Das europäische Parlament und der Rat haben sich vorläufig politisch auf den Text des Digital Services Act («DSA») geeinigt. Der DSA ist Teil der EU-Strategie, für einen einheitlichen digitalen Binnenmarkt zu sorgen. Erklärtes Ziel des DSA ist es, einheitliche Spielregeln für Vermittlungsdienste zu schaffen. Dabei ist der Geltungsbereich des DSA weiter definiert, als es der Begriff der «Vermittlungsdienste» vermuten liesse.
Geltungsbereich des DSA und Relevanz für die Schweiz
Erfasst vom Begriff der «Vermittlungsdienste» sind nicht nur Plattformen, die als Agent Verträge über Produkte oder Dienstleistungen zwischen verschiedenen Marktteilnehmern vermitteln. Vielmehr richtet sich der DSA auch an Access Provider, Suchmaschinen, drahtlose lokale Netzwerke oder Cloud-Infrastruktur-Services. «Intermediäre» beschreibt den subjektiven Geltungsbereich des DSA daher besser als der im (überholten) deutschsprachigen Entwurf verwendete Begriff der «Vermittlungsdienste».
Wie der Data Act hat der DSA extraterritoriale Wirkung. Für schweizerische Anbieter von Vermittlungsdiensten ist der DSA daher auch relevant, wenn sie keine Niederlassung im EWR haben, aber ihre Dienste gegenüber Leistungsempfängern (im Folgenden: «Nutzer»), die sich im EWR befinden, anbieten. Davon ist gemäss DSA auszugehen, wenn der Vermittlungsdienst eine bedeutende Anzahl von EWR-Nutzern vorweisen kann oder der Dienst auf EWR-Nutzer ausgerichtet ist. Indizien für eine solche Ausrichtung können insbesondere sein: (i) Währung, (ii) Lieferung in EWR-Staaten, oder (iii) Angebot der App im nationalen App-Store eines EWR-Staates.
Wichtig ist zudem, dass auch juristische Personen Nutzer sein können. Der DSA ist kein Konsumentenschutzrecht und erfasst auch B2B-Dienste.
Neue und neu verpackte Regelungsansätze – ein Überblick
Das Ziel, einheitliche Spielregeln für Vermittlungsdienste zu schaffen, möchte der DSA durch neue und neu verpackte Regelungsansätze erreichen.
«Neu verpackt» sind vor allem Haftungsprivilegien für Vermittlungsdienste, die zuvor in Art. 12 – 15 der RL 2001/31/EG («e‑commerce-Richtlinie») zu finden waren. Entsprechend werden die Art. 12 – 15 der e‑commerce-Richtlinie durch die Haftungsprivilegien in Kapitel II des DSA ersetzt. Im Übrigen bleibt die e‑commerce-Richtlinie bestehen. Wie bisher wird bei den Haftungsprivilegien zwischen Access-Providern, Caching-Providern und Hosting-Providern unterschieden. Verkürzt formuliert profitiert ein Anbieter von Vermittlungsdiensten vom Haftungsprivileg, wenn er sich auf seine Vermittlerrolle beschränkt. Nimmt er jedoch eine aktive Rolle ein, so dass er Wissen oder Kontrolle über rechtswidrige Informationen erhält (z.B. indem er die redaktionelle Verantwortung übernimmt, bewusst mit Nutzern zur Ausübung illegaler Aktivitäten zusammenarbeitet oder nach Kenntnis über einen rechtswidrigen Inhalt nicht zügig tätig wird), entfällt das Haftungsprivileg.
(Grundsätzlich) alter Wein in neuen Schläuchen ist auch das Aufsichtsregime. Was unter der Datenschutzgrundverordnung («DSGVO») die nationalen Datenschutzbehörden sind, sind unter dem DSA die Koordinatoren für digitale Dienste. Dem Europäischen Datenschutzausschuss (EDSA) entspricht das Europäische Gremium für digitale Dienste. Wie der EDSA für den Datenschutz soll das Gremium einen Beitrag zur einheitlichen Anwendung des DSA leisten und insbesondere Leitlinien erarbeiten. Auch das sich durch den DSA ziehende Accountability-Prinzip erinnert an die DSGVO.
Neu sind hingegen die Vielzahl an Sorgfalts- und Transparenzpflichten, die der DSA Anbieter von Vermittlungsdiensten auferlegt. Nach wie vor sind Anbieter von Vermittlungsdiensten aber nicht zur präventiven bzw. anlasslosen Suche nach rechtswidrigen Inhalten verpflichtet.
