FAQ: Digital Services Act

Inhaltsverzeichnis

Der Digital Services Act (DSA) ist da und bringt vor allem schärfere Vorschriften für Unternehmen zur Inhaltsmoderation mit. Umgekehrt erhalten Verbraucher mehr Rechte, die sie teilweise bereits zuvor nutzen konnten. Denn besonders große Dienstanbieter müssen sich schon jetzt an den DSA halten, alle anderen ab 17. Februar. Wir beantworten wichtige Fragen für Sie.

Neue Regeln

Was ist der Digital Services Act?

Der Digital Services Act (DSA) ist eine Verordnung der Europäischen Union (EU), die im Deutschen offiziell "Gesetz über digitale Dienste" genannt wird. Als EU-Verordnung wirkt der DSA unmittelbar. Seine Vorschriften gelten also vor Gesetzen der Mitgliedsstaaten, die sich mit denselben Inhalten befassen. In der Regel passen die Staaten ihre Gesetze innerhalb der Umsetzungsfrist an eine EU-Verordnung an, um Widersprüche aufzulösen. In Deutschland wird das noch nicht verabschiedete DSA-Anpassungspaket "Digitale-Dienste-Gesetz" (DDG) heißen.

Einen ersten Entwurf zum DSA hatte die EU-Kommission am 15. Dezember 2020 veröffentlicht. Nach intensiven Verhandlungen zwischen EU-Parlament, EU-Rat und EU-Kommission stand im Oktober 2022 ein Kompromiss, der am 16. November 2022 als Verordnung 2022/2065 in Kraft trat. Nach einer Karenzzeit von 15 Monaten wird der DSA am 17. Februar 2024 bis auf wenige Regelungen voll wirksam. Er greift damit in allen 27 EU-Mitgliedsstaaten und im europäischen Wirtschaftsraum (EWR).

Für wen gilt der DSA?

Nach dem Willen der EU-Kommission soll der DSA möglichst alle Angebote digitaler Dienste abdecken und diese gemäß der Binnenmarktlogik einem einheitlichen Regelwerk unterwerfen. Er gilt also für den lokalen Zugangsprovider um die Ecke ebenso wie für gewerbliche Betreiber von Webforen und die US-Megakonzerne. Die Verordnung unterteilt Dienste in mehrere Kategorien (siehe Bild). Auf der untersten Stufe stehen "Vermittlungsdienste", für die der DSA nur wenige Pflichten vorsieht. Je höher es auf der Leiter geht, desto schärfere Vorschriften kommen hinzu.

Die umfangreichsten Regeln treffen sogenannte Very Large Online Platforms (VLOPs) und Verly Large Online Search Engines (VLOSEs). Auf sie zielt der DSA in allererster Linie. Es handelt sich um Onlineplattformen, die mehr als 45 Millionen monatlich aktive Nutzer innerhalb der EU ausweisen. Die Prüfung der Zahlen sowie die Benennung dieser Onlineriesen obliegt der EU-Kommission. Ende April 2023 hat sie in einem ersten Schwung 17 VLOPs (unter anderem Amazon, Apple, Facebook, Google, Instagram, TikTok und Twitter/X) sowie zwei VLOSES (Bing und Google Search) benannt. Für diese Plattformen gelten viele Regeln des DSA ungeachtet der Übergangsfrist bereits seit dem 25. August 2023.

---

Meldewege

Was regelt der DSA?

Der wichtigste Teil des DSA betrifft den Umgang von Plattformen mit Inhalten, die Nutzer dort veröffentlichen. Insbesondere geht es um Texte, Bilder und Videos, die eventuell rechtswidrig sind. Die EU orientierte sich hier an der E-Commerce-Richtlinie aus dem Jahr 2000, die der DSA in diesen Punkten ersetzt: Es gilt weiterhin das sogenannte Haftungsprivileg. Ein Plattformbetreiber steht also erst dann für Nutzerinhalte in der Verantwortung, wenn er von ihnen weiß. Der DSA verpflichtet ihn nicht dazu, ständig nach rechtswidrigen Inhalten zu suchen.

