Anwendungsfälle von Profiling und bedient sich hier explizit der entsprechenden Begriffsbestimmung gemäß Art 4 Abs 4 DSGVO. Demnach bezeichnet Profiling
"jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".
Daran anknüpfend verbietet der DSA Profiling in folgenden Kontexten bzw. auf folgende Weise:
Art 26 Abs 3: Die Anbieter von Online-Plattformen dürfen Nutzern keine Werbung anzeigen, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten ("sensible Daten") gemäß Artikel 9 Abs 1 DSGVO beruht. Darunter fallen etwa Gesundheitsdaten, Daten über die ethnische Herkunft, Daten über religiöse Überzeugungen, biometrische Daten oder Daten zur sexuellen Orientierung einer Person.
Art 28 Abs 2: Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten von Minderjährigen darstellen. Hier ist erforderlich, dass der Anbieter hinreichende Gewissheit über die Minderjährigkeit der betroffenen Personen hat.
Art 38: Anbieter von VLOPs/VLOSEs, die Empfehlungssysteme verwenden, müssen mindestens eine Option für jedes ihrer Empfehlungssysteme vorsehen, die nicht auf Profiling beruht.
Im Fall des Profiling-Verbots sensibler Daten oder personenbezogener Daten Minderjähriger handelt es sich um "zwingendes Datenschutzrecht", das auch nicht durch einen Rechtfertigungsgrund - wie etwa die Einwilligung der betroffenen Person - ausgehebelt werden kann.[17] Verletzungen der Bestimmungen lösen somit den Sanktionsmechanismus des DSA aus, führen allerdings - bei einem legitimen Rechtfertigungsgrund - nicht zu einer Datenschutzwidrigkeit der DSGVO.[17] Damit kommt wieder zum Ausdruck, dass der DSA die DSGVO unberührt lässt und lediglich ergänzend hinzutritt.
Der DSA bildet zusammen mit dem Digital Markets Act (DMA) das Paket zum Gesetz über digitale Dienste der Europäischen Kommission und damit ein umfassendes Regelwerk, das die digitale Wirtschaft in der EU fair, offen und innovationsfördernd gestalten soll. Dementsprechend verfolgen die beiden Rechtsakte ähnliche Ziele und sind auf die Sicherung einer fairen und wettbewerbsfähigen europäischen Wirtschaft gerichtet. Während der DSA abgestufte Sorgfaltspflichten für unterschiedliche Kategorien von Plattformanbietern festlegt, wie beispielsweise bestimmte Transparenzpflichten, Informationspflichten, Vorgaben in Bezug auf die Moderation rechtswidriger Inhalte und Verbote bestimmter Praktiken, bestehen die Hauptziele des DMA in der Reglementierung sogenannter "Torwächter" (Gatekeeper) am Markt, in der Förderung von Innovation, Wachstum und fairen Märkten sowie in der Schaffung von gleichen Wettbewerbsbedingungen.
Beide Rechtsakte richten sich (teilweise) an ähnliche Adressaten. Dem DMA unterliegen die sog. "Torwächter", worunter jene Plattformen zu verstehen sind, die eine starke Marktposition besitzen. Der DSA kennt die Kategorie der "sehr großen Online-Plattformen" (VLOPs) und "sehr großen Online-Suchmaschinen" (VLOSEs), unter die jene Vermittlungsdiensteanbieter fallen, die gewisse Schwellenwerte erreichen. In beiden Fällen werden die betroffenen Anbieter von der Europäischen Kommission benannt.
Das Sanktionssystem der beiden Rechtsakte ist ähnlich ausgestaltet. Für die Verhängung von Strafen ist beim DMA ausschließlich die EU Kommission zuständig, beim DSA hingegen nur, wenn es sich um VLOPs oder VLOSEs handelt. Für die anderen Arten von Vermittlungsdiensten sind die Mitgliedstaaten bzw den von diesen ernannten Koordinatoren für digitale Dienste zuständig. Die Geldbußen für Verstöße richten sich nach dem Weltweiten Jahresumsatz des Unternehmens und betragen beim DMA bis zu 20%, beim DSA nur maximal 6%. Im Rahmen des DSA sind in dringenden, schwerwiegenden Fällen einstweilige Maßnahmen wie z.B. die Aussetzung des Dienstes möglich. Der DMA erlaubt bei systematischen Verstößen sogar strukturelle Maßnahmen, wie die Aufspaltung von Unternehmen, wenn Geldbußen nicht ausreichen.
Thematische Überschneidungen finden sich beispielsweise in den Regelungen zu "dark patterns" (siehe weiter oben). Zwar verwendet der DMA diesen Begriff nicht explizit, allerdings verbietet auch dieser vergleichbare manipulative und irreführenden Praktiken.