Die Pflichtenpyramide des DSA
Der DSA-Entwurf ist erkennbar vom Bemühen getragen, die Verpflichtungen für Anbieter von Vermittlungsdiensten in ein angemessenes Verhältnis zur Art der betreffenden Dienste zu stellen. Daraus ergibt sich eine Pflichtenpyramide:
Gewisse grundlegende Pflichten gelten für alle Anbieter von Vermittlungsdiensten. Hinzukommen weitere Pflichten für Anbieter von Hosting-Diensten, d.h. Diensten, die Informationen im Auftrag des Nutzers speichern.
Mit noch umfassenderen und strengeren Pflichten müssen Anbieter von Online-Plattformen rechnen. Online-Plattformen sind solche Hosting-Dienste, die im Auftrag des Nutzers gespeicherte Informationen öffentlich (d.h. ausserhalb geschlossener Nutzergruppen) verbreiten. Instant-Messagingdienste oder E‑Mail-Dienste fallen daher nicht unter den Begriff des «Hosting-Diensts». Kleinere und mittlere Unternehmen (“KMU”) sind von den für Online-Plattformen geltenden Pflichten grundsätzlich ausgenommen. Jedoch gelten für KMU, über deren Online-Plattformen Konsumenten Fernabsatzverträge schliessen können, die diesbezüglich geltenden Pflichten gleichwohl. Als KMU gelten Unternehmen mit (i) weniger als 250 Beschäftigten und (ii) maximal 50 Millionen EUR Jahresumsatz oder maximal 43 Millionen EUR Jahresbilanzsumme.
Die strengsten Pflichten gelten sodann für sehr grosse Online-Plattformen und sehr grosse Online-Suchmaschinen. Als «sehr gross» gelten solche Online-Plattformen oder Suchmaschinen, die durchschnittlich mindestens 45 Millionen aktive Nutzer pro Monat haben.
Im Folgenden werden die nach Einschätzung der Autorin relevantesten Pflichten, gestaffelt nach Pyramidenstufen, dargestellt. Die nachstehende Darstellung ist daher nicht abschliessend.
Für Anbieter aller Vermittlungsdienste geltende Pflichten
Anbieter ohne Niederlassung in einem EWR-Staat müssen zunächst einen Rechtsvertreter in einem EWR-Staat bestellen (Art. 11). Zudem müssten alle Anbieter eine zentrale Kontaktstelle als Ansprechstelle für die Aufsichtsbehörden einrichten (Art. 10). Diese muss sich – anders als der Rechtsvertreter – nicht physisch in einem EWR-Staat befinden. Die Anforderung, einen «single point of contact» für die Nutzer zur Verfügung zu stellen, (Art. 10a) dürfte von vielen Anbieter bereits erfüllt werden.
Anbieter von Vermittlungsdiensten werden ausserdem ihre AGB überarbeiten müssen (Art. 12). In diesen sind neu insbesondere Angaben über Beschränkungen in Bezug auf die von den Nutzern bereitgestellten Informationen zu machen. Dies beinhaltet insbesondere eine Information über die Prozesse und Methoden, die zur «Moderation von Inhalten» eingesetzt werden, einschliesslich algorithmischer Entscheidungsfindung und internen Beschwerdeverfahren. Richtet sich ein Dienst überwiegend an Minderjährige oder wird schwerwiegend von diesen genutzt, sind AGB in für diese verständlicher Sprache zu verfassen.
Mit der «Moderation von Inhalten» sind Tätigkeiten der Anbieter gemeint, mit denen illegale oder gegen AGB verstossende Inhalte, die von den Nutzern zur Verfügung gestellt wurden, erkannt, festgestellt und bekämpft werden. Beispiele solcher Tätigkeiten sind etwa die Entfernung des betreffenden Inhalts, die Aussetzung des Dienstes oder die Sperrung des Nutzerkontos. Was illegale Inhalte sind, ist unter Berücksichtigung des übrigen EU-Rechts und des Rechts der Mitgliedstaaten zu bestimmen. Beispiele für illegale Inhalte sind z.B. terroristische Inhalte, der Verkauf gefälschter Produkte, die Weitergabe privater Bilder ohne Zustimmung oder Verstösse gegen das Verbraucherrecht bei der Erbringung von Dienstleistungen.
Über diese Tätigkeiten (und allfällige weitere Pflichten, die für sie als Hosting-Diensteanbieter oder – ggf. sehr grosse – Online-Plattform oder Suchmaschine gelten) haben die Anbieter von Vermittlungsdiensten jährlich und öffentlich zugänglich Transparenzberichte zu veröffentlichen.
