Maren Winter - stock.adobe.com
Digital Services Act (DSA) und DSGVO: Was wird wo geregelt?
Die Datenschutz-Grundverordnung (DSGVO) war nur ein Teil der Regulierung der Datennutzung der EU. Der Digital Services Act (DSA) bringt weitere Vorgaben für bestimmte Unternehmen.
Während viele Unternehmen immer noch über die Datenschutz-Grundordnung (DSGVO) und die damit verbundenen Aufwände klagen, kommen neue EU-Vorgaben für die Verarbeitung und Nutzung von Daten aus Brüssel.
Unter anderem sind hier das Gesetz über digitale Dienste (Digital Services Act) und das Gesetz über digitale Märkte (Digital Markets Act) zu nennen. Auch wenn dort Dienste und Märkte direkt genannt werden, liegt es auf der Hand, dass die Daten betroffen sind, die von den Diensten verarbeitet werden und die die Geschäftsmodelle auf den digitalen Märkten ermöglichen.
Deshalb stellt sich die Frage, wo eigentlich was genau geregelt wird, ob es womöglich Überschneidungen mit bestehenden Vorgaben gibt und wie die Beziehung zur Datenschutz-Grundverordnung zu sehen ist. Hier soll der DSA betrachtet werden.
Der Digital Services Act (DSA)
Aktuell ist zum Gesetz über digitale Dienste eine vorläufige Einigung zwischen Rat und Europäischem Parlament erzielt worden, um das Internet zu einem sichereren Raum für Menschen in Europa zu machen, wie es der Rat der Europäischen Union beschreibt.
Was den Anspruch, die Art der regulierten Akteure und den innovativen Aspekt der damit verbundenen Aufsicht anbelangt, ist das Gesetz ein weltweites Novum im Bereich der Regulierung des digitalen Raums, so der Rat der EU.
Das Gesetz folgt demnach dem Grundsatz, dass alles, was außerhalb des Internets verboten ist, auch im Internet illegal sein sollte. Ziel ist es, die Verbreitung illegaler Inhalte im digitalen Raum zu verhindern und die Grundrechte der Nutzenden zu schützen.
Das Gesetz über digitale Dienste wird die inzwischen 20 Jahre alte E-Commerce-Richtlinie ergänzen und Teile von ihr aktualisieren, so die Bundesregierung. Es sieht einheitliche horizontale Regeln zu Sorgfaltspflichten und Haftungsausschlüssen für Vermittlungsdienste (wie etwa Online-Plattformen) vor und soll damit zu einem sicheren, vorhersehbaren und vertrauenswürdigen Online-Umfeld und einem reibungslosen Funktionieren des EU-Binnenmarkts für Vermittlungsdienste beitragen.
Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton erklärte: „Mit dem Gesetz über digitale Dienste endet die Zeit großer Online-Plattformen, die sich so verhalten, als seien sie „too big to care“. Es werden klare, harmonisierte Verpflichtungen für Plattformen festgelegt, die in einem angemessenen Verhältnis zu Größe, Auswirkungen und Risiken stehen. Es überträgt der Kommission die Aufsicht über sehr große Plattformen, einschließlich der Möglichkeit, wirksame und abschreckende Sanktionen in Höhe von bis zu sechs Prozent des weltweiten Umsatzes oder sogar ein Verbot der Tätigkeit im EU-Binnenmarkt im Falle wiederholter schwerer Verstöße zu verhängen“.
Was der DSA regeln soll
Der DSA soll für alle Online-Vermittler gelten, die Dienstleistungen in der EU erbringen. Generell müssen alle Online-Vermittlungsdienste, die ihre Dienste im Binnenmarkt anbieten, die neuen Vorschriften einhalten, und zwar unabhängig davon, ob sie in der EU oder außerhalb niedergelassen sind.
Sehr große Online-Plattformen und sehr große Online-Suchmaschinen unterliegen strengeren Anforderungen. Dienste mit mehr als 45 Millionen monatlich aktiven Nutzenden in der Europäischen Union werden in die Kategorie sehr großer Online-Plattformen und sehr großer Suchmaschinen fallen. Kleinst- und Kleinunternehmen mit weniger als 45 Millionen monatlich aktiven Nutzenden in der EU werden von bestimmten neuen Verpflichtungen befreit.