Platform-to-Business-VO (P2B-VO)
Die P2B-VO gilt bereits seit 2020 unmittelbar in der Union und widmet sich der Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten. Ihr Ziel ist es, ein faires, vorhersehbares und vertrauenswürdiges Online-Geschäftsumfeld für all jene Unternehmen zu schaffen, die über Online-Plattformen Waren und Dienstleistungen an Verbraucher anbieten. Damit richtet sich die P2B-VO vornehmlich an gewerbliche Nutzer, verfolgt dabei aber die gleichen Ziele wie der DSA, nämlich die Schaffung von harmonisierten Vorschriften für ein vertrauenswürdiges Online-Umfeld.
Kernstück der P2B-VO ist die Regelung der Ausgestaltung und des Inhalts von AGBs, beispielsweise durch die Festlegung von allgemeinen Transparenzanforderungen, Regelungen zur Änderung von AGB sowie zur Suspendierung und Kündigung.[17] Darüber hinaus enthält die P2B-VO Vorschriften zum Ranking, zu Dienstleistungen, zum Datenzugang, zu Bestpreisklauseln sowie zum Beschwerdemanagement und zur Mediation.[17] Für das Zusammenspiel mit dem DSA ist insbesondere Art 5 P2B-VO zum Ranking relevant, welches im Hinblick auf die Bestimmungen zu Empfehlungen im DSA (Art 27 und 38 DSA) die Frage aufwirft, ob eine der beiden Rechtsakte bei den diesbezüglichen Transparenzpflichten Vorrang genießt. Im Folgenden sollen die wichtigsten Überschneidungen zusammengefasst werden.[17]
DSA
P2B-VO
Anwendungsbereich
Vermittlungsdiensteanbieter (insbesondere Online-Plattform und -Suchmaschine)
Definition Online-Plattform nach Art 3 lit i DSA:
„Online-Plattform“ [bezeichnet] einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet, sofern es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handelt, die aus objektiven und technischen Gründen nicht ohne diesen anderen Dienst genutzt werden kann, und sofern die Integration der Funktion der Nebenfunktion oder der unbedeutenden Funktion in den anderen Dienst nicht dazu dient, die Anwendbarkeit dieser Verordnung zu umgehen;
Definition Online-Suchmaschine nach Art 3 lit j DSA:
„Online-Suchmaschine“ [bezeichnet] einen Vermittlungsdienst, der es Nutzern ermöglicht, in Form eines Stichworts, einer Spracheingabe, einer Wortgruppe oder einer anderen Eingabe Anfragen einzugeben, um prinzipiell auf allen Websites oder auf allen Websites in einer bestimmten Sprache eine Suche zu einem beliebigen Thema vorzunehmen und Ergebnisse in einem beliebigen Format, in dem Informationen im Zusammenhang mit dem angeforderten Inhalt zu finden sind, angezeigt zu bekommen;
Online-Vermittlungsdienste und Online-Suchmaschinen
Definition des Online-Dienstes nach Art 2 Z 2 P2B-VO:
„Online-Vermittlungsdienste“ [bezeichnen] Dienste, die alle nachstehenden Anforderungen erfüllen:
a)Es handelt sich um Dienste der Informationsgesellschaft im Sinne des Artikels 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535
b)Sie ermöglichen es gewerblichen Nutzern, Verbrauchern Waren oder Dienstleistungen anzubieten, indem sie die Einleitung direkter Transaktionen zwischen diesen gewerblichen Nutzern und Verbrauchern vermitteln, unabhängig davon, wo diese Transaktionen letztlich abgeschlossen werden
c)Sie werden gewerblichen Nutzern auf der Grundlage eines Vertragsverhältnisses zwischen dem Anbieter dieser Dienste und den gewerblichen Nutzern, die den Verbrauchern Waren oder Dienstleistungen anbieten, bereitgestellt;
Definition Online-Suchmaschine nach Art 2 Z 5 P2B-VO:
„Online-Suchmaschine“ [bezeichnet] einen digitalen Dienst, der es Nutzern ermöglicht, in Form eines Stichworts, einer Spracheingabe, einer Wortgruppe oder einer anderen Eingabe Anfragen einzugeben, um prinzipiell auf allen Websites oder auf allen Websites in einer bestimmten Sprache eine Suche zu einem beliebigen Thema vorzunehmen und Ergebnisse in einem beliebigen Format angezeigt zu bekommen, über die sie Informationen im Zusammenhang mit dem angeforderten Inhalt finden können;
Online-Vermittlungsdienste nach der P2B-VO fallen unter den Begriff der Online-Plattform in Art 3 lit i DSA, insbesondere unter jenen der Transaktionsplattform.
Der DSA zielt prinzipiell auf andere Regelungsbereiche als der Artificial Intelligence Act (AIA), dennoch können sich beide Rechtsakte in einigen Fällen überschneiden und parallel Verpflichtungen nach sich ziehen.