Zusätzliche Pflichten für Anbieter von Hosting-Diensten
Anbieter von Hosting-Diensten sind zusätzlich verpflichtet, ein Melde- und Abhilfeverfahren für vermutete rechtswidrige Inhalte einzurichten (Art. 14). In der Praxis dürften Anbieter in Zukunft vermehrt etwa zu einer Eingabemaske (statt blosser Angabe einer E‑Mail-Adresse) greifen, um wie gefordert eine Meldung mit den in Art. 14 Abs. 2 genannten Elementen zu erleichtern. Der Zugang einer solchen Meldung bewirkt Kenntnis des Anbieters von dem vermutet rechtswidrigen Inhalt (Art. 14 Abs. 3). Wird der Anbieter auf die Meldung hin nicht zügig tätig und erweist sich der Inhalt tatsächlich als rechtswidrig, verliert er das Haftungsprivileg des Art. 5.
Entscheidet sich der Anbieter dafür, (i) die Sichtbarkeit des Inhalts einzuschränken (z.B. diesen zu entfernen, zu sperren oder in einem Ranking abzustufen), (ii) die Monetarisierung des Inhalts zu beschränken, (iii) den Dienst ganz oder teilweise zu sperren oder einzustellen oder (iv) das Konto des betroffenen Nutzers zu sperren oder zu kündigen, ist diese grundsätzlich zu begründen (Art. 15, nachfolgend alle Massnahmen gemeinsam die «Inhalte-Massnahmen»). Die Begründung muss insbesondere die einschlägige Rechtsgrundlage oder AGB-Bestimmung nennen, aus der sich Unzulässigkeit des Inhalts ergibt, und über Rechtsbehelfe informieren (wie der gerichtliche Rechtsweg).
Zudem müssen Anbieter von Hosting-Diensten die zuständigen Behörden über mögliche Straftaten gegen Leib und Leben informieren (Art. 15a).
Zusätzliche Pflichten für Anbieter von Online-Plattformen
Für Anbieter von Online-Plattformen kommen zu den für Hosting-Dienste geltenden Pflichten weitere hinzu. Sie sind insbesondere verpflichtet, ein internes Beschwerdemanagementsystem einzurichten, über das Beschwerden zu (getroffenen oder nicht getroffenen) Inhalte-Massnahmen eskaliert werden können (Art. 17). Das Beschwerdeverfahren wird detailliert geregelt. Als Rechtsbehelf gegen Beschwerdeentscheide des Anbieters sieht der DSA insbesondere die aussergerichtliche Streitbeilegung bei einer vom Koordinator für digitale Dienste zugelassenen Stelle vor (Art. 18).
Bemerkenswert ist zudem, dass Anbieter von Online-Plattformen bei häufigem und offensichtlichem Upload rechtswidriger Inhalte zukünftig verpflichtet sind, den Dienst gegenüber dem auffälligen Nutzer nach vorheriger Warnung für angemessene Zeit auszusetzen (Art. 19 Abs. 1). In der Schweiz ist ein proaktives Vorgehen von Hosting-Anbietern (zu denen auch Anbieter von Online-Plattformen zählen) bislang ausdrücklich nur in Art. 39d URG geregelt. Im Gegensatz zu Art. 19 Abs. 1 DSA, der die Aussetzung des Dienstes vorsieht, verlangt Art. 39d URG vom Anbieter aber «nur» den Wiederupload des betreffenden Werkes zu verhindern.
Ausserdem dürfen Anbieter von Online-Plattformen Benutzeroberflächen nicht irreführend ausgestalten (Verbot von «dark patterns», Art. 23a). Nutzer sollen in der Lage sein, freiwillige und informierte Entscheidungen zu treffen. Insbesondere muss die Kündigung eines Dienstes genauso einfach sein wie die Anmeldung.
Bei Online-Werbung soll zudem mittels zusätzlicher Kennzeichnungspflichten die Transparenz erhöht werden (Art. 24). Zukünftig muss nicht nur die Werbung als solche gekennzeichnet, sondern auch der Werbende angegeben werden. Handelt es sich um personalisierte Werbung, müssen zudem die für die Personalisierung wichtigsten Parameter offenbart werden. Unzulässig ist personalisierte Werbung (i) auf Basis besonders schützenswerter Personendaten und (ii) gegenüber Minderjährigen.
