DSA & DMA – Derzeit zwei beliebte Abkürzungen, wenn es um die Regulierung des Internets geht. Stolz ist, wer weiß, wofür die Akronyme stehen (Digital Services Act und Digital Markets Act), bei der näheren Erklärung wird es dann schon schwieriger. Lasst uns also Licht in das digitale Dunkel bringen!

Chats, Shopping, Suchmaschinen, Filme streamen etc.: Digitale Dienste sind fester Bestandteil unseres täglichen Lebens und unerlässlich für den grenzüberschreitenden Handelsverkehr. Die Gesetzgebung hinkte der rasant voranschreitenden digitalen Transformation lange hinterher, die vorher geltenden Bestimmungen stammten aus dem Jahr 2000.

Um diese rechtliche Lücke im digitalen Raum zu schließen, verabschiedete die Europäische Union 2022 den Digital Services Act (DSA) und den Digital Markets Act (DMA). Sie sind Teil eines weitergreifenden Gesetzespakets zur Internet- und Datenregulierung, zu dem auch der AI Act, der Data Act und der Data Governance Act gehören. Insgesamt soll dadurch die Schieflage zwischen mächtigen Internetgiganten einerseits und (gewerblichen) Nutzer:innen andererseits ausgeglichen werden.

Die beiden Verordnungen wurden als einheitliches Regelwerk konzipiert, haben aber unterschiedliche Stoßrichtungen: Mit dem DSA soll ein sicherer digitaler Raum geschaffen werden, in dem die Grundrechte der Nutzer geschützt werden. Der DMA wiederum enthält Regelungen für großen Online-Plattformen, sogenannte Gatekeeper, um faire Wettbewerbsbedingungen zu gewährleisten und auch kleinen Firmen die Tür zu Online-Märkten zu öffnen.

DSA & DMA ersetzen einzelstaatliche Gesetze, die zuvor in nationalen Alleingängen erlassen wurden, wie das österreichische Kommunikationsplattformen-Gesetz und das deutsche Netzwerkdurchsetzungsgesetz. Das ist auch sinnvoll, denn mit 27 unterschiedlichen Rechtsordnungen kann man keine sinnvollen Regeln für den grenzüberschreitenden digitalen Raum schaffen.

Der Digital Services Act

Mit dem Ziel, die Integrität des digitalen Raums sicherzustellen, sieht der DSA seit Februar 2024 ein abgestuftes Set an Pflichten für Vermittlungsdienste, Hosting-Dienste sowie für Online-Plattformen und Suchmaschinen vor. Die strengsten Pflichten gelten für „Sehr große Online-Plattformen“ („VLOPs“ = „very large online platforms“) und „Sehr große Online-Suchmaschinen“ („VLOEs“ = „very large online search enginges“) mit mehr als 45 Millionen monatlich aktiven Nutzern.

Die Europäische Kommission legt mit Beschluss fest, welche Plattformen (bzw. Suchmaschinen) als VLOPs (bzw. VLOEs) einzustufen sind. Die Liste umfasst knapp 20 Unternehmen und reicht von der chinesischen Handelsplattform Alibaba über den App Store von Apple bis hin zu Meta, Google, Youtube und Co.

Wenig überraschend versuchen sich die ersten großen Anbieter aufgrund der damit verbundenen Auflagen gegen diese Einstufung zu wehren: Amazon klagte vor dem Europäischen Gerichtshof gegen die Einstufung als VLOP. Bis in der Sache entschieden wird, sind die strengen Pflichten des DSA aber jedenfalls anwendbar, entschied das Europäische Höchstgericht zuletzt.

Die Pflichten des DSA umfassen unter anderem:

• Einrichtung eines Meldesystems: Plattformen müssen nutzerfreundliche Meldesysteme einrichten und Meldungen über illegale Inhalte oder unsichere Produkte rasch bearbeiten. Das umfasst auch den Schutz vor Online-Mobbing und der unberechtigten Weitergabe privater Bilder.
• Einschränkung von Target Advertising: Zielgerichtete Werbung muss transparent gekennzeichnet werden, damit Nutzer:innen wissen, warum ihnen bestimmte Werbung angezeigt wird. Werbung, die auf sensiblen Daten basiert (z.B. Sexualität) oder sich gezielt an Kinder richtet, ist verboten. Nutzer:innen haben außerdem ein Recht auf ein alternatives Angebot, dessen Newsfeed nicht auf der Auswertung ihres Profils beruht. Meta hat daraufhin ein kostenpflichtiges datenschonendes Abonnement für Facebook & Instagram etabliert, dessen Rechtmäßigkeit jetzt gerichtlich überprüft wird.
• Verbot von „Dark Patterns“: Der DSA beschränkt manipulative Plattformdesigns, die darauf ausgerichtet sind, Nutzer:innen in ihren Handlungen zu beeinflussen (z.B. wenn der „Zustimmen“-Button farblich hervorgehoben wird, während der „Ablehnen“-Button grau hinterlegt ist).
• Moderation von Inhalten: Es muss ein System eingerichtet werden, das es Nutzer:innen einfach und kostenlos ermöglicht, die Entscheidung über die Löschung von Postings und das Sperren von Accounts anzufechten. Um die Redefreiheit sicherzustellen, gibt es ein Verbot eines umfassenden „Content Monitoring“, also der systematischen Überwachung aller Inhalte.
• Maßnahmen gegen systemische Risiken: Sehr große Online-Plattformen müssen prüfen, ob ihre Dienste gesellschaftliche Risiken – wie die Verbreitung rechtswidriger Inhalte, geschlechterspezifische Gewalt, die Behinderung von Wahlen und die Einschränkung von Grundrechten – verschärfen und messbare Maßnahmen dagegen ergreifen.