Der DSA verfolgt insbesondere inhaltsbezogene Steuerungsanliegen, erstreckt sich auf Vermittlungsdiensteanbieter und regelt die an deren Größe und Marktstellung gekoppelte Sorgfaltspflichten im digitalen Raum.[74] Im Unterschied dazu knüpft der AIA seine Anwendbarkeit an spezifische Risiko- und Entwicklungskategorien von KI-Technologie ungeachtet ihrer Funktion und ihres Einsatzbereichs und dies unabhängig von der Größe oder Marktmacht der involvierten Akteure.[74] Gemein ist beiden Rechtsakten ein abgestufter Pflichtenkatalog, wobei sich die Regelungsdichte und Strenge der Vorschriften beim AIA an die Risikoklasse der infragestehenden KI-Technologie knüpft, während beim DSA die Größe und Marktstellung der Vermittlungsdiensteanbieter ausschlaggebend ist.
Weiters verfolgt der AIA einen produktsicherheitsrechtlichen Ansatz und enthält spezifische Vorgaben, um den Markt und Betroffene vor potenziell gefährlichen, minderwertigen Produkten zu schützen (Vergleiche beispielsweise die verpflichtende Durchführung eines sog. Konformitätsbewertungsverfahrens für Anbieter von Hochrisiko-KI-Systemen).[75] Im Unterschied dazu geht es dem DSA nicht um die Qualität eines Online-Dienstes oder einer Online-Plattform an sich, sondern er regelt die über diese Plattformen als Intermediäre geteilten Inhalte, wobei sich die Anforderungen an diese Inhalte nicht aus dem DSA selbst sondern aus verschiedenen unionsrechtlichen und nationalen Rechtsakten ergeben.[75] Beide Regelwerke verbindet in diesem Zusammenhang, dass sie die jeweiligen Regulierungsadressaten dazu anhalten, Compliance-Systeme aufzusetzen, Risikomanagement zu betreiben und bereits im Vorhinein (ex ante) Risikoanalysen vorzunehmen, um rechtzeitig entsprechende Maßnahmen zur Risikominimierung zu ergreifen.[75]
Weitere Schnittmengen ergeben sich unter anderem in folgenden Bereichen:
DSA
AIA
Beispiele und nähere Erläuterungen
Adressaten
Vermittlungsdiensteanbieter (insbesondere VLOPs und VLOSEs)
Anbieter bzw. Betreiber von (generativer) KI
Google, Meta, Microsoft oder LinkedIn sind als VLOPs/VLOSEs im Sinne des DSA einzustufen. Nutzen diese KI, beispielsweise um Rankings zu erstellen oder Anfragen von Nutzern zu beantworten, fallen sie ebenso in den Anwendungsbereich des AIA. Da es sich bei den meisten dieser KI-Technologien jedoch nicht um Hochrisiko-KI-Systeme handelt, bleiben die Verpflichtungen nach dem AI Act in diesen Fällen limitiert. Integrieren jedoch beispielsweise große Suchmaschinen generative KI-Technologien in ihre klassische Suchfunktion oder verbauen große Plattformen generative Funktionen, so sind diese Technologien als Modelle mit allgemeinem Verwendungszweck (General Purpose AI - GPAI) im Sinne des AI Act zu qualifizieren und ziehen entsprechende Verpflichtungen nach sich, wie etwa Vorschriften über Transparenz und Urheberrecht (Art 53 AIA) oder Regelungen über GPAI-Modelle mit systemischen Risiken (Art 55 AI Act). [75] Hier treten also die Anforderungen nach dem DSA somit neben die Pflichten nach dem AI Act.
Risikoanalyse
Anbieter von VLOPs und VLOSEs müssen systemische Risiken analysieren, die durch die Nutzung ihrer Plattform entstehen, insbesondere die Auswirkungen auf Grundrechte, und diese durch geeignete Maßnahmen minimieren (Vgl. Art 34 Abs 1 und Art 35 DSA)
Anbieter von GPAI-Modellen mit systemischem Risiko müssen diese Risiken identifizieren, bewerten und reduzieren (Art 55 Abs 1 AIA).
Handelt es sich um Betreiber von Hochrisiko-KI-Systemen und sind die weiteren Voraussetzungen des Art 27 AIA erfüllt, muss eine Grundrechte-Folgenabschätzung durchgeführt werden.
