Der Digital Services Act wird ab dem 17. Februar 2024 vollumfänglich anwendbar sein. Dann soll gelten, dass „was offline illegal ist, auch online verboten ist“, so die Intention des Gesetzgebers. Für Betreiber von digitalen Diensten ergeben sich aus dem Digital Services Act umfassende neue Regelungen für mehr Transparenz und mehr Schutz von Verbrauchern. Lesen Sie hier, für wen der Digital Services Act Anwendung findet und was es bei der Umsetzung zu beachten gilt.
Worum geht es?
Die Europäische Union hat im November 2022 ein umfassendes Regulierungspaket verabschiedet, das aus zwei Verordnungen besteht: dem Gesetz über die digitalen Dienste (Digital Services Act) und dem Gesetz über die digitalen Märkte (Digital Markets Act). In diesem Beitrag geht es um den Digital Services Act, ein folgender Beitrag wird sich mit dem Digital Markets Act befassen. Als EU-Verordnungen gelten die neuen Bestimmungen für alle Unternehmen in Europa unmittelbar, ohne dass die Gesetze in den Mitgliedsstaaten umgesetzt werden müssen. Dadurch soll ein einheitlicher Rechtsrahmen für die ganze EU geschaffen werden, in dem der Digital Markets Act zu einem fairen Wettbewerb zwischen den Plattformanbietern und der Digital Services Act zu einem besseren Grundrechtsschutz und effektiver Rechtsdurchsetzung im Internet führen soll.
Welche Unternehmen sind vom Digital Services Act betroffen?
Der Digital Services Act folgt einem nach vier Stufen abgestuften Regulierungskonzept.
Auf der ersten Stufe richtet sich der Digital Services Act an digitale Dienste, die Verbrauchern mit Wohnsitz oder Niederlassung in der EU den Zugang zu Inhalten, Waren und Dienstleistungen ermöglichen, unabhängig, ob die Anbieter ihren Sitz in der EU oder außerhalb haben. Im Digital Services Act werden diese Dienste als „Vermittlungsdienste“ bezeichnet (Stufe 1). Von dieser weiten Definition sind alle Online-Dienste umfasst, die sich an Verbraucher richten, z.B. Verkaufsplattformen, soziale Netzwerke, Suchmaschinen, Cloud- und Messaging-Dienste.
Weitergehende Regelungen gelten für „Hosting-Dienste“ (Stufe 2), die von Nutzern bereitgestellte Informationen in dessen Auftrag speichern, z.B. Web-Hosting-Dienste und Cloud-Computing-Dienste.
Für „Online-Plattformen“ (Stufe 3), dies sind Hosting-Dienste, die im Auftrag von Nutzern Informationen speichern und öffentlich verbreiten (z.B. Verkaufsplattformen, soziale Netzwerke), gelten über die Stufe 1 und 2 hinausgehende Regelungen.
Für Online-Plattformen mit mehr als 45 Millionen Nutzer pro Monat – diese werden als „sehr große Online-Plattformen“ definiert – greift die intensivste Regulierung (Stufe 4). Die EU-Kommission hat bisher 17 sehr große Online-Plattformen benannt (z.B. Google, Meta, Apple). Diese müssen die Regelungen des Digital Services Act bereits seit dem 25. August 2023 einhalten.
Welche neuen Regelungen ergeben sich aus dem Digital Services Act für Unternehmen?
Einige der Regelungen aus dem Digital Services Act finden sich in Deutschland bereits in bestehenden Gesetzen, andere deutlich strengere Vorschriften sind auch für deutsche Unternehmen neu.
Zentral für den Digital Services Act ist, dass alle Vermittlungsdienste in die Verantwortung genommen werden, illegale Inhalte, Waren und Dienstleistungen zu bekämpfen und entsprechende Einträge zu löschen, nachdem diese von Nutzern gemeldet worden sind. Vermittlungsdienste sind verpflichtet, entsprechende Meldewege zur Verfügung zu stellen. Eine Pflicht zur Vorabprüfung von Inhalten gibt es ausdrücklich nicht. Gewaltaufrufe und illegale Hassrede soll damit schneller als bisher entfernt werden. Auch der Verkauf von gefährlichen oder gefälschten Produkten soll europaweit einheitlich unterbunden werden.
Durch das Gesetz werden zudem die Transparenzpflichten gegenüber Nutzern erhöht. So sollen irreführende Benutzeroberflächen verboten werden und es soll untersagt werden, Verbraucher durch manipulative „Dark Patterns“ zu bestimmten Kaufentscheidungen zu drängen. Dark Patterns beschreibt ein Benutzerschnittstellen-Design, das Benutzer zu Handlungen verleiten soll, die deren Interessen entgegenlaufen.
Sensible Daten – z. B. Herkunft, Gesundheit und sexuelle Orientierung – dürfen nicht mehr für individuell zugeschnittene Werbung genutzt werden. Der Kinder- und Jugendschutz soll dadurch gestärkt werden, dass Plattformen ihre Daten nicht für personalisierte Werbung und Tracking nutzen dürfen. In den Nutzungsbedingungen von Plattformen, die Empfehlungsalgorithmen nutzen, muss erklärt werden, welche Faktoren die Empfehlungen leiten. Zudem muss Nutzern von Seiten der Anbieter ein internes Beschwerdemanagementsystem zur Verfügung gestellt werden. Vermittlungsdienste, die keine Niederlassung in der EU haben, müssen einen gesetzlichen Vertreter in einem Mitgliedsstaat benennen, der für Verstöße gegen den Digital Services Act selbst haftbar gemacht werden kann.
Für „sehr große Online-Plattformen“ mit mehr als 45 Millionen monatlichen Nutzern gilt darüber hinaus, dass sie durch den Digital Services Act der Aufsicht durch die Europäische Kommission als primäre Regulierungsstelle unterstellt werden, was eine einheitliche Umsetzung und Kontrolle der Regelungen ermöglichen soll. Die Anbieter „sehr großer Online-Plattformen“ haben an die Kommission eine jährliche Aufsichtsgebühr zu zahlen. Außerdem werden sie verpflichtet, jährliche Risikoprüfungen durchzuführen und ihre Empfehlungsalgorithmen (auch für Forschungszwecke) transparenter zu machen.
Verstöße gegen den Digital Services Act können für Unternehmen mit empfindlichen Geldbußen von bis zu sechs Prozent des weltweiten Jahresumsatzes geahndet werden, es können aber auch weitere Maßnahmen wie die zeitweilige Aussetzung der Dienste ergriffen werden.
Was ist Unternehmen zu raten?
Unternehmen, die Dienste betreiben, die den Zugang zu Inhalten, Waren und Dienstleistungen in der EU ermöglichen, sollten die verbleibende Zeit der Umsetzungsfrist bis zum 17. Februar 2024 nutzen, um zu prüfen, ob und inwieweit sie Adressaten des Gesetzes sind und welche Maßnahmen erforderlich sind. Auch wenn kleinere und mittlere Online-Plattformen von weniger neuen Vorschriften betroffen sind, müssen auch sie untersuchen, ob ihre derzeitig etablierten Compliance-Mechanismen ausreichend sind und gegebenenfalls zusätzliche Maßnahmen ergreifen.