EU-Parlament stimmt DMA und DSA zu

Tech-Giganten wie Facebook und Google müssen in der Europäischen Union (EU) künftig deutlich strengere Regeln einhalten. Das Europäische Parlament hat am 5. Juli 2022 nämlich dem „Digital Services Act“ (DSA) und dem „Digital Markets Act“ (DMA) mit großer Mehrheit zugestimmt. Dabei soll der DSA möglichst gesellschaftliche Probleme wie den Umgang mit Hassrede und Fake-News in Angriff nehmen. Der DMA hingegen soll mittels härteren Wettbewerbsregulierungen einer weiteren Monopolbildung der etablierten Internetriesen wie Google, Facebook und Co. entgegenwirken.

Und diese sind auch zwingend nötig. Zuletzt hat die EU nämlich Anfang des Jahrtausends umfassende Regeln für den Gebrauch des Internets verabschiedet. Für eine bessere Einordung: Damals war Google gerade gegründet worden. Amazon verkaufte vor allem Bücher und Facebook entstand erst Jahre später. Heutzutage geht es im Internet deutlich anders zu. Die EU will deshalb mit dem DSA und dem DMA zeitgemäße Vorgaben schaffen.

Der Digital Services Act (DSA)

Im Genauen soll der DSA die Pflichten digitaler Dienste regeln, die als Vermittler fungieren. Gemeint sind Plattformen, die Verbraucher mit Waren, Dienstleistungen und Inhalten verbinden wie Online-Marktplätze, Soziale Netzwerke, Internetdienstanbieter und Betreiber von Cloud- und Messaging-Diensten.

Die neuen Vorschriften sind nach Größe und Bedeutung einer Plattform geordnet. Die geringsten Anforderungen gelten für reine Vermittlungsdienste, während sich „sehr große Online-Plattformen“ den größten Änderungen ausgesetzt sehen.

Regelungen für alle Vermittlungsdienste

Dazu werden zunächst die Vermittlungsdienste in verschiedene Unterfälle aufgeteilt: Die „reine Durchleitung“, das „Caching“ und „Hosting“.

• „Reine Durchleitung“ bedeutet, dass die Informationen in einem Kommunikationsnetz nur weitergeleitet werden, so z.B. bei VoIP/Internettelefonie.
• Beim „Caching“ werden Informationen bereits temporär gespeichert, um sie für andere bei einer entsprechenden Anfrage schneller bereitstellen zu können – so etwa bei DNS-Diensten oder Content-Delivery-Networks.
• „Hosting“ bedeutet, dass Informationen für eine gewisse Dauer gespeichert werden – so etwa bei soziale Netzwerken oder E-Mail-Anbietern.

Für alle Vermittlungsdienste existieren Haftungsprivilegierungen in Bezug auf illegale Inhalte, deren Voraussetzungen von der konkreten Art des Vermittlungsdienstes abhängen. Grundsätzlich entfällt in jedem Fall die Privilegierung, wenn der Anbieter die Inhalte der Nutzer verändert. Im Einzelnen sind die Privilegierungen abhängig von der Art des Dienstes folgendermaßen ausgestaltet:

• Reine Durchleitung: Keine Haftung für illegale Inhalte, wenn Veranlassung, Adressaten und die übermittelten Informationen des durchgeleiteten Inhalts ausschließlich vom Nutzer festgelegt werden.
• Caching: Keine Haftung für illegale Inhalte, wenn anerkannte Branchenstandards eingehalten werden und bei Bekanntwerden von illegalen Inhalten zügig gehandelt wird.
• Hosting: Keine Haftung für illegale Inhalte, wenn illegale Inhalte nicht bekannt oder offensichtlich sind und bei Kenntnis zügig gehandelt wird.

Die Haftungsprivilegien können auch durch sorgfältige freiwillige Untersuchungen auf illegale Inhalte oder andere Maßnahmen zur automatischen Entfernung illegaler Inhalte gesichert werden. Gerade größere Anbieter können so die umstrittenen Upload-Filter einsetzen, um ihre Haftungsrisiken zu senken. Eine allgemeine oder aktive Pflicht zur aktiven Erforschung von Rechtsverletzungen besteht hingegen explizit nicht.

