Der DSA soll ein sichereres Online-Umfeld für Nutzer:innen schaffen und für eine Stärkung der Grundrechte im digitalen Raum sorgen. Die neuen Regeln sind Teil einer umfassenderen EU-Digitalstrategie und sorgen für eine unionsweite Harmonisierung des Rechtsrahmens für digitale Diensteanbieter.
Anwendungsbereich: Welche Dienste und Anbieter:innen?
Der DSA gilt für Vermittlungsdienste (reine Durchleitung, Caching), Hosting-Dienste wie zB Cloud Computing oder Webhosting, Online-Plattformen wie etwa soziale Netzwerke, Online-Marktplätze und Online-Suchmaschinen.
Der DSA gilt nicht nur für EU-Anbieter:innen, sondern für alle Anbieter:innen mit „wesentlicher Verbindung zur Union“ (Art 3 lit e). Dafür ist eine Niederlassung in der Union oder die Erfüllung bestimmter faktischer Kriterien wie einer erheblichen Zahl von Nutzer:innen in einem oder mehreren Mitgliedstaaten oder die Ausrichtung von Tätigkeiten auf einen oder mehrere Mitgliedstaaten erforderlich. Indizien für eine Ausrichtung auf EU-Mitgliedstaaten stellen (wie auch im Internationalen Zuständigkeitsrecht und Internationalen Privatrecht) etwa Lieferungen in die EU, die Sprache der Website, Währungsangaben oder die Top-Level-Domain dar (EG 8). Nicht ausreichend ist die bloße Zugänglichkeit der Website.
Anbieter ohne EU-Niederlassung müssen einen gesetzlichen Vertreter in einem Mitgliedstaat benennen, der als Ansprechperson für Behörden und Nutzer:innen fungiert (Art 13). Dieser haftet für Verstöße, ggf solidarisch mit dem Anbieter.
Regelungssystematik: Abgestufte Sorgfaltspflichten
Der DSA normiert eine abgestufte Pflichtenbindung je nach Art des Vermittlungsdiensts. Dabei werden die für sämtliche Vermittlungsdienste gültigen allgemeinen Pflichten (Art 11-15) durch besondere Pflichten für Hostingdienste, einschließlich Online-Plattformen, ergänzt (Art 16-18). Für Online-Plattformen bestehen zusätzliche besondere Pflichten (Art 19-28). Online-Marktplätze unterliegen darüber hinaus besonderen verbraucherschutzrechtlichen Pflichten (Art 29-32). Die höchste Pflichtenbindung gilt für sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs) (Art 33-43).
Kleinst- und Kleinunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz von weniger als 10 Mio EUR (Art 19, 29) sind von den zusätzlichen Pflichten für Online-Plattformen und Online-Marktplätzen befreit, sofern es sich nicht um VLOPs iSd Art 33 handelt. Bei Verlust des Status als Klein(st)unternehmen ist eine 12monatige Toleranzfrist vorgesehen.
Rechtswidrige Inhalte: notice and take down
Diensteanbieter müssen rechtswidrige Inhalte über Anordnung von Behörden entfernen (Art 9, 10). Anbieter von Hosting-Diensten müssen zusätzlich leicht zugängliche und benutzerfreundliche Melde- und Abhilfeverfahren für die Meldung rechtswidriger Inhalte bereitstellen, Hinweisen nachgehen und erforderliche Maßnahmen ergreifen (Art 16). Ist die Rechtswidrigkeit von Inhalten ohne „eingehende rechtliche Prüfung“ feststellbar, greift das Haftungsprivileg für Anbieter:innen nicht (Art 16 Abs 3). Online-Plattformen müssen ferner Meldungen von vertrauenswürdigen (dh von Koordinatoren für digitale Dienste eines MS zertifizierten) Hinweisgebern - sog trusted flaggers - vorrangig behandeln, unverzüglich bearbeiten und einer Entscheidung zuführen (Art 22).