Dies trifft somit auf jene Anbieter von VLOPs und VLOSEs gemäß DSA zu, die GPAI-Modelle mit systemischem Risiko im Sinne des AI Act auf ihrer Plattform einsetzen bzw. Hochrisiko-KI-Systeme betreiben und in den Anwendungsbereich von Art 27 AIA fallen.[76] Während die Risikoanalyse nach dem DSA hauptsächlich Informationsfreiheiten betrifft (bspw. Risiken der Verbreitung illegaler Inhalte, Falschinformationen, die Beeinträchtigung der Meinungsfreiheit, etc. verhindert werden sollen), zielt die Risikoanalyse nach dem AI Act auf Risiken der Gesundheit, Sicherheit und Grundrechte betroffener Personen. Beide Risikoakzentuierungen überlappen sich jedoch teilweise und treten im Fall der parallelen Anwendbarkeit von DSA und AIA nebeneinander. Bei hybriden Plattformen, die generative KI-Technologien einsetzen, überschneiden sich nicht nur die Pflichten nach dem DSA und AIA, sondern bei der Risikoanalyse muss überdies bedacht werden, welche Auswirkungen der Einsatz der einen Technologie auf die jeweils andere Technologie hat und umgekehrt (sog. "konsolidierte und technologieübergreifende Risikoanalyse").[75] So könnte etwa das Risiko von Falschinformationen durch den Einsatz generativer KI dadurch potenziert werden, dass diese Technologie in eine VLOSE integriert ist und Falschinformationen daher schneller weiterverbreitet werden.
Forschungsdatenzugang
Gemäß Art 40 DSA erhalten zugelassene Forscherteams Zugang zu den Daten von VLOPs und VLOSEs zur Aufspürung, Ermittlung und zum Verständnis systemischer Risiken.
Der AIA enthält keine vergleichbare Regelung
Hybride Plattformen, die sowohl VLOPs/VLOSEs sind als auch (generative) KI in ihre Plattform integriert haben, könnten durch die Bestimmung des Art 40 DSA dazu verpflichtet sein, Daten über ihre eigene KI gegenüber zugelassenen Forscherteams offenzulegen, da KI-Systeme eng mit systemischen Risiken von Plattformen verknüpft sind. Ein Forscherteam könnte weiters die Risikobewertung der Plattform mit der Bewertung der Risiken der eingesetzten KI verbinden.[75]
Inhaltsmoderation
Vermittlungsdiensteanbieter müssen Maßnahmen der Inhaltsmoderation gemäß Art 14 DSA in ihren AGBs offenlegen und Angaben zu ihrer Inhaltsmoderation in ihren Transparenzberichten veröffentlichen (Art 15 DSA). Darüber hinaus haben Hostingdiensteanbieter Melde- und Abhilfeverfahren zur Meldung von rechtswidrigen Inhalten bereitzustellen (Art 16 DSA).
Der AIA enthält keine vergleichbaren Regelungen. Im weitesten Sinn zielt die Moderation von Inhalten auf die Vermeidung strafrechtlich relevanter Inhalte sowie auf die Wahrung der Grundrechte, wie sie auch beim Einsatz generativer KI im Rahmen von Art 55 AIA zu berücksichtigen sind.
Vermittlungsdiensteanbieter bzw. Hostingdiensteanbieter, die GPAI-Modelle mit systemischen Risiken einsetzen, sind neben den Verpflichtungen nach den Art 14-16 DSA dazu angehalten, Art 55 AIA zu beachten und somit Maßnahmen zu ergreifen, um die Generierung illegaler Inhalte (z.B. rassistische Äußerungen) bereits auf technischer Ebene zu verhindern. Dies würde dazu dienen, rechtswidrige und unter systemisches Risiko fallende Inhalte zu unterbinden, bevor sie auf Plattformen verbreitet werden können.[75] Außerdem könnten KI-Modelle, die unter Art 53 und Art 55 AIA fallen, zur Inhaltsmoderation selbst eingesetzt werden und würden somit sowohl dem DSA als auch dem AIA unterliegen.[75] Die genaue Ausgestaltung dieser Fallkonstellation und der damit einhergehenden Verpflichtungen gilt es im Einzelfall zu prüfen.
Umgang mit künstlich erzeugten Inhalten ("Deepfakes")
Der DSA enthält zwar keine dezidierte Definition von "Deepfakes", greift dieses Thema allerdings in einer Bestimmung auf: Art 35 Abs 1 lit k DSA behandelt die Pflicht von Anbietern von VLOPs/VLOSEs im Zusammenhang mit erzeugten oder manipulierten Bild-, Ton- oder Videoinhalten, die bestehenden Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Die genannten Anbieter haben im Rahmen ihres Risikomanagements sicherzustellen, dass eine derartige Einzelinformation durch eine auffällige Kennzeichnung erkennbar ist, wenn sie auf ihren Online-Schnittstellen angezeigt wird, und darüber hinaus zur Bereitstellung einer benutzerfreundlichen Funktion, die es den Nutzern des Dienstes ermöglicht, solche Informationen anzuzeigen.