Darüber hinaus gelten die folgenden Pflichten für alle Anbieter von Vermittlungsdiensten:

• Befolgung von Anordnungen zum Vorgehen gegen illegale Inhalte und Auskunftsanordnungen von den nationalen Justiz- oder Verwaltungsbehörden
• Benennung und öffentlich leicht zugängliche Bekanntmachung einer elektronischen Kontaktstelle für Behörden
• Benennung und öffentlich leicht zugängliche Bekanntmachung einer elektronischen Kontaktstelle für Nutzer, die nicht nur mit Chat-Bots arbeitet.
• Benennung eines Rechtsvertreters in der EU, sofern der Anbieter keine Niederlassung in der EU hat

Auch für „allgemeine Geschäftsbedingungen“ müssen Anbieter von Vermittlungsdiensten einiges beachten. Beginnend beim Begriff, der abweichend vom deutschen Recht alle vertraglichen Absprachen zwischen Anbieter und Nutzer einschließt. Neben der Veröffentlichung von moderativen Abläufen müssen die Vertragstexte in einfacher und – bei Diensten, die sich an Minderjährige richten – kindgerechter Sprache bereitgestellt werden.

Regelungen für Hosting-Anbieter

Es gibt über die allgemeinen Regelungen hinaus noch Regelungen, die für alle Vermittlungsdienste des Typs „Hosting“ (auch Hosting-Dienst genannt) gelten.

Die Anbieter werden verpflichtet, ein Melde- und Abhilfeverfahren für Rechtsverletzungen einzurichten. Dazu muss ein Formular oder ein anderer einfacher Kontaktweg bereitgestellt werden, der es ermöglicht, den potenziell illegalen Inhalt zu melden. Derzeit erhält man häufig keine Reaktion auf Meldungen und erfährt nicht, ob etwas passiert ist oder nicht. Das ändert sich jetzt. Die Anbieter müssen die Entscheidung nicht nur zeitnah fassen, sondern auch mit Hinweis auf die möglichen Rechtsbehelfe an die meldende Person kommunizieren.

Mit dem Eingehen einer Meldung besteht außerdem die gesetzliche Vermutung, dass der Anbieter Kenntnis von dem illegalen Inhalt hat, sofern ohne eingehende rechtliche Prüfung die Rechtswidrigkeit ersichtlich ist. Es bleibt abzuwarten, welche Sorgfalt die Gerichte in diesem Punkt erwarten. Für alle Social-Media Plattformen, File-Hosting Dienste, etc. dürfte diese Vorschrift von großer Bedeutung sein, da die Haftungsprivilegierung regelmäßig mit dem Eingehen einer Meldung enden wird.

Wird ein Nutzer durch Sperrungen, Löschungen von Inhalten oder eine Aussetzung der Monetarisierung beschränkt, werden Hosting-Dienste darüber hinaus dazu verpflichtet, eine Begründung an den Betroffenen zu senden, sofern ein elektronischer Kontaktweg bekannt ist. Dabei müssen insbesondere die genaue Sanktion und deren Dauer sowie diverse Informationen über die Entscheidungsfindung und mögliche Rechtsbehelfe benannt werden.

Regelungen für Anbieter von Online-Plattformen

Als Spezialfall der Hosting-Dienste gibt es die Online-Plattformen. Neben der Speicherung von Nutzerinhalten verbreiten Online-Plattform diese Inhalte auch öffentlich. Ein Hosting-Anbieter soll jedoch dann nicht als Online-Plattform eingeordnet werden, wenn es sich um eine unbedeutende Nebenfunktion handelt, die nicht ohne den Hauptdienst verwendet werden kann. Darunter fällt beispielsweise der Kommentarbereich einer Online-Zeitung, da der Hauptzweck in der Verbreitung von Nachrichten liegt. Ein klassischer Fall der Online-Plattform sind soziale Netzwerke.

Neben der Online-Plattform beschreibt der DSA auch die sehr großen Online-Plattformen, die zusätzlich zu den allgemeinen Pflichten für Online-Plattformen noch weiteren Pflichten unterliegen – dazu gleich noch mehr. Sie werden von der EU-Kommission gesondert benannt und müssen monatlich mindestens 45 Millionen aktive Nutzer aus der EU haben.