Was sich allerdings ändert: Hosting-Dienste und Onlineplattformen müssen nun leicht zugängliche Melde- und Abhilfeverfahren für die Meldung potenziell rechtswidriger Inhalte bereitstellen. Der DSA sieht keine konkreten Fristen vor. Beschwerden sollen "zeitnah, diskriminierungsfrei, sorgfältig und frei von Willkür" bearbeitet und entschieden werden. Ein ebenfalls verpflichtendes internes Beschwerdemanagement soll Nutzern, deren Inhalte irrtümlich gesperrt oder deren Benutzerkonten unberechtigt deaktiviert wurden, die Möglichkeit geben, derlei Entscheidungen anzufechten. Außerdem definiert der DSA externe Stellen, die Nutzer außergerichtlich zur Streitbeilegung anrufen können.

Alle Anbieter mit Sitz in der EU müssen laut DSA ab dem 17. Februar leicht zugänglich eine direkt ansprechbare Kontaktstelle für Behörden und Nutzer anbieten. Hat ein Anbieter keinen Sitz in der EU, richtet sein Angebot aber auch an EU-Bürger, hat er einen "gesetzlichen Vertreter" als Ansprechpartner für Behörden und Nutzer zu benennen. Wichtig ist hier: Dieser Vertreter steht laut DSA für Verstöße gegen die Verordnung mit in der Haftung.

Die neuen Transparenzpflichten im DSA treffen sämtliche Anbieter. Je nach Position im Stufenmodell (siehe Bild oben) müssen sie regelmäßig mehr oder weniger ausführliche Berichte über die Moderation von Inhalten und andere Dinge veröffentlichen. Betreiber von Onlineplattformen etwa sollen darlegen, wie viele Beschwerden welcher Art über das Meldesystem eingegangen sind und wie jeweils entschieden wurde.

Anbieter von Onlineplattformen sind außerdem verpflichtet, alle Beschwerdevorgänge schnell an die EU-Kommission zu melden. Diese hat eine Datenbank eingerichtet sowie ein API bereitgestellt. Weil der DSA bis zum 17. Februar ausschließlich für die VLOPs und VLOSEs greift, hatten bislang nur sie Zugang. Unter https://transparency.dsa.ec.europa.eu lässt sich die Datenbank einsehen und abfragen.

Über den Umgang mit Inhalten hinaus enthält der DSA eine Reihe weiterer Pflichten für Onlinedienste, die Verbrauchern zugutekommen sollen: ein etwas vage gehaltenes Verbot von sogenannten "Dark Patterns" (also irreführenden Elementen in Bedienoberflächen), Transparenzpflichten zur Onlinewerbung, ein teilweises Verbot von Tracking-gestützten Werbeschaltungen und eine Pflicht zum Anbieten einer chronologischen Timeline. Zudem verspricht der DSA mehr Schutz von Minderjährigen, unter anderem das Verbot von Tracking-gestützter Werbeausspielung an Minderjährige, wobei ungeklärt ist, wie die Anbieter Minderjährige als zweifelsfrei solche erkennen sollen.

---

Hartes Regime

Welche Strafen drohen Unternehmen, wenn sie gegen den DSA verstoßen?

Bis zu sechs Prozent des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr können auf Anbieter als Geldbuße zukommen. Der Meta-Konzern beispielsweise hat im Jahr 2022 rund 107 Milliarden Euro Umsatz erwirtschaftet. 2023 wäre also theoretisch eine Strafe von bis zu 6,4 Milliarden Euro möglich gewesen. Kommt ein Anbieter gegenüber der Aufsicht lediglich seinen Informationspflichten nicht nach, oder es stellt sich im Nachhinein heraus, dass er geschwindelt hat, kann es immerhin bis zu ein Prozent sein. Der Gesetzgeber ließ in Art. 52. Abs. 2 keinen Zweifel: "Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein."