Priorisiert die Online-Plattform bestimmte Informationen (z.B. Auswahl bestimmter Beiträge, von denen die Plattform ausgeht, sie seien besonders interessant für den Nutzer) oder verwendet sonst ein Empfehlungssystem, knüpfen daran weitere Pflichten an. Zum Beispiel ist in den AGB darüber zu informieren, welche Kriterien für die Empfehlung wesentlich herangezogen werden.
Können über die Online-Plattform B2C-Fernabsatzverträge geschlossen werden, sind die Anbieter der Online-Plattformen gezwungen, die Unternehmer der vermittelten Produkte/Dienstleistungen zu identifizieren (Art. 24c). Für die Identifikation sind, je nach den Umständen, eine Ausweiskopie oder ein Handelsregisterauszug zu verlangen. Zudem muss der Anbieter der Online-Plattform angemessene Anstrengungen unternehmen, um die Angaben des Unternehmers zu überprüfen.
Zudem müssen Online-Plattformen, über die Konsumenten Fernabsatzverträge schliessen können, so gestaltet werden, dass Unternehmer unter anderem in der Lage sind, die nach Unionsrecht erforderlichen Pflichtangaben in Bezug auf die von ihnen angebotenen Produkte/Dienstleistungen zu machen (Art. 24d). Hinzu kommt, dass die Anbieter der Online-Plattformen verpflichtet sind, nach besten Kräften («best effort») zu prüfen, ob die Unternehmer etwa ihren vorvertraglichen und produktbezogenen Informationspflichten nachkommen. Nur dann soll den Unternehmern erlaubt werden, ihre Produkte oder Dienstleistungen über die Online-Plattform anzubieten. An dieser Stelle ist hervorzuheben, dass die Pflichten, die sich auf die Vermittlung von Fernabsatzverträgen beziehen, auch von KMU-Anbietern zu beachten sind.
Für Anbieter sehr grosser Online-Plattformen oder Suchmaschinen geltende zusätzliche Pflichten
Noch umfangreichere Pflichten kommen auf Anbieter sehr grosser Online-Plattformen oder Suchmaschinen zu, etwa die Pflicht
- zur jährlichen Bewertung systemischer Risiken (Art. 26) und allfällige Massnahmen zur Risikominderung zu ergreifen (Art. 27);
- jährlich einen Audit auf eigene Kosten durchführen zu lassen (Art. 28);
- bei Empfehlungssystemen mindestens eine Option anzubieten, die nicht auf Profiling beruht (Art. 29);
- einen unabhängigen (externen oder internen) Compliance-Beauftragten zu bestellen (Art. 32); und
- die AGB klar und verständlich zusammenzufassen (Art. 12 Abs. 2a).
Neu ist zudem, dass sehr grosse Online-Plattformen oder Suchmaschinen ähnlich einer kritischen Infrastruktur geregelt werden und von der EU-Kommission im Krisenfall verpflichtet werden können, spezifische Massnahmen zu treffen (Art. 27a). Vorstellbar ist etwa, dass Anbieter auf Verlangen der Kommission bestimmte Warnhinweise anzeigen müssen.
Sanktionen und Durchsetzung
Der DSA soll mittels eines Beschwerderechts der Nutzer beim Koordinator für digitale Dienste (Art. 43) sowie durch Co-Regulierung durchgesetzt werden. Etwa sollen für die Bekämpfung systemischer Risiken oder Online-Werbung gemeinsam mit den Anbietern und anderen Stakeholdern «Codes of conduct» erarbeitet werden (Art. 35 ff.).
Zudem können gewisse Verstösse gegen den DSA mit Geldbussen in Höhe von max. 6% des weltweiten Jahresumsatzes gebüsst werden. Zwangsgelder können eine Höhe von max. 5% des weltweiten Tagesumsatzes oder ‑einkommens erreichen.
Die zuständigen Behörden erhalten zudem weitreichende Untersuchungs- und Aufsichtsbefugnisse wie etwa ein Auditrecht oder das Recht, einstweilige Massnahmen zu ergreifen. Für sehr grosse Online-Plattformen/Suchmaschinen ist die EU-Kommission zuständig.
Bewertung und Praxishinweise
Auffallend ist zunächst der primär öffentlich-rechtliche Regulierungsansatz des DSA. Anders als die DSGVO, in der die Rechte der Betroffenen (z.B. Auskunfts- oder Löschrechte) im Einzelnen geregelt sind, beschränkt sich der DSA im Wesentlichen auf Überwachungspflichten und sieht keinen (zivilrechtlichen) Anspruchskatalog von Nutzern, Rechteinhabern und/oder sonstigen von rechtswidrigen Inhalten Betroffenen vor. Diese richten sich nach dem sonstigen nationalen bzw. EU-Recht (etwa aus dem Lauterkeitsrecht, Datenschutzrecht oder dem Recht des geistigen Eigentums).
