Digital Services Act (DSA)

Langtitel: Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste)

Kurztitel: Gesetz über digitale Dienste; Digital Services Act (DSA)

Kurzübersicht


Ziele	Anwendungsbereich	Inhalt
Festlegung harmonisierter Vorschriften für Online-Vermittlungsdienste	Online-Vermittlungsdienste, Hosting-Dienste, Online-Plattformen inklusive Plattformen, auf denen der Abschluss von Fernabsatzverträgen zwischen Verbrauchern und Unternehmen möglich ist, sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs)	Abgestufter Regelungsansatz mit unterschiedlichen Sorgfaltspflichten je nach Art und Größe des Vermittlungsdienstes
Gewährleistung eines vertrauenswürdigen, sicheren und vorhersehbaren Online-Umfelds	Vermittlungsdienste, die Nutzern mit Niederlassung in der Europäischen Union angeboten werden ("Marktortprinzip")
Schutz einer effektiven Grundrechtsausübung (insbesondere Verbraucherschutz)
Verwirklichung des Binnenmarktes
Rechtssicherheit

Einführung

Das Gesetz über digitale Dienste (Digital Services Act oder DSA) legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten. Ebenso zielt das Regelwerk auf den Schutz und die Gewährleistung einer effektiven Grundrechtsausübung – insbesondere das Recht auf Meinungs- und Informationsfreiheit sowie den Verbraucherschutz. Der DSA normiert umfassende Verpflichtungen für Anbieter von Online-Diensten und verfolgt dabei einen abgestuften Regelungsansatz, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Zusammen mit dem Digital Markets Act (DMA) bildet er das Paket zum Gesetz über digitale Dienste der Europäischen Kommission mit dem Hauptziel, kontrollierte und grundrechtskonforme digitale Dienste, faire Märkte sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit bei gleichzeitiger Verwirklichung des europäischen Binnenmarktes sicherzustellen.^[1]^[2]

Der DSA besteht aus 93 Artikeln sowie 156 Erwägungsgründen und ist wie folgt strukturiert^[3]:

In Kapitel 1 finden sich allgemeine Bestimmungen zum Gegenstand, Geltungsbereich und zu den wesentlichen Bestimmungen (sogenannte "Legaldefinitionen") des DSA (Art 1-3).
In den Art 4-8 wird ein Rahmen für die bedingte Haftungsbefreiung der Anbieter von Vermittlungsdiensten festgelegt.
Die Art 11-43 beinhalten einen abgestuften Pflichtenkatalog, der besondere Sorgfaltspflichten je nach Art und Größe der jeweiligen Vermittlungsdienste vorschreibt.
Der letzte Teil der Verordnung (ab Art 49) enthält Vorschriften über die Durchführung und Durchsetzung der Verordnung, über die Zusammenarbeit und Koordinierung zwischen den zuständigen Behörden und über die Verhängung von Sanktionen.

Anwendungsbereich

Räumlich

Der DSA gilt für Vermittlungsdienste, sofern diese für Nutzer mit Niederlassung in der Europäischen Union angeboten werden (Art 2 Abs 1 DSA). Der Niederlassungsort des Anbieters dieser Dienste spielt hingegen keine Rolle, womit der DSA dem sog. Marktortprinzip folgt und seinen Geltungsbereich daran knüpft, ob Unternehmen ihre geschäftliche Tätigkeit auf den EU-Markt ausrichten.^[1]

Sachlich

Sachlich ist der DSA auf Vermittlungsdienste anwendbar (Art 2 Abs 1 DSA), worunter auch Online-Plattformen und Online-Suchmaschinen fallen. Der Begriff „Vermittlungsdienst“ umfasst eine Reihe von wirtschaftlichen Online-Tätigkeiten, die sich kontinuierlich weiterentwickeln, um eine rasche und komfortable Übermittlung von Informationen zu ermöglichen.^[4]

Um als Vermittlungsdienst zu gelten, muss eine der folgenden Dienstleistungen erbracht werden (Art 3 lit g):