Damit kleine Plattformen nicht vor eine unlösbare Aufgabe gestellt werden, gibt es noch eine weitere Hürde für die stärkeren Regelungen für Online-Plattformen. Die in diesem Abschnitt beschrieben Regelungen gelten deshalb nur für Online-Plattformen, welche die folgende Anforderungen erfüllen:

• Mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz oder
• Benennung als sehr große Online-Plattform

Diese Dienste müssen ein internes Beschwerdemanagementsystem einführen, um als Nutzer gegen eine moderative Entscheidung Widerspruch einzulegen. Die Anbieter treffen hier erneut umfangreiche Vorgaben zur Gestaltung des Beschwerdeprozesses und eine rein automatisierte Entscheidungsfindung wird ausgeschlossen. Führt eine Beschwerde nicht zum gewünschten Erfolg, steht den Nutzern der Weg zu einer außergerichtlichen Streitbeilegungsstelle offen. Die Online-Plattformen sind verpflichtet, daran teilzunehmen und können diese Teilnahme nicht wie bisher üblich ausschließen.

Auch die Melde- und Transparenzpflichten sind für Online-Plattformen weiter gefasst. So müssen Meldungen von vertrauenswürdigen Stellen bevorzugt behandelt werden und der jährliche Transparenzbericht auch Informationen über die Streitbeilegungsverfahren beinhalten. Darüber hinaus müssen die Nutzerzahlen der Plattform alle sechs Monate veröffentlicht werden, sowie alle Entscheidungen und Begründungen über Sanktionen in eine öffentlich zugängliche Datenbank gespeist werden. Es liegt dabei in der Pflicht der Betreiber, dass keine personenbezogenen Daten übermittelt werden. Bereits bestehende Melde- und Beschwerdeverfahren werden daher in jedem Fall überarbeitet werden müssen, um den neuen Anforderungen gerecht zu werden.

Auch das Verbot sogenannter „Dark Patterns“ ist neu. Darunter fallen vorgetäuschte Knappheiten oder bald auslaufende Angebote. Das besondere Hervorheben der Einwilligungsmöglichkeit in die Speicherung von Cookies ist ein solches Dark Pattern. Viele Cookie Banner sollten daher überprüft werden, ob sie den neuen Anforderungen noch gerecht werden.

Besonders relevant für viele Kunden sind auch die neuen Vorschriften zu Werbung und Empfehlungssystemen. In beiden Fällen müssen Online-Plattformen den Kunden die Information geben, wegen welcher Parameter sie die Werbung oder Empfehlung erhalten haben und wie man selbst die Faktoren beeinflussen kann. Gerade bei großen Marktplätzen wie Amazon oder Ebay wird man daher in Zukunft mehr Transparenz erwarten können.

Regelungen für sehr große Online-Plattformen

Die bereits angesprochenen sehr großen Online-Plattformen haben eigene Vorgaben, die sie erfüllen müssen.  Auf Grundlage einer verpflichtenden Risikobewertung werden die Anbieter verpflichtet, entdeckte Risiken zu minimieren, indem sie bspw. ihre Algorithmen und Empfehlungssysteme oder Moderationsprozesse anpassen. Dass diese Vorgaben eingehalten werden, müssen die Betreiber der Plattformen jedes Jahr auf eigene Kosten unabhängig untersuchen lassen.

Und auch der Datenschutz kommt im DSA nicht zu kurz. Wenn sehr große Online-Plattformen Empfehlungssysteme verwenden, müssen sie eine Option ohne Profiling anbieten. Wenn also die eigene wirtschaftliche Situation, Interessen oder die Gesundheit ermittelt wird, um Empfehlungen auszusprechen, ist das mit dieser Option unzulässig.

Darüber hinaus haben sie erhöhte Transparenzpflichten und sollen in Krisensituationen mit der EU-Kommission zusammenarbeiten, um Informationen zielgerichtet verbreiten zu können.