Die Haftungsprivilegien der bisherigen E-Commerce-Richtlinie 2000/31/EG, die mit einigen Ausnahmen grundsätzlich in Kraft bleibt (Art 2, 89) werden weitgehend übernommen. Anbieter trifft grundsätzlich keine Verpflichtung zur proaktiven Überprüfung der Rechtmäßigkeit von Inhalten (Art 8). Sie haften für rechtswidrige Inhalte nur, wenn die Rechtswidrigkeit offensichtlich ist bzw sie von dieser Kenntnis haben oder wenn sie ab Kenntniserlangung nicht zügig tätig werden, um die Inhalte zu sperren (Art 6).
Ausnahmen von diesem Haftungsausschluss betreffen
- Nutzer, die dem Anbieter unterstehen oder von ihm beaufsichtigt werden (vgl EG 23: Preisfestsetzung durch die Plattform);
- Online-Plattformen, bei denen der durchschnittliche Verbraucher davon ausgehen kann, dass die Plattform selbst oder ein ihrer Aufsicht unterstehender Nutzer das Produkt bereitstellt (zB keine eindeutige Anzeige der Identität oder Zurückhalten der Kontaktdaten des Unternehmers bis nach Vertragsabschluss, Vermarktung von Waren im eigenen Namen).
Werbung auf Online-Plattformen
Online-Plattformen müssen Nutzer:innen angezeigte Werbung klar, präzise, eindeutig und in Echtzeit als solche kennzeichnen, über den Auftraggeber der Werbung informieren und aussagekräftige, direkt und leicht zugängliche Informationen über die wichtigsten Parameter der Zielgruppenbestimmung bereitstellen (Art 26). Ferner sind die Nutzer:innen, denen Werbung angezeigt wird, zu informieren, wie sie diese Parameter ändern können.
Online-Werbung auf der Basis von Profiling ist verboten, wenn es auf der Verwendung sensibler Daten – wie Gesundheits- und genetische/biometrische Daten, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung – beruht. Verboten ist Werbung auf der Grundlage von Profiling ferner ganz allgemein in Hinblick auf minderjährige Nutzer:innen (Art 28).
VLOPs und VLOSEs müssen darüber hinaus ein Archiv zur Verfügung stellen, in dem Nutzer:innen Informationen über die veröffentlichte Online-Werbung des letzten Jahres abrufen können (Inhalt der Werbung, Auftraggeber, Zeitraum, Zielgruppen; Art 39).
Transparenz von Empfehlungssystemen
Soweit Online-Plattformen Empfehlungssysteme verwenden (zB für Newsfeeds), müssen sie transparent über die wichtigsten Parameter ihres Empfehlungssystems und die Möglichkeit zur Änderung / Beeinflussung dieser Parameter informieren (Art 27).
VLOPs und VLOSEs müssen ferner mindestens eine Option für ihr Empfehlungssystem anbieten, die nicht auf Profiling basiert (Art 38).
„Dark Patterns“
Sog „dark patterns“, die darauf abzielen, Nutzer:innen zu bestimmten Verhaltensweisen oder Entscheidungen zu verleiten – etwa durch eine stärkere visuelle Hervorhebung bestimmter Auswahlmöglichkeiten, die wiederholte Aufforderung, eine bestimmte Auswahl zu treffen (sog „Nagging“), die Ausübung von Druck (Countdown-, Scarcity-Techniken) oder indem sie den Abmelde- oder Kündigungsprozess unverhältnismäßig oder schwieriger als den Anmeldeprozess gestalten – , verstoßen idR gegen die DSGVO (arg Freiwilligkeit der Einwilligung) oder stellen unlautere Geschäftspraktiken iSd UWG dar, und sind daher bereits de lege lata unzulässig.
Der DSA flankiert diese Regelungen durch ein allgemeines Verbot, Online-Schnittstellen so zu organisieren oder zu betreiben, dass Nutzer:innen getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit beeinträchtigt werden, freie und informierte Entscheidungen zu treffen (Art 25).
Verbraucherschutz auf Online-Marktplätzen
Für Vertriebsplattformen, die B2C-Vertragsabschlüsse ermöglichen, sieht der DSA in Art 30-32 Sonderregeln vor, die den Verbraucherschutz im Vergleich zum bisherigen „Informationsregime“ des FAGG idF MoRUG I klar verbessern.