Art 3 Z 60 AIA enthält folgende Definition von Deepfakes: "'Deepfake' [bezeichnet] einen durch KI erzeugten oder manipulierten Bild-, Ton- oder Videoinhalt, der wirklichen Personen, Gegenständen, Orten, Einrichtungen oder Ereignissen ähnelt und einer Person fälschlicherweise als echt oder wahrheitsgemäß erscheinen würde;"
Art 50 Abs 2 AIA verpflichtet daher die Anbieter solcher Systeme, die genannten Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert zu kennzeichnen. Betreiber dieser Systeme müssen gemäß Art 50 Abs 4 AIA offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
Sowohl der DSA als auch der AIA enthalten ein ähnliches Verständnis von "Deepfakes" und definieren diese als manipulierte bzw. erzeugte Inhalte, die fälschlicherweise als echt oder wahrheitsgemäß erscheinen. Beide Regelwerke verpflichten daher ihre Adressaten, diese Inhalte als künstlich erzeugt bzw. manipuliert zu kennzeichnen. Während der DSA diese Pflicht nur Anbietern von VLOPs/VLOSEs auferlegt, richtet der AIA diese Verpflichtung an alle Anbieter und Betreiber von derartiger KI. Es kann somit vorkommen, dass eine Online-Plattform, die bestimmte Inhalte über KI generiert bzw. manipuliert, nicht nach dem DSA verpflichtet wird, weil sie nicht als VLOP/VLOSE zu qualifizieren ist, allerdings über den AIA zur Kennzeichnung bzw. Offenlegung der künstlich erzeugten Inhalte verpflichtet wird.
Die verschiedenen Wirkungsarten der Grundrechte im staatlichen und privaten Kontext (c) Research Institute
Grundrechtsschutz
In Artikel 1 Absatz 1 DSA wird der Schutz der in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte, darunter auch der Grundsatz des Verbraucherschutzes, explizit zum Ziel der Verordnung erklärt. Dies bezieht sich vorrangig auf das Recht auf Meinungs- und Informationsfreiheit, die unternehmerische Freiheit, das Recht auf Nichtdiskriminierung, die Menschenwürde, den Medienpluralismus, das Recht auf Achtung des Privatlebens, den Datenschutz sowie die Rechte des Kindes (siehe auch Erwägungsgründe 3 und 81).[77] Die Pflicht zur Wahrung und zum Schutz der Grundrechte schlägt sich insbesondere in folgenden Bestimmungen nieder:
Gemäß Art 14 DSA haben alle Vermittlungsdiensteanbieter Angaben zu einer etwaigen Inhaltsmoderation in ihren AGBs transparent zu machen. Dabei muss die Inhaltsmoderation und vor allem die Beschränkung von Inhalten stets die Grundrechte der Nutzer wahren, insbesondere das Recht auf freie Meinungsäußerung sowie die Freiheit und den Pluralismus der Medien (Art 14 Abs 4 DSA).
Gemäß Art 31 Abs 1 DSA sind Online-Schnittstellen von Transaktionsplattformen so zu konzipieren, dass sie Verbraucherrecht entsprechen.
Die Anbieter von VLOPs und VLOSEs müssen Grundrechte besonders berücksichtigen und haben einerseits gemäß Art 34 DSA alle systemischen Risiken ihrer Dienste zu bewerten, worunter gemäß Art 34 Abs 1 lit b DSA auch die Bewertung von nachteiligen Auswirkungen auf die Ausübung der Grundrechte fällt. Dies können beispielsweise Verletzungen der Menschenwürde im Kontext von (online) Mobbing, unzulässige Beschränkungen der Meinungsäußerungsfreiheit oder Diskriminierungen durch bestimmte Online-Werbedarstellungen sein.[8] Bei den in weiterer Konsequenz zu ergreifenden Risikominderungsmaßnahmen nach Artikel 35 sind die Auswirkungen dieser Maßnahmen auf die Grundrechte besonders zu berücksichtigen. Im Krisenfall gemäß Art 36 DSA kann die Kommission einen Beschluss erlassen, in dem die Anbieter von VLOPs und VLOSEs aufgefordert werden, bestimmte Maßnahmen zu ergreifen, wobei die Kommission sicherzustellen hat, dass die Maßnahmen unbedingt erforderlich, gerechtfertigt und verhältnismäßig in Bezug auf die Wahrung der Grundrechte sind. Die Krisenprotokolle nach Art 48 DSA haben darzulegen, welche Schutzvorkehrungen von den Anbietern zur Wahrung der Grundrechte getroffen wurden. Sollten diese Maßnahmen die Grundrechte nicht angemessen schützen, kann die Kommission den betroffenen Anbietern die Ergreifung zusätzlicher Maßnahmen vorschreiben.
