Im Jahr 2020 legte die Europäische Kommission ein Regulierungspaket für digitale Dienstleistungen vor, mit dem die Vorschriften in einem einheitlichen Rahmen in der EU verbessert werden sollten. Mitte 2022 erreichte das Duo – Das Gesetz über digitale Dienste (DSA) und das Gesetz über digitale Märkte (DMA) – eine politische Einigung zwischen den EU-Institutionen. Mit der anschliessenden Veröffentlichung im EU-Amtsblatt traten das DMA am 1. November[i] und das DSA am 16. November in Kraft[ii].

Beide Instrumente, die die Form einer Verordnung haben und somit unmittelbar in der gesamten Union anwendbar sind, wurden im Wesentlichen mit zwei Zielsetzungen geschaffen[iii]:

1. Schaffung eines sichereren digitalen Raums, in dem die Grundrechte aller Nutzer digitaler Dienste geschützt sind.
2. Schaffung gleicher Wettbewerbsbedingungen zur Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit, sowohl im europäischen Binnenmarkt als auch weltweit.

Das DMA, das parallel zum Wettbewerbsrecht der EU und der Mitgliedstaaten (MS) gilt, enthält zusätzliche Vorschriften zum Verbot unlauterer Geschäftspraktiken durch grosse Online-Plattformen und definiert einen «Gatekeeper»-Status für Unternehmen, sofern bestimmte Bedingungen erfüllt sind. Mit anderen Worten, das Erreichen bestimmter finanzieller und nutzerbezogener Schwellenwerte würde die Vermutung eines „Gatekeeper“-Status begründen, wobei die Unternehmen zwei Monate Zeit haben, um mitzuteilen, ob ein solcher Status gerechtfertigt ist oder nicht.

Insbesondere werden die Auswirkungen eines solchen Rahmens mit Sicherheit über die „Gatekeeper“ hinausgehen und indirekt alle Akteure auf den digitalen Märkten betreffen, da sich die Geschäftspraktiken letztendlich ändern werden.

Bis zum Beweis des Gegenteils wird davon ausgegangen, dass ein Unternehmen den Status eines «Gatekeepers» hat, wenn es a) «zentrale Plattformdienste» wie Vermittlungsdienste, Online-Suchmaschinen, Online-Dienste sozialer Netzwerke, Cloud-Computing-Dienste usw. anbietet; b) erhebliche Auswirkungen auf den EU-Binnenmarkt hat und entweder in jedem der letzten drei Geschäftsjahren einen Jahresumsatz von mindestens €7.5 Mrd. innerhalb der EU oder einer durchschnittlichen Marktbewertung von mindestens €75 Mrd. im letzten Geschäftsjahr aufweist und dieselben «Kernplattformdienste» in mindestens drei Mitgliedstaaten anbietet, und c) über eine etablierte oder voraussichtlich etablierte und dauerhafte Position mit durchschnittlich mindestens 45 Mio. monatlichen Endnutzern, die in der EU niedergelassen oder ansässig sind, und mindestens 10‘000 jährlichen Geschäftsnutzern, die in jedem der letzten drei Geschäftsjahre in der EU niedergelassen waren, verfügt.

Sobald ein solcher Status festgestellt ist, gelten recht umfassende Verbote und Verpflichtungen. Zu den Verboten gehören unter anderem:

1. personenbezogene Daten von Endnutzern, die von Diensten Dritter erhoben wurden, zum Zwecke der Bereitstellung von Online-Werbediensten ohne vorherige Zustimmung zu verarbeiten
2. im Rahmen eines Dienstes erhobene personenbezogene Daten für die Zwecke eines anderen Dienstes ohne vorherige Zustimmung wiederzuverwenden
3. gewerbliche Nutzer daran zu hindern, ihre Produkte und Dienstleistungen zu unterschiedlichen Preisen und Bedingungen auf ihren eigenen Verkaufsseiten sowie auf Plattformen Dritter anzubieten
4. Nutzer zu verpflichten, bestimmte Plattformdienste zu nutzen, z. B. Zahlungssysteme, Identifizierungsdienste, Webbrowser-Engines oder technische Dienste
5. Nutzer zu verpflichten, sich zu registrieren oder andere «Kernplattformdienste» zu abonnieren, als Voraussetzung für die Nutzung der «Kernplattformdienste“
6. nicht öffentliche Daten von Geschäftskunden zu verwenden, um mit ihnen zu konkurrieren
7. die eigenen Produkte oder Dienstleistungen höher zu bewerten als diejenigen von anderen
8. die Möglichkeit für Endnutzer, zwischen verschiedenen Anwendungen und Diensten zu wechseln, zu beschränken