- Plattformen müssen zwecks Nachverfolgbarkeit von Unternehmer:innen („Traceability“) sicherstellen, dass auf ihrer Plattform nur Unternehmer:innen anbieten, zu denen sie über Informationen betreffend Name, Anschrift, Telefonnummer und E-Mail-Adresse, eine Kopie des Identitätsdokuments oder eine andere elektronische Identifizierung, Angaben zu Zahlungskonto, ggf Handelsregister-Nummer (bzw Firmenbuchnummer) sowie eine Selbstbescheinigung mit der Verpflichtung, nur unionsrechtskonforme Produkte und Dienstleistungen anzubieten, verfügen.
Dabei trifft die Plattform – anders als nach § 4a FAGG – auch eine Prüfpflicht. Sie muss „nach besten Kräften“ prüfen, ob die erhaltenen Informationen verlässlich und vollständig sind, indem sie frei zugängliche Online-Datenbanken nutzt oder vom Unternehmer bzw der Unternehmerin Nachweise aus verlässlichen Quellen verlangt. Ggf muss die Plattform den Unternehmer auffordern, unverzüglich Abhilfe zu schaffen, widrigenfalls die Nutzung der Plattform für diesen „zügig auszusetzen“ ist.
Die Bestimmung geht damit über § 4a FAGG (vgl in der Werbephase § 2 Abs 6 Z 7 UWG) hinaus. Danach trifft den Online-Marktplatz lediglich eine vorvertragliche Informationspflicht (ua über die (Nicht-)Unternehmereigenschaft des Drittanbieters) auf Basis der Angaben des Anbieters, aber keine Pflicht zur Überprüfung dieser Angaben und auch keine Haftung bei Verstoß.
Die Informationen über die Kontaktdaten (inkl Handelsregister-Nummer) und die Selbstbescheinigung bezüglich der Unionsrechtskonformität der angebotenen Produkte und Dienstleistungen sind auch den Verbraucher:innen jedenfalls auf der Online-Schnittstelle, auf der die Informationen über das Produkt oder den Dienst bereitgestellt werden, in klarer, leicht zugänglicher und verständlicher Weise zur Verfügung zu stellen (Art 30 Abs 7).
- Nach den Gestaltungsvorgaben gem Art 31 (Konformität durch Technikgestaltung bzw “Compliance by Design”) muss die Plattform ihre Online-Schnittstellen so konzipieren und organisieren, dass die Unternehmer:innen ihren unionsrechtlichen Pflichten in Hinblick auf vorvertragliche Informationen, Konformität und Produktsicherheitsinformationen nachkommen können. Die Plattform trifft auch diesbezüglich sowohl eine Pflicht zur Vorab-Bewertung “nach besten Kräften” als auch zur Überwachung (Abs 3). Sie hat “in angemessener Weise” stichprobenartig in einer amtlichen, frei zugänglichen und maschinenlesbaren Online-Datenbank oder Online-Schnittstelle zu prüfen, ob die angebotenen Produkte oder Dienstleistungen als rechtswidrig eingestuft wurden.
- Art 32 Abs 1 räumt Verbraucher:innen ein Recht auf Information ein: Erlangt die Plattform Kenntnis über die Rechtswidrigkeit der auf ihrer Plattform angebotenen Produkte bzw Dienstleistungen, muss sie die betroffenen Verbraucher:innen über die Rechtswidrigkeit des Produkts bzw der Dienstleistung (lit a), die Identität des Unternehmers (lit b) und die einschlägigen Rechtsbehelfe (lit c) informieren.
Diese Informationspflicht gilt gegenüber jenen Verbraucher:innen, die die Produkte bzw Dienstleistungen in den vergangenen sechs Monaten erworben haben, bevor der Betreiber Kenntnis von der Rechtswidrigkeit erlangt hat. Verfügt der Betreiber nicht über die Kontaktdaten aller betroffenen Verbraucher:innen, hat er die Informationen auf seiner Plattform öffentlich und leicht zugänglich zu machen.