Darüber hinaus bestehen Synergien unter anderem mit folgenden Rechtsinstrumenten:
Damit bilden die Grundrechte gleichzeitig den Grund der Regulierung der Vermittlungsdienste sowie deren Grenze, da Vermittlungsdiensteanbieter bereits bei der Erbringung ihrer Dienste die Grundrechte berücksichtigen müssen, wodurch eine mittelbare Drittwirkung der Grundrechte und somit eine indirekte Grundrechtsbindung der Vermittlungsdienste begründet wird.[78][79] Eine unmittelbare Drittwirkung der Grundrechte, wodurch Vermittlungsdiensteanbieter zu unmittelbaren Adressaten der Grundrechte und damit zu Grundrechtsverpflichteten werden würden, ist daraus laut Literatur jedoch nicht herauszulesen.[8] Vielmehr sind Vermittlungsdiensteanbieter an das einfache Recht gebunden, das im Lichte der Grundrechte interpretiert und angewandt wird.[8] Die Grundrechte wirken somit einzelfallbezogen in das Privatrecht hinein und die Stärke der mittelbaren Wirkung der Grundrechte ist situationsabhängig zu bestimmen.[8][80]
Grundrechtliche Probleme können sich einerseits aus einer Unterregulierung ergeben, da der Staat seine Schutzpflichten nicht erfüllt und andererseits aus der Regulierung selbst, beispielsweise durch die fehlerhafte Entfernung von Inhalten, Overblocking oder die Risiken in Zusammenhang mit rechtswidrigen Inhalten.[77]
Das Koordinator-für-digitale-Dienste-Gesetz (KDD-G)
Mit dem KDD-G wird die nationale Aufsicht über die digitalen Dienste und die Funktion des Koordinators für digitale Dienste (KDD) als Aufsichtsbehörde der KommAustria übertragen. Zur Unterstützung der KommAustria bei der Erfüllung ihrer Aufgaben als KDD ist die RTR-GmbH berufen. Die Durchsetzungsbefugnisse gegenüber den Vermittlungsdiensteanbietern sind in den §§2ff KDD-G iVm ARt 51 DSA geregelt. Folgende Aufgaben und Befugnisse kommen dabei der KommAustria als KDD zu, wobei sie diese mit Bescheid wahrzunehmen hat (Vgl. §2 Abs 3 KDD-G):
Vom DSA betroffene Stakeholder, Akteure und Sektoren (c) Research Institute basierend auf der Abbildung von 7p mobility[81]die Zulassung bzw. den Widerruf der Zulassung einer außergerichtlichen Streitbeilegungsstelle gemäß Art 21 DSA,
die Zuerkennung bzw. den Widerruf der Zuerkennung des Status als vertrauenswürdiger Hinweisgeber gemäß Art 22 DSA,
die Zuerkennung/Beendigung des Status als zugelassener Forscher in Bezug auf den Forschungsdatenzugang gegenüber VLOPs/VLOSEs gemäß Art 40 DSA sowie das Einbringen des Verlangens auf Datenzugang.
Untersuchungs- und Durchsetzungsbefugnisse sowie das Ergreifen von Maßnahmen in Bezug auf Anbieter von Vermittlungsdiensten sowie von sonst genannten Personen gemäß Art 51 DSA,
die Entscheidung über Beschwerden gemäß Art 53 DSA (wegen mutmaßlichen Zuwiderhandlungen gegen die Vorschriften des DSA), sofern keine Weiterleitung an den KDD am Niederlassungsort erfolgt.
Außerdem kann die KommAustria bei Vorliegen der Voraussetzungen des Art 51 Abs 3 lit b DSA einen Antrag auf Anordnung der vorübergehenden Einschränkung des Zugangs der Nutzer zu dem betroffenen Dienst beim Bundesverwaltungsgericht stellen (Vgl. §4 Abs 1 KDD-G).
§§5, 6 KDD-G normieren die Strafbestimmungen, die gegen Vermittlungsdiensteanbieter verhängt werden können, und die Höhe der Geldstrafen bzw. Zwangsgelder (siehe Näheres im nächsten Abschnitt "Sanktionen").
Das E-Commerce-Gesetz (ECG)
Deutliche Neuerungen brachte das DSA-Begleitgesetz in Bezug auf die Bekämpfung von illegalen Inhalten (insbesondere mit Fokus auf "Hass im Netz") durch Anpassungen des E-Commerce-Gesetzes (ECG). So können nun Entfernungsanordnungen von rechtswidrigen Inhalten den Anordnungsmechanismus nach Art 9 DSA auslösen (Vgl. §15 ECG). Von nun an ist außerdem die elektronische Zustellung von Anordnungen des Gerichts an den Vermittlungsdiensteanbieter möglich, was zu einer rascheren Lösung in Bezug auf rechtswidrige Inhalte beitragen soll. Überdies wurde in §16 E-Commerce-G (ECG) eine Rechtsgrundlage für die Zuerkennung von immateriellem Schadenersatz bei erheblichen Ehrenbeleidigungen als Form von Hass im Netz geschaffen, die direkt gegenüber jenem Nutzer durchsetzbar ist, der einen entsprechenden Inhalt gepostet hat.