Zu den Verpflichtungen gehören unter anderem:

1. die Kommunikation und den Zugang zu Inhalten zwischen Geschäftsanwendern und Endanwendern zu ermöglichen
2. Preis- und Gebührentransparenz bei Anzeigenvermittlungsdiensten zu gewähren
3. sicherzustellen, dass die Nutzer auf ihre Marketing- oder Werbeleistungsdaten auf der Plattform zugreifen können
4. den Endnutzern die Möglichkeit zu geben, die Standardeinstellungen leicht zu ändern und/oder Softwareanwendungen auf einem Betriebssystem zu deinstallieren, es sei denn, dies ist für das reibungslose Funktionieren des Betriebssystems unerlässlich
5. eine wirksame Interoperabilität mit Betriebssystemen, Hardware oder Softwareanwendungen zu ermöglichen
6. die Interoperabilität der Grundfunktionen von Instant-Messaging-Diensten mit denen anderer Plattformen zu gewährleisten
7. die Übertragbarkeit der Daten der Endnutzer auf andere Systeme oder Anwendungen zu gewährleisten
8. den Geschäftsnutzern Echtzeit-Zugang zu ihren auf der Plattform generierten Daten zu ermöglichen

Die Europäische Kommission, die allein für die Durchsetzung des DMA zuständig ist, erhält einen Ermessensspielraum, die Liste der Verpflichtungen und Verbote durch den Erlass von «delegierten Rechtsakten» zu aktualisieren. Darüber hinaus wird die Europäische Kommission Sanktionen in Höhe von bis zu 10 % des weltweiten Jahresumsatzes eines Unternehmens verhängen, und bis zu 20 % dieses Umsatzes, wenn es sich um wiederholte Verstösse handelt.

Andererseits enthält das DAS – das im Wesentlichen ein Rahmenwerk für die Moderation von Inhalten ist – Regeln, die in erster Linie Online-Vermittler und -Plattformen betreffen und diese dazu verpflichten, ihre Nutzungsbedingungen zu ändern, Beschwerden besser zu bearbeiten und ihre Transparenz insbesondere in Bezug auf Werbung zu erhöhen. Der Anwendungsbereich des DSA ist breit gefächert und gilt für eine Reihe von Hauptakteuren des digitalen Ökosystems, die unter a) Vermittlungsdienste, b) Hosting-Dienste, c) Online-Plattformen, die Verkäufer und Verbraucher zusammenbringen, oder d) sehr grosse Online-Plattformen / sehr grosse Online-Suchmaschinen (VLOPs/VLOSEs) fallen.

Noch wichtiger ist, dass die Gesetzgebung einen risikobasierten asymmetrischen Ansatz für die Verpflichtungen vorsieht, wonach diejenigen Diensteanbieter, die entweder unter die Definition der VLOPs oder der VLOSEs fallen, besonders belastenden Vorschriften unterliegen würden. Eine Plattform oder Suchmaschine gilt als sehr gross, wenn sie 45 Mio. aktive monatliche Nutzer in der EU hat und die Europäische Kommission eine Entscheidung trifft, sie als solche zu bezeichnen.