Dass es der EU ernst ist, zeigt sich nicht zuletzt an den massiven Strafandrohungen von bis zu sechs Prozent des weltweiten Jahresumsatzes. Für Amazon würde das mögliche Geldbußen bis zu 34,49 Milliarden Euro bedeuten.

Der Digital Markets Act

Seit Juni 2023 regelt der Digital Markets Act Pflichten für sogenannte „Gatekeeper“ (englisch für „Torwächter“): Das sind große digitale Plattformen, die Plattformdienste anbieten und dadurch als Schnittstelle zwischen gewerblichen Nutzer:innen und Verbraucher:innen fungieren.

Gemeint sind damit Online-Vermittlungsdienste wie z.B. zum Herunterladen von Computer- oder Handyprogrammen, Online-Suchmaschinen, soziale Netzwerke, Video-Sharing-Plattformen, Webbrowser, Online-Marktplätze oder Online-Werbedienste. Diese unterliegen dem DMA, wenn sie aufgrund ihrer Marktmacht die Spielregeln des Marktzugangs diktieren und den Zugang der gewerblichen Nutzer:innen zu deren potenziellen Kund:innen beschränken können.

Alphabet, Amazon, Apple, ByteDance (die Firma hinter TikTok), Meta und Microsoft: Diese sechs Internetgiganten hat die Europäische Kommission als Gatekeeper identifiziert. Die umfassenden Regeln des DMA sollen einen fairen Wettbewerb ermöglichen und dadurch sowohl Verbraucher:innen als auch gewerbliche Nutzer:innen schützen. Sie umfassen unter anderem folgende Verpflichtungen:

• Verbraucher:innen müssen vorinstallierte Apps leicht deinstallieren und Standardeinstellungen ändern können. Außerdem muss das Installieren von Apps anderer Anbieter oder aus anderen App-Stores möglich sein.
• Aktivitäten der Verbraucher:innen dürfen nicht ohne deren Einwilligung außerhalb des Plattformdiensts des Gatekeepers weiterverfolgt werden, um gezielte Werbung zu platzieren.
• Für gewerbliche Nutzer:innen muss es möglich sein, ihre Angebote zu bewerben und Verträge mit Verbraucher:innen außerhalb der Plattform des Gatekeepers zu schließen. Sie müssen Zugang zu den Daten erhalten, die durch ihre Tätigkeiten auf der Plattform des Gatekeepers generiert werden.
• Gatekeeper dürfen die Daten gewerblicher Nutzer:innen, mit denen der Gatekeeper auf seiner eigenen Plattform im Wettbewerb steht, nicht für eigene Zwecke verwenden.
• Gatekeeper dürfen eigene Produkte oder Dienste nicht besser behandeln als Produkte oder Dienste der gewerblichen Nutzer:innen.
• Von App-Entwicklern darf nicht verlangt werden, bestimmte Dienste des Gatekeepers (z.B. Zahlungssysteme) zu nutzen, damit sie in dessen App-Store erscheinen.
• Gatekeeper dürfen gewerbliche Nutzer:innen nicht an einer gerichtlichen Beschwerde hindern.

Die angedrohten Strafen sind im Vergleich zum DSA noch drastischer: 10 Prozent des weltweiten Gesamtumsatzes, bei Wiederholungsdelikten sogar bis zu 20 Prozent können verhängt werden, außerdem kann die Europäische Kommission den Verkauf von Unternehmensteilen anordnen oder den Erwerb zusätzlicher Dienste untersagen. Im März wurden die ersten Verfahren gegen Apple (wegen seines App-Stores) und Google (wegen Bevorzugung eigener Angebote) eingeleitet.

Fazit

Die EU schaffte mit einem umfassenden Gesetzespaket zur Internet- und Datenregulierung einen großen Schritt in Richtung einer europäisch geprägten Digitalpolitik, die Nutzer:innen in das Zentrum der Digitalisierung stellt. Die Herausforderung der nächsten Legislaturperiode besteht nun darin, europäische digitale Innovationen wieder in den Fokus zu rücken, um sich nicht in einer wirtschaftshemmenden Überregulierung zu verlieren.