Die Haftungsausschlüsse der Vermittlungsdiensteanbieter sind nun nicht mehr im ECG geregelt, sondern wurden in die Art 4 bis 10 DSA übernommen. Damit treten die ehemaligen §§13-16 ECG außer Kraft.
Sonstige Änderungen durch das DSA-Begleitgesetz
Allgemeines Bürgerliches Gesetzbuch (ABGB): In §20 Abs 3 zur Verantwortlichkeit für Unterlassungs- und Beseitigungsansprüche wegen Persönlichkeitsverletzungen wurde der Begriff "Vermittlungsdiensteanbieter" an die Terminologie des DSA angepasst.[82]
Urheberrechtsgesetz (UrhG): Die Bestimmung über die Geltendmachung von urheberrechtlichen Unterlassungsansprüchen gegen Vermittler nach § 81 Abs 1a UrhG wurde an die neuen Haftungsausschlüsse des DSA angeglichen.[82]
Strafprozessordnung (StPO): Die Auskunft über die Stamm- und Zugangsdaten, wenn diese zur Aufklärung eines konkreten Verdachts einer Straftat erforderlich erscheint, wird erleichtert. Die Definition der Erteilung einer Auskunft über Stamm- und Zugangsdaten findet sich nun in §134 Z 1a und 1b StPO mit Verweis auf §160 Abs 3 TKG.[82]
Sanktionen
Der DSA sieht ein zweigeteiltes Sanktionssystem vor. Sanktionen bei Nichteinhaltung der Vorschriften durch VLOPs und VLOSEs werden durch die EU-Kommission verhängt (Art 73ff). Die Verhängung von Strafen gegen sonstige Anbieter von Vermittlungsdiensten obliegt den Mitgliedstaaten bzw den von diesen ernannten Koordinatoren für digitale Dienste (Art 52ff iVm Art 51). In Österreich wurde die KommAustria als Koordinator für digitale Dienste (KDD) benannt und deren Aufgaben sowie Befugnisse sind im Koordinator-für-digitale-Dienste-Gesetz (KDD-G) verankert. In Bezug auf Vermittlungsdienste, bei denen es sich nicht um VLOPs oder VLOSEs handelt, finden sich im KDD-G Spezifikationen zu den Sanktionen, die von der KommAustria verhängt werden können. Die Sanktionierung von Anbietern von VLOPs oder VLOSEs fällt in jenen Fällen in die Zuständigkeit des KDD, wenn diese ihren Nutzern keine kompakte, leicht zugängliche und maschinenlesbare Zusammenfassung der AGBs und der in Betracht kommenden Rechtsbehelfe zur Verfügung stellen oder ihre AGBs nicht in den Amtssprachen aller Mitgliedstaaten, in denen sie ihre Dienste anbieten, veröffentlichen.[83]
Es drohen folgende Konsequenzen bei Nichteinhaltung der Vorschriften des DSA:
Geldbußen bis zu 1% des weltweiten Jahresumsatzes des betreffenden Anbieters bei weniger gravierenden Zuwiderhandlungen. Im Falle von Vermittlungsdiensten zählen als solche Zuwiderhandlungen die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, das Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie die Nichtduldung einer Nachprüfung.[84] Das KDD-G präzisiert dies dahingehend, dass es sich bei der Zuwiderhandlung um eine Verwaltungsübertretung nach §5 KDD-G handeln muss und sich der Anbieter unkooperativ gegenüber der KommAustria verhalten hat.[85] Bei Anbietern von VLOPs und VLOSEs beinhaltet dies zusätzlich die Verweigerung einer Nachprüfung, die Nichteinhaltung etwaiger von der Kommission angeordneter Überwachungsmaßnahmen oder die Nichterfüllung der Bedingungen für die Akteneinsicht nach Art 79 Abs 4.[86]
Geldbußen bis zu 6% des weltweiten Jahresumsatzes des betreffenden Anbieters im vorangegangenen Geschäftsjahr bei einem vorsätzlichen oder fahrlässigen Verstoß gegen die Verpflichtungen des DSA.[87]
Zwangsgelder: max. 5% des durchschnittlichen weltweiten Tagesumsatzes.[88] Dabei handelt es sich um eine zukunftsorientierte Maßnahme, die für den Fall der Nichtbefolgung einer bescheidmäßigen Aufforderung für jeden Tag der Nichtbefolgung angedroht werden kann, um ein Zuwiderhandeln gegen Bescheide zu verhindern.