Vorgaben für Online-Marktplätze

Für Online-Marktplätze, die Verbraucher und Unternehmen zusammenbringen, gibt es ebenfalls spezielle Vorschriften, um die Verbraucherrechte im Internet zu wahren. Die Zahl betrügerischer Händler ist in den letzten Jahren stark gewachsen, weshalb Amazon Händler nur noch listen darf, wenn sie einen Identitätsnachweis und Kontaktdaten erhalten haben. Außerdem müssen die Marktplätze so gestaltet werden, dass auch die Verbraucher eine Möglichkeit erhalten, das Unternehmen über ein Logo oder ihre Marke zu identifizieren. Zu guter Letzt muss Amazon demnächst alle Kunden aktiv informieren, wenn herauskommt, dass sie in den letzten sechs Monaten ein illegales Produkt (bspw. eine Fälschung) gekauft haben.

Der Digital Markets Act (DMA)

Der DMA dagegen soll in Zukunft Regeln für Plattformen aufstellen, die als „Gatekeeper“ im digitalen Sektor agieren. Zu diesen „Gatekeepern“ gehören Unternehmen, die einen Jahresumsatz von mindestens 7,5 Milliarden Euro oder eine Marktkapitalisierung von mindestens 75 Milliarden Euro haben. Zudem müssen sie mindestens einen sogenannten zentralen Plattformdienst mit mindestens 45 Millionen aktiven Nutzern und 10.000 aktiven gewerblichen Nutzern monatlich betreiben.

Zu zentralen Plattformdiensten sollen etwa gehören: Suchmaschinen wie Google, Vermittlungsdienste wie Amazon Marketplace, Soziale Medien wie Facebook und Video-Plattformen wie YouTube. Außerdem sollen Messenger-Dienste wie WhatsApp oder Facebook-Messenger, Betriebssysteme wie das iOS von Apples iPhones sowie Android von Google und Cloud-Dienste wie Amazon AWS erfasst sein. Bei den Verhandlungen einigten sich das Parlament und die EU-Staaten zudem darauf, dass auch Web-Browser und Sprachassistenten wie Amazons Alexa dazu gehören. Die DMA-Regeln beziehen sich dabei ausschließlich auf den jeweiligen Plattformdienst und nicht auf das ganze Unternehmen.

Die neuen Vorschriften aus dem DMA werden dabei als Verpflichtungen und Verbote festgehalten, an die sich die „Gatekeeper“ bei ihrer täglichen Arbeit halten müssen. Diese sollen Unternehmen die Möglichkeiten eröffnen, auf Grundlage der Vorzüge ihrer Produkte und Dienstleistungen um Märkte zu kämpfen und Innovationen voranzutreiben.

Die wichtigsten Verpflichtungen, die den „Gatekeepern“ in Zukunft auferlegt werden:

• Dem Nutzer muss es ermöglicht werden, vorinstallierte Anwendungen einfach zu deinstallieren oder die Standardeinstellungen von Betriebssystemen, virtuellen Assistenten und Webbrowsern zu ändern.
• Die Abmeldung von den zentralen Plattformdiensten muss für den Nutzer genauso einfach sein wie die Anmeldung.
• Dem Nutzer muss es möglich sein, Anwendungen oder App-Stores von Drittanbietern zu installieren, die das gleiche Betriebssystem nutzen.
• Den gewerblichen Nutzern muss es möglich sein, Zugang auf die Daten zu bekommen, die durch ihre Aktivitäten auf der Plattform generiert wurden.
• Gewerblichen Nutzern muss es außerdem ermöglicht werden, eigene Angebote und Verträge außerhalb der Plattform des „Gatekeepers“ abzuschließen

Die wichtigsten Verbote, die den „Gatekeepern“ auferlegt werden, sind die folgenden:

• Das Verbot, die Daten von Geschäftskunden zu nutzen, die mit ihnen auf ihrer eigenen Plattform konkurrieren.
• Das Verbot, die eigenen Produkte oder Dienstleistungen im Vergleich zu denen von Dritten besser zu bewerten.
• Das Verbot, von App-Entwicklern zu verlangen, dass sie bestimmte Dienste des „Gatekeepers“ nutzen, um in deren App-Stores erscheinen zu können.
• Verbot der Verfolgung von Endnutzern außerhalb des Kerndienstes der Plattform des Gatekeepers zum Zwecke der gezielten Werbung, ohne dass eine wirksame Zustimmung erteilt wurde.