Zu begrüssen ist der nach Art des Dienstes abgestufte Pflichtenkatalog, der zudem auf KMUs Rücksicht nimmt.
Überschiessend sind jedoch – und diese Pflichten gelten leider auch für KMUs – aus Sicht der Autorin die Pflichten von Anbietern von Online-Plattformen mit Blick auf Fernabsatzverträge. Dies gilt in besonderem Masse für die Pflicht der Anbieter, zu überprüfen, ob die Unternehmer ihren vorvertraglichen Informationspflichten (z.B. Verbraucherwiderrufsrecht) und allfälligen weiteren Informationspflichten (z.B. hinsichtlich der Produktesicherheit) gerecht werden. Auf diese Weise werden die Anbieter vom Intermediär weg und in die Nähe zu Inhalteanbietern gerückt, die Kontrolle über Informationen ausüben. Die «best effort»-Regelung mit Blick auf diese Überprüfungspflicht ist zwar gut gemeint, hilft im Ergebnis aber wenig. Auch bei einer «best-effort»-Verpflichtung muss der Anbieter zumindest tätig werden und sich mit den allfälligen für den Unternehmer geltenden Informationspflichten auseinandergesetzt haben. Dies dürfte mit nicht zu unterschätzendem Aufwand verbunden und für KMU kaum zu bewältigen sein. Dies gilt umso mehr, als im EU-Recht die vorvertraglichen Informationspflichten beständig ausgebaut werden (wie etwa im Kommissionsvorschlag zum Data Act betreffend vernetzte Geräte vorgesehen).
Weiter könnte der DSA mit einigen EU-Regelwerken besser verzahnt werden. Dazu zählt etwa der AI-Act, der mit Blick auf Systeme künstlicher Intelligenz Transparenz- und weitere Pflichten enthält. Auffällig ist zudem die Überschneidung zwischen dem DSA und Art. 17 der Urheberrechts-Richtlinie EU 2019/790 (DSM-RL). Art. 17 Abs. 4 lit. c DSM-RL verlangt von Dienstanbietern nach Erhalt eines hinreichend begründeten Hinweises von Rechteinhabern unverzüglich zu handeln, um den Zugang zu den urheberrechtlich geschützten Inhalten zu sperren oder diese zu entfernen. Offen bleibt, ob ein Hinweis nach Geltung des DSA nunmehr nur dann als «hinreichend begründet» anzusehen ist, wenn er die in Art. 14 Abs. 2 DSA ausgeführten Details enthält. Während gem. Art. 17 Abs. 4 lit. c DSM-RL der Dienstanbieter zudem verpflichtet ist, den vermutet urheberrechtswidrigen Inhalt unverzüglich zu sperren oder zu löschen, um nicht selbst zu haften, kann er gem. Art. 17 Abs. 3 DSA verpflichtet sein, infolge eines Beschwerdeentscheids die Sperrung oder Löschung des Inhalts rückgängig zu machen. Einen internen Eskalationsmechanismus mittels Beschwerde kennt die DSM-RL demgegenüber nicht.
Die praktische Anwendung des DSA dürfte für Unternehmen daher spannende Fragen aufwerfen. Dabei sollten Unternehmen im Blick behalten, dass die EU-Kommission seit der DSGVO dazu gelernt hat. So wird etwa die unter der DSGVO teilweise kritisierte Durchsetzungslücke bei Untätigkeit der federführenden Aufsichtsbehörde adressiert. Die EU-Kommission kann unter bestimmten Voraussetzungen den (bislang untätigen) Koordinator für digitale Dienste zu Untersuchungs- und Aufsichtsmassnahmen veranlassen (Art. 45a Abs. 3).
Mit einem autonomen Nachvollzug des DSA durch die Schweiz ist auf Basis der Stellungnahme des Bundesrates vom 25. August 2021 eher nicht zu rechnen. Dort ist zu lesen, dass die Bundesverwaltung allenfalls Massnahmen ergreifen wollte, um zu verhindern, dass der Schweiz aus dem DSA (etwa mit Blick auf Marktzugangsbeschränkungen) Nachteile erwachsen. Derartige Massnahmen sind bislang, soweit ersichtlich, nicht kommuniziert.