Wer prüft, ob die Anbieter ihren Verpflichtungen nachkommen und verhängt Bußgelder?

Die Aufsicht und Durchsetzung regelt Art. 56 des DSA. Demnach ist für die besonders großen Anbieter (VLOPs und VLOSEs) direkt die EU-Kommission zuständig. Dazu hat bereits eine neue Abteilung, die "Platforms Policy and Enforcement" (CNECT.F) ihre Arbeit aufgenommen und schon ein erstes formelles Verfahren gegen den Kurznachrichtendienst X eröffnet.

Alle anderen Dienste sollen von "Koordinatoren für digitale Dienste" (Digital Services Coordinator, DSC) beaufsichtigt werden. Jeder EU-Mitgliedsstaat muss bis zum 17. Februar eine oder mehrere Behörden benennen, die diese Funktion autonom und unabhängig übernehmen.

Dem nationalen DSC fallen noch weitere Aufgaben zu. So soll er die erwähnten außergerichtlichen Streitbeilegungsstellen zertifizieren und beaufsichtigen. Außerdem verleiht und entzieht er Organisationen ihren Status als vertrauenswürdige Hinweisgeber (Trusted Flaggers). Diese Hinweisgeber, etwa Verbraucherzentralen oder Bürgerrechtsorganisationen, haben im DSA eine wichtige Funktion, denn ihre Meldungen und Beschwerden müssen von Plattformen bevorzugt bearbeitet werden.

In Deutschland wird dem Gesetzentwurf zum Digitale-Dienste-Gesetz zufolge die Aufgabe des DSC der Bundesnetzagentur zukommen, die dafür schon kräftig Personalbedarf angemeldet hat. Doch weil das DDG frühestens im April in Kraft tritt, wird Deutschland zum DSA-Start ohne offiziell benannten DSC dastehen. Stattdessen sendet die Bundesnetzagentur Vertreter, die man als designierte DSC betrachten kann.

---

Meldestellen

An wen können sich Bürger wenden, wenn sie Verstöße gegen den DSA vermuten?

Da der DSA bislang nur für VLOPs und VLOSEs angewendet wurde, konnte man auch nur DSA-Verstöße dieser Plattformen melden. Ein Beschwerdeformular hat die Kommission nicht eingerichtet, nimmt aber Hinweise unter der Mailadresse CNECT-DIGITAL-SERVICES@ec.europa.eu entgegen. Sobald die Bundesnetzagentur als DSC ihre Arbeit aufnimmt, wird auch sie Beschwerden zu allen umfassten Diensten entgegennehmen und gegebenenfalls weiterleiten. Weitere Informationen zu Abläufen und Ansprechpartnern, werden in den kommenden Tagen erwartet. Ein Gremium bestehend aus den DSCs wird sich rasch zusammensetzen.

Gibt es für Dienste eine Meldepflicht an Strafverfolgungsbehörden?

Ja, sie besteht bei Verdacht auf eine Straftat, "die eine Gefahr für das Leben oder die Sicherheit einer Person" bedeuten kann. Dabei spielt es keine Rolle, ob der betreffende Inhalt darauf hinweist, dass die Tat begangen wurde, begangen wird oder begangen werden könnte. Hosting-Dienste und Onlineplattformen müssen solche Verdachtsfälle "unverzüglich" einer Strafverfolgungsbehörde melden und alle vorliegenden Informationen übermitteln. In Deutschland wird laut DDG-Entwurf das Bundeskriminalamt als zentrale Anlaufstelle fungieren. Dort rechnet man bereits mit hunderttausenden Meldungen pro Jahr, denen man nachgehen muss.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

• c’t-Ausgaben online lesen
• c’t im heise-Shop kaufen

(hob)