Entweder erfolgt eine „reine Durchleitung“, wobei von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt wird. Darunter fallen beispielsweise virtuelle private Netze, interpersonelle Kommunikationsdienste oder drahtlose Zugangspunkte.^[4]
Oder es wird eine „Caching“-Leistung erbracht, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Dies umfasst das alleinige Betreiben von Netzwerken zur Bereitstellung von Inhalten, Reverse-Proxys oder Proxys zur Anpassung von Inhalten.^[4]
Schließlich kann es sich auch um einen „Hosting"-Dienst handeln, der von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Als Beispiele können Cloud-Computing-Dienste, Web-Hostingdienste oder Dienste, die den Online-Austausch und die Speicherung von Inhalten und Dateien ermöglichen, genannt werden.^[4]

Innerhalb der weit gefassten Kategorie der Hostingdienste ist die Unterkategorie „Online-Plattformen“ abzugrenzen, da diese Dienste besondere Merkmale aufweisen und der DSA spezifische Verpflichtungen für deren Anbieter festlegt.^[5] Eine Online-Plattform bezeichnet einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet^[6], wobei es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handeln darf (Art 3 lit i DSA). Online-Plattformen sind beispielsweise soziale Netzwerke oder Plattformen, auf denen Verbraucher Fernabsatzverträge mit Unternehmen schließen können.^[5]

Da Online-Plattformen und -Suchmaschinen, sobald sie eine gewisse Anzahl an Nutzern erreichen, einen größeren Einfluss darauf haben, wie die Nutzer online Informationen erhalten und kommunizieren, gehen mit ihnen systemische Risiken einher, die unverhältnismäßige Auswirkungen auf die Union haben können. Daher führt der DSA ein erweitertes Aufsichtssystem für sog. „sehr große Online-Plattformen“ (Very Large Online Platforms – VLOPs) und „sehr große Online-Suchmaschinen“ (Very Large Search Engines – VLOSEs) mit erheblicher Reichweite ein und schreibt deren Anbietern weitergehende Sorgfaltspflichten vor. Als VLOPs bzw. VLOSEs gelten Online-Plattformen und -Suchmaschinen, die mehr als 45 Millionen oder 10% der EU-Verbraucher erreichen.^[7]

VLOPs: Instagram, LinkedIn, booking.com, Wikipedia, Zalando [weitere anführen]
VLOSEs: Bing, Google Search

Ausnahmen

Klein- und Kleinstunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Mio. € sind vom Anwendungsbereich bestimmter Sorgfaltspflichten ausgenommen, zB den Transparenzberichtspflichten nach Art 15, die zusätzlichen Verpflichtungen für Anbieter von Online-Plattformen in Abschnitt 3, oder die Bestimmungen für Anbieter von Online-Plattformen zum Abschluss von Fernabsatzverträgen in Abschnitt 4.

Zeitlich

Der DSA ist am 16. November 2022 in Kraft getreten und seine Bestimmungen sind seit dem 17. Februar 2024 vollumfänglich anwendbar (Art 93 DSA). Da es sich bei dem DSA um eine EU-Verordnung handelt, müssen die einzelnen Bestimmungen nicht in nationales Recht umgesetzt werden (im Unterschied zu EU-Richtlinien), sondern gelten unmittelbar.^[8]

Zentrale Inhalte

Der DSA konzentriert sich auf die Förderung eines transparenten und sicheren Online-Umfelds und setzt dies mittels eines umfassenden Rechte- und Pflichtenkatalogs für Anbieter digitaler Dienste, Online-Nutzer, private Kunden und Geschäftskunden in verschiedenen Branchen um.^[9] Während er einerseits Haftungsprivilegien für Anbieter von digitalen Diensten normiert, enthält er auch weitreichende Sorgfaltspflichten in Form eines abgestuften Regelungsansatzes, der Anbieter je nach Art und Größe unterschiedlich weit verpflichtet. Die Kernpflichten nach dem DSA umfassen dabei Transparenzpflichten, Informationspflichten, bestimmte Anforderungen an AGBs, Verbote bestimmter Praktiken (zB auf Profiling von sensiblen Daten gestützte Werbeeinschaltungen an Minderjährige oder die Verwendung von manipulativen Taktiken wie „dark patterns“) und bestimmte Verpflichtungen im Umgang mit illegalen Inhalten. Den Abschluss bilden Vorschriften über die (behördliche) Durchsetzung der Vorgaben des DSA, inklusive nationale Aufsichtsmechanismen, Sanktionsmöglichkeiten und Regelungen zur länderübergreifenden Zusammenarbeit.^[10]