Online-Marktplätzen zum Beispiel soll eine Sorgfaltspflicht gegenüber Anbietenden, die ihre Produkte oder Dienstleistungen auf ihren Online-Plattformen verkaufen, auferlegt werden. Marktplätze werden insbesondere Informationen über die verkauften Produkte und Dienstleistungen erheben und anzeigen müssen, um sicherzustellen, dass Konsumierende angemessen informiert werden.
Mit dem Gesetz wird zudem eine Verpflichtung für sehr große digitale Plattformen und Dienste eingeführt, die von ihnen ausgehenden systemischen Risiken zu analysieren und eine jährliche Risikominderungsanalyse durchzuführen. Zu untersuchen sind dabei die Verbreitung illegaler Inhalte, nachteilige Auswirkungen auf Grundrechte, Manipulationen von Diensten mit Auswirkungen auf demokratische Prozesse und die öffentliche Sicherheit, nachteilige Auswirkungen auf geschlechtsspezifische Gewalt und auf Minderjährige sowie schwerwiegende Folgen für die körperliche und geistige Gesundheit von Nutzenden.
Zudem werden Transparenzanforderungen für die Parameter von Empfehlungssystemen eingeführt, um die Information der Nutzenden und ihre Entscheidungen zu verbessern. Sehr große Plattformen und sehr große Suchmaschinen werden Nutzenden ein System zur Empfehlung von Inhalten anbieten müssen, das nicht auf ihrem Profiling beruht.
Weitere Bezüge zum Datenschutz
Die Berührung mit dem Datenschutz ist bei dem DSA offensichtlich. Unter anderem sollen bei sehr großen Plattformen und sehr großen Suchmaschinen Alternativen zum Profiling eingeführt werden, und die Risiken für Grundrechte wie dem Datenschutz müssen bewertet werden.
Aber es sind weitere Aspekte im DSA, die den Datenschutz betreffen, zum Beispiel bezüglich Dark Patterns. Irreführende Schnittstellen und Praktiken, die Nutzende in die Irre führen sollen, sollen verboten werden.
Nicht zuletzt wird Plattformen untersagt sein, zielgerichtete Werbung anzuzeigen, die auf der Verwendung personenbezogener Daten von Minderjährigen im Sinne des EU-Rechts beruht.
Internetnutzende in der EU erhalten also mehr Kontrolle darüber, was sie online sehen, da sie in die Lage versetzt werden, die ihnen angezeigte Werbung besser zu verstehen oder darüber informiert zu werden.
Wichtig ist dabei, dass der DSA nicht etwa die DSGVO in Teilen ersetzen soll oder verdrängt, sondern der DSA tritt neben die DSGVO. So besagt die Begründung zum DSA: Dieser Vorschlag (zum DSA) lässt die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und andere Unionsvorschriften zum Schutz personenbezogener Daten und der Privatsphäre in der Kommunikation unberührt. Beispielsweise ergänzen die Maßnahmen in Bezug auf Werbung auf Online-Plattformen die bestehenden Vorschriften über die Einwilligung und das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten, ändern diese aber nicht.
Wirtschaftsverbände wie der BVDW (Bundesverband Digitale Wirtschaft e.V.) erklären dazu jedoch: „Es scheint, dass die Bestimmungen zu 'Dark Patterns' nur für Online-Plattformen gelten sollen und nicht generell für alle Unternehmen des Anwendungsbereichs des DSA. Sollte der Kompromiss jedoch viele der sehr restriktiven Bestimmungen des Parlaments enthalten, würde das der digitalen Wirtschaft massiv schaden. Das hätte eine rechtsunsichere Verquickung des DSA mit DSGVO und der noch zu finalisierenden ePrivacy-Verordnung zur Konsequenz“, so Thomas Duhr, Vizepräsident des BVDW, zum gegenwärtigen Kenntnisstand der Einigung.
Nach seiner bevorstehenden Verabschiedung wird das Gesetz in der gesamten EU unmittelbar anwendbar sein und fünfzehn Monate nach seinem Inkrafttreten oder ab dem 1. Januar 2024 gelten, je nachdem, welcher Zeitpunkt später liegt. Für sehr große Online-Plattformen und sehr große Online-Suchmaschinen gilt das Gesetz über digitale Dienste ab einem früheren Zeitpunkt, vier Monate nach ihrer Benennung.
Doch nicht nur die sehr großen Online-Vermittlungsdienste, sondern alle in der EU tätigen Online-Vermittler sollten den DSA im Blick behalten, zusätzlich zur DSGVO.