Ein bemerkenswerter Unterschied zwischen den beiden Gesetzen betrifft die Definitionen des «Endnutzers» und des «gewerblichen Nutzers» im DMA und die des «Nutzers» und des «Verbrauchers» im DSA. Nach dem DMA ist ein Endnutzer «jede natürliche oder juristische Person, die zentrale Plattformdienste zu nichtgewerblichen Zwecken nutzt», und ein gewerblicher Nutzer ist «jede natürliche oder juristische Person, die im Rahmen einer geschäftlichen oder beruflichen Tätigkeit zentrale Plattformdienste zum Zweck oder im Zuge der Bereitstellung von Waren oder Dienstleistungen für Endnutzer nutzt». Nach dem DSA ist ein Nutzer «jede natürliche oder juristische Person, die einen Vermittlungsdienst in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen», und ein Verbraucher ist «jede natürliche Person, die zu Zwecken handelt, die ausserhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit liegen».

Ähnlich wie bei dem DMA wird es im Ermessen der Europäischen Kommission liegen, gegen VLOPs und VLOSEs bei Verstössen gegen das DSA Geldbussen in Höhe von bis zu 6 % ihres gesamten weltweiten Jahresumsatzes zu verhängen.

Was die Verbindung zwischen dem DSA und der EU-Richtlinie über den elektronischen Geschäftsverkehr betrifft, so werden in der ersteren die Vorschriften über die Haftungsausschlüsse für Vermittlungsdienste neu gefasst, die die Artikel 12 bis 15 der letzteren ersetzen sollen. Grundsätzlich haften Vermittlungsdienste nicht für die von ihnen verarbeiteten Inhalte Dritter, sofern sie bei Hinweisen auf rechtswidrige Inhalte zügig handeln, aber nicht verpflichtet sind, präventive Kontrollen durchzuführen. Das DSA stellt weiter klar, dass Anbieter auch dann für die Haftungsausschlüsse in Betracht kommen, «wenn sie auf Eigeninitiative nach Treu und Glauben und sorgfältig freiwillige Untersuchungen durchführen oder andere Massnahmen zur Erkennung, Feststellung und Entfernung rechtswidriger Inhalte oder zur Sperrung des Zugangs zu rechtswidrigen Inhalten treffen oder die erforderlichen Massnahmen ergreifen, um den Anforderungen des Unionsrechts und des nationalen Rechts im Einklang mit dem Unionsrecht und insbesondere den Anforderungen dieser Verordnung nachzukommen.»

Takedown-Anordnungen müssen dann auch bestimmte Mindestanforderungen erfüllen. Dazu gehört, dass die Anordnungen a) territorial «auf das zur Erreichung des Ziels unbedingt erforderliche Mass» begrenzt sind; b) «eindeutige Informationen enthalten, die es dem Anbieter ermöglichen, die betreffenden illegalen Inhalte zu identifizieren und ausfindig zu machen, z. B. eine oder mehrere genaue URL und erforderlichenfalls zusätzliche Informationen», und c) Informationen über Rechtsbehelfsmechanismen enthalten, die dem Anbieter und dem Empfänger des Dienstes, der die Inhalte bereitgestellt hat, zur Verfügung stehen.

Folglich ersetzt das DSA nur die Bestimmungen der E-Commerce-Richtlinie, die sich mit der Haftung von Online-Vermittlern befassen; die übrigen Bestimmungen der Richtlinie bleiben in Kraft. Mit seiner extraterritorialen Wirkung gilt das DSA nicht nur für in der EU ansässige Dienstleister, sondern auch für solche mit Sitz ausserhalb der EU, die Dienstleistungen innerhalb der EU anbieten.

Was die eindeutigen Verbote betrifft, so verbietet das Gesetz allen Online-Diensteanbietern die Verwendung von «Dark Patterns», um Verbraucher von unerwünschten Verhaltensweisen abzuhalten. Darüber hinaus wird die Verwendung sensibler Daten, wie sie in der Datenschutz-Grundverordnung definiert sind, verboten, ebenso wie gezielte Werbung, die sich mittels Profiling an Minderjährige richtet.

Was sich durch dieses Gesetzespaket genau ändern wird, hängt letztlich von der Art der angebotenen Dienstleistung oder der betriebenen Plattform ab.

[i] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_22_6423; https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_de.  

[ii] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/IP_22_6906; https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_de.

[iii] Siehe hier https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package.