Hohe Strafen für Internetriesen

Sollten die von DMA und DSA erfassten Plattformen gegen die Vorschriften verstoßen, drohen heftige Sanktionen:

• Der DMA sieht Strafen von zunächst von bis zu 10 % des weltweiten Jahresumsatzes vor. Bei wiederholten Verstößen können es sogar bis zu 20 % sein. In Ausnahmefällen, etwa bei „systematischer Verletzung“, können auch weitere, nicht-finanzielle Abhilfemaßnahmen verhängen. Dazu können verhaltensbezogene und strukturelle Maßnahmen gehören, wie die Veräußerung von (Teilen) eines Geschäfts oder ein Fusionsverbot für einen bestimmten Zeitraum.
• Verstöße gegen den DSA können mit immerhin bis zu 6 % des weltweiten Jahresumsatzes bestraft werden.

Damit übersteigt die Höhe der Bußgeldandrohung in beiden Gesetzen sogar noch bei Weitem die bereits drastischen Drohungen der Datenschutzgrundverordnung (DSGVO). Dort können Sanktionen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden.

Wie geht es jetzt weiter?

Ob die neuen Schutzmaßnahmen am Ende auch das halten was sie versprechen, werden wir erst 2024 erfahren. Zunächst müssen sowohl der DMA als auch der DSA noch von den EU-Staaten im Rat formell angenommen werden. Danach werden beide Gesetze im Amtsblatt der EU veröffentlicht und treten 20 Tage später in Kraft. Nach Inkrafttreten gilt für den DSA grundsätzlich noch eine Übergangsfrist von 15 Monaten, frühestens sollte er ab dem 01.01.2024 gelten. Doch daraus wird nichts.

Das Bundeskabinett hat den Entwurf für das Digitale-Dienste-Gesetz (DDG) auf den weiteren Gesetzgebungsweg gebracht. Dieses hätte bereits im Sommer 2023 verabschiedet werden sollen, um sicherzustellen, dass Deutschland für das Inkrafttreten des DSA bereit ist.

Allerdings wurde bis zuletzt über die Zuständigkeiten diskutiert. Nun herrscht aber in vielen Dingen Klarheit. Zum einen wird der Koordinator für Digitale Dienste erwartungsgemäß eine neue Stelle bei der Bundesnetzagentur, die laut EU-Anforderung weitgehend unabhängig von politischem Einfluss gestellt sein muss. Außerdem wurde in § 12 DDG vereinbart, dass die Bundeszentrale für Kinder- und Jugendmedienschutz für den Schutz Minderjähriger zuständig sein soll, sofern es nicht um den Jugendmedienschutz geht. In Fällen des Jugendmedienschutzes liegt die Kompetenz hingegen bei den Ländern, und die Zuständigkeit liegt bei den örtlichen Behörden. Diese müssen wiederum den Kriterien des Digital Services Act (DSA) hinsichtlich ihrer fachlichen Unabhängigkeit von Regierungen entsprechen. Außerdem wurde festgelegt, dass der Bundesbeauftragte für Datenschutz und Informationsfreiheit die Datenschutzvorschriften im DSA durchsetzen soll. Das Bundeskriminalamt soll als zentrale Ansprechstelle für alle strafrechtlich relevanten Vorgänge dienen.

Die Bundesregierung hofft auf ein Inkrafttreten zum 01.04.2024. Das weitere Verfahren liegt nun beim Bundestag und Bundesrat. Eines ist aber unabhängig vom Datum schon klar:
Für die Behörden droht ein erheblicher Mehraufwand durch den DSA, der nicht unterschätzt werden sollte. Das Bundeskriminalamt hat diesen sogar beziffert: Dort rechnet man jährlich mit einem Mehraufwand von 44 Millionen Euro durch den DSA.

Nach dem Inkrafttreten gilt für den DSA eine Übergangsfrist von 15, für den DMA eine Frist von sechs Monaten.

lrü/fno