Haftungsprivilegien

Abgestufter Pflichtenkatalog

Kapitel III (Art 11-43) ist in Form eines abgestuften Pflichtenkatalogs strukturiert und normiert Sorgfaltspflichten für Vermittlungsdienste, deren Art und Umfang von der Art, Größe und Funktion des Vermittlungsdienstes abhängen. Dies bedeutet, dass die jeweils nachgereihte Kategorie von Dienstanbietern jene Pflichten der vorangegangenen Dienstanbieter-Kategorie erfüllen muss sowie noch darüberhinausgehende, zusätzliche Sorgfaltspflichten auferlegt bekommt.

Allgemeine Kernpflichten für alle Anbieter von Vermittlungsdiensten (Art 11-15)

Die allgemeinen Verpflichtungen in Abschnitt 1 (Art 11-15) treffen alle Anbieter von Vermittlungsdiensten.

Diese beinhalten einerseits eine Harmonisierung der Kommunikationsmöglichkeiten von Behörden und Nutzern mit den Diensten durch die Benennung von zentralen Kontaktstellen durch den Dienstanbieter (Art 11 und Art 12)^[10] sowie eines gesetzlichen Vertreters, sofern der Anbieter eines Vermittlungsdienstes keine Niederlassung in der Europäischen Union hat (Art 13). Die Informationen über die zentralen Kontaktstellen sind leicht zugänglich zu veröffentlichen und stets auf dem neuesten Stand zu halten.^[11]
In Art 14 normiert der DSA, dass in den Allgemeinen Geschäftsbedingungen der Anbieter Angaben zur Beschränkung von Nutzerinhalten und zur Ausgestaltung der Inhaltsmoderation transparent gemacht werden. Sofern sich der Dienst hauptsächlich an Minderjährige richtet, müssen Informationen über die Bedingungen und jegliche Einschränkungen für die Nutzung des Dienstes so formuliert sein, dass Minderjährige sie verstehen können. Anbieter von Vermittlungsdiensten haben außerdem in ihren Beschränkungen sorgfältig, objektiv und verhältnismäßig vorzugehen sowie die Grundrechte der Nutzer zu wahren, insbesondere das Recht auf freie Meinungsäußerung und die Medienfreiheit.
Außerdem sind Anbieter von Vermittlungsdiensten dazu angehalten, einmal jährlich einen klar verständlichen Transparenzbericht zu veröffentlichen (Art 15), der beispielsweise Informationen über die Ausgestaltung der Inhaltsmoderation sowie eine etwaige Verwendung automatisierter Mittel enthalten muss. Von dieser Transparenzberichtspflicht sind Kleinst- und Kleinunternehmen ausgenommen.

Sorgfaltspflichten von Hostingdiensteanbietern (Art 16-18)

Abschnitt 2 (Art 16-18) schreibt Hostingdiensteanbietern zusätzlich zu den Kernpflichten in Abschnitt 1 folgende darüberhinausgehende Verpflichtungen vor:

Zunächst haben sämtliche Hostingdienstanbieter ein Melde- und Abhilfeverfahren einzurichten (Art 16), damit Personen oder Einrichtungen ihrer Ansicht nach rechtswidrige Inhalte melden können. Diese Verfahren müssen leicht zugänglich, benutzerfreundlich und auf elektronischem Weg möglich sein. Anbieter müssen Nutzern die Übermittlung folgender Angaben ermöglichen: hinreichend begründete Erläuterungen zur Rechtswidrigkeit der Inhalte, genauer Speicherort der Inhalte (z.B. URL-Adresse), Name und E-Mail-Adresse der meldenden Person und Erklärung über Richtigkeit und Vollständigkeit der Meldung.^[11] Sind die Meldungen über rechtswidrige Inhalte dazu geeignet, dass der Anbieter ohne weitere rechtliche Prüfung die Rechtswidrigkeit feststellen kann, wird davon ausgegangen, dass der Anbieter tatsächliche Kenntnis über die Rechtswidrigkeit des Inhalts hat und das Haftungsprivileg nach Art 6 nicht mehr greift.
Sofern ein Hostingdiensteanbieter Inhaltsbeschränkungen vornimmt, hat er diese den betroffenen Nutzern klar und spezifisch zu begründen (Art 17). Darunter fallen Beschränkungen der vom Nutzer bereitgestellten Informationen, die Entfernung von Inhalten, die Sperrung des Zugangs zu Inhalten, die Aussetzung von Geldzahlungen, die Beschränkung oder Beendigung der Bereitstellung des Dienstes und die Sperrung des Nutzerkontos. Die Begründung muss unter anderem Informationen über mögliche Rechtsbehelfe, die der Entscheidung zugrundeliegenden Tatsachen und Umstände sowie die etwaige Verwendung automatisierter Mittel zur Entscheidungsfindung beinhalten.
Der Hostingdiensteanbieter ist verpflichtet, bei Verdacht, dass eine Straftat, die eine Gefahr für das Leben oder die Sicherheit einer Person darstellt, vorliegt, eine Meldung an die Strafverfolgungs- oder Justizbehörden vorzunehmen (Art 18). Die Meldung hat an die Behörden jenes Mitgliedstaates zu ergehen, in dem die Straftat begangen wurde bzw. begangen werden könnte oder in dem der Verdächtige oder das Opfer seinen Wohnsitz hat.

Transparenzpflichten

Dark patterns

Durchsetzung der Verordnung

Fallbeispiele

Synergien

Konsequenzen/Sanktionen

Weiterführende Literatur

Hofmann/Raue (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023)

Weiterführende Links

↑ ^1,0 ^1,1 Kern, Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.
↑ Staudegger, Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).
↑ Siehe auch die Einteilung in Art 1 Abs 2 DSA.
↑ ^4,0 ^4,1 ^4,2 ^4,3 Siehe Erwägungsgrund 29 DSA.
↑ ^5,0 ^5,1 Siehe Erwägungsgrund 13 DSA.
↑ Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe Erwägungsgrund 14 DSA).
↑ Siehe Erwägungsgrund 76.
↑ Vgl. Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV).
↑ Decarolis/Li, Regulating online search in the EU: From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).
↑ ^10,0 ^10,1 Hofmann/Raue (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).
↑ ^11,0 ^11,1 Schonhofen, Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.

[:0-1] 1,0 ^1,1 Kern, Checkliste: Überblick über das abgestufte Regulierungssystem des Digital Services Act. Anwendungsbereich der DSA-Sorgfaltspflichten nach Art und Größe der Vermittlungsdienste, ecolex 2024/118, 214.

[2] Staudegger, Aktuelles aus dem IT-Recht - Daten-Governance-Rechtsakt (DGA), Gesetz über Digitale Märkte (DMA), Gesetz über Digitale Dienste (DSA), jusIT 2023/40, 85 (92).

[3] Siehe auch die Einteilung in Art 1 Abs 2 DSA.

[:1-4] 4,0 ^4,1 ^4,2 ^4,3 Siehe Erwägungsgrund 29 DSA.

[:2-5] 5,0 ^5,1 Siehe Erwägungsgrund 13 DSA.

[6] Eine „öffentliche Verbreitung“ meint eine Bereitstellung von Informationen für eine potenziell unbegrenzte Zahl an Personen (siehe Erwägungsgrund 14 DSA).

[7] Siehe Erwägungsgrund 76.

[8] Vgl. Art 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV).

[9] Decarolis/Li, Regulating online search in the EU: From the android case to the digital marketes act and digital services act, International Journal of Industrial Organization 2023/90, 1 (6).

[:3-10] 10,0 ^10,1 Hofmann/Raue (Hrsg), Digital Services Act. Gesetz über digitale Dienste (2023).

[:4-11] 11,0 ^11,1 Schonhofen, Überblick über die neuen Sorgfaltspflichten aus dem Digital Services Act, Der Betrieb 2023/47, 2740.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]