VLOPs und VLOSEs
Sehr große Online-Plattformen und Online-Suchmaschinen sind zu einer regelmäßigen Bewertung systemischer Risiken verpflichtet, müssen ggf Maßnahmen zur Risikominderung ergreifen und mindestens einmal pro Jahr unabhängige Compliance-Prüfungen durchführen (Art 33 ff).
Im Fall einer außergewöhnlichen Krise – dh bei einer schwerwiegenden Bedrohung der öffentlichen Sicherheit oder Gesundheit in der EU, wie etwa bewaffnete Konflikte, Pandemien etc – kann die EU-Kommission die Anbieter zur Zusammenarbeit und zu Abwehrmaßnahmen verpflichten (Art 36).
Recht(sbehelf)e von Nutzer:innen
- Nach Art 54 stehen Nutzer:innen Schadenersatzansprüche gegen die Plattform zu, wenn Verstöße zu einem Schaden oder Verlust führen. Dabei handelt es sich um unmittelbar durch das Unionsrecht eingeräumte Schadenersatzansprüche der Nutzer:innen bei Verstößen gegen den DSA, deren genaue Ausgestaltung – unter der Voraussetzung ausreichender Effektivität und Äquivalenz – dem nationalen Recht unterliegt.
- Nutzer:innen haben ferner ein Beschwerderecht gegen Verstöße beim Koordinator für digitale Dienste ihres Heimat-Mitgliedstaats. Die Beschwerde wird – wie nach der DSGVO – nach dem Herkunftslandprinzip ggf an die Behörde im Mitgliedstaat der Hauptniederlassung des Anbieters/gesetzlichen Vertreters weitergeleitet (Art 53). Sie können Verbraucherschutzverbände mit ihrer Vertretung beauftragen (Art 86).
- Nutzer:innen können ihre Rechte auch gerichtlich geltend machen. Dabei kommt auch eine kollektive Rechtsdurchsetzung durch Abhilfeklagen nach der Verbandsklagen-Richtlinie in Betracht: Verbraucherschutzverbände können gegen Verstöße mit Unterlassungs- und/oder Abhilfeklagen vorgehen (Art 90).
- Online-Plattformen müssen ferner ein leicht zugängliches und benutzerfreundliches internes Beschwerdemanagement einführen (Art 20) und sind verpflichtet, an Verfahren außergerichtlicher Streitbeilegung teilzunehmen (Art 21).
Sanktionen und Aufsicht
Bei Verstößen gegen den DSA drohen Unternehmen Geldbußen bis zu 6 % des weltweiten Jahresumsatzes im vorigen Geschäftsjahr (bei Verstößen gegen Informationspflichten bis zu 1 %).
Für die behördliche Aufsicht sind in jedem Mitgliedstaat (weisungs-)unabhängige Koordinatoren für digitale Dienste (DSC) zu benennen, denen umfangreiche Untersuchungs- und Durchsetzungsbefugnisse zukommen (Art 49 ff). Eine Liste der Koordinatoren für digitale Dienste in den Mitgliedstaaten ist hier veröffentlicht.
Mit dem Koordinator-für-digitale-Dienste-Gesetz (kurz KDD-G: Bundesgesetz über den Koordinator-für-digitale-Dienste nach der Verordnung (EU) Nr. 2022/2065 über einen Binnenmarkt für digitale Dienste) wurde in Österreich die Kommunikationsbehörde Austria (KommAustria) als zuständige DSC-Behörde benannt. Wie schon bei der Ausübung ihrer bisherigen Agenden im Bereich der Rundfunkregulierung wird die KommAustria auch in ihrer Tätigkeit als DSC von der RTR-GmbH als deren Geschäftsapparat unterstützt (§ 2 Abs 2 KDD-G).
Zuständige Behörde für VLOPs und VLOSEs ist die Europäische Kommission. Der für die Plattform jeweils zuständigen nationalen Behörde kommt dabei zwar hinsichtlich der speziellen DSA-Regeln für VLOPs/VLOSEs keine Vollzugskompetenz zu, aber hinsichtlich der Einhaltung der allgemeinen Pflichten (Art 56).