Einstweilige Maßnahmen: In dringenden Fällen, in denen eine schwerwiegende Schädigung der Nutzer von VLOPs oder VLOSEs durch eine prima facie Zuwiderhandlung gegen die Vorschriften des DSA zu befürchten ist, kann die Kommission mittels Beschluss einstweilige Maßnahmen gegen den betreffenden Anbieter anordnen. Dieser Beschluss ist zeitlich befristet und kann - sofern erforderlich und angemessen - verlängert werden.[89]
Weiterführende Literatur
Hofmann/Raue (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023)
Kraul (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023)
Mast/Kettemann/Dreyer/Schulz (Hrsg), DSA. DMA. Digital Services Act. Digital Markets Act. Kommentar (2024, iE)
Müller-Terpitz/Köhler (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024)
Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023)
↑ 3,03,1Kern, Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.
↑Staudegger, Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).
↑Die Förderung von Innovation, Wachstum und fairen Märkten sowie die Schaffung von gleichen Wettbewerbsbedingungen für Startups fällt in den Anwendungsbereich des Digital Markets Act (DMA).
↑Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe Erwägungsgrund 14 DSA).
↑Vgl. dazu das EuGH-Urteil C-484/14 vom 15.09.2016 in der Rechtssache McFadden/Sony Music und die näheren Ausführungen in: Hofmann/Raue (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).
↑ 16,016,1Vgl. dazu das EuGH-Urteil C-434/15 vom 20.12.2027 in der Rechtssache Elite Taxi/Uber System Spain und die näheren Ausführungen in: Hofmann/Raue (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).
↑Vgl. Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV).
↑Decarolis/Li, Regulating online search in the EU: From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).
↑Staudegger, Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85.
↑ 22,022,1Handel, Strafbare Inhalte: Die Privilegierung von Online-Plattformen und Hosting-Diensten nach Art. 6 DSA, KuR 2023, 161.
↑ 23,023,123,223,323,423,523,623,7Schonhofen, Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.
↑Gemäß Art 61 DSA wird ein Europäisches Gremium für digitale Dienste (das "Gremium") eingerichtet, um als unabhängige Beratergruppe zu fungieren und die Diensteanbieter zu beaufsichtigen. Mehr Informationen gibt es auf der Webseite der Europäischen Kommission unter: https://digital-strategy.ec.europa.eu/de/policies/dsa-board
↑ErwGr 67 DSA definiert dark patterns wie folgt: „Dark Patterns“ auf Online-Schnittstellen von Online-Plattformen sind Praktiken, mit der darauf abgezielt oder tatsächlich erreicht wird, dass die Fähigkeit der Nutzer, eine autonome und informierte Auswahl oder Entscheidung zu treffen, maßgeblich verzerrt oder beeinträchtigt wird. Solche Praktiken können eingesetzt werden, um die Nutzer zu unerwünschten Verhaltensweisen oder ungewollten Entscheidungen zu bewegen, die negative Folgen für sie haben. Anbietern von Online-Plattformen sollte es daher untersagt sein, die Nutzer in die Irre zu führen oder zu etwas zu verleiten und die Autonomie, die Entscheidungsfreiheit oder die Auswahlmöglichkeiten der Nutzer durch den Aufbau, die Gestaltung oder die Funktionen einer Online-Schnittstelle oder eines Teils davon zu verzerren oder zu beeinträchtigen.
↑Demnach ist eine Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."
↑ 36,036,136,236,336,4Vgl Martini/Kramme/Kamke, KI-VO, DMA und DA als Missing Links im Kampf gegen dunkle Designmuster?, MMR 2023, 399.
↑Siehe die genaue Aufzählung in Art 4 Abs 2 DSGVO. Es ist unerheblich, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. So können auch manuelle Verarbeitungstätigkeiten unter die DSGVO fallen, sofern die Informationen in einer strukturierten Weise in einem Dateisystem gesammelt werden. Zentral ist dabei, dass die personenbezogenen Daten nach bestimmten Kriterien zugänglich sind (beispielsweise sortiert nach Jahr, Aktenzeichen oder Namen). Vgk. dazu: Scheichenbauer, Datenschutzrecht für Vereine (2023).
↑ 74,074,1Vgl. Honer/Schöbel, Das Gesetz über Künstliche Intelligenz im System der europäischen Digitalregulierung - Ein Überblick, JuS 2024, 648.
↑Der zweite Fall bezieht sich auf Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt bzw. um private Einrichtungen, die öffentliche Dienste erbringen. Diese Fallkonstellation wird daher in der Praxis kaum vorkommen, wurde hier der Vollständigkeit halber jedoch mitbehandelt.
↑ 77,077,1Vgl. Müller-Terpitz/Köhler (Hrsg), Digital Services Act. Gesetz über Digitale Dienste. Kommentar (2024).
↑Vgl. Kraul (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (DSA) (2023).
↑Vgl. Kraul (Hrsg), Das neue Recht der digitalen Dienste. Digital Services Act (2023).
↑Müller-Terpitz/Köhler (Hrsg), Digital Services Act. Gesetz über digitale Dienste. Kommentar (2024).
