Von Peter Schaar
Kurz vor Weihnachten beschenkte die Europäische Kommission uns mit dem Entwurf eines „Digital Services Act“ (DSA) — COM (2020) 825 final of 15.12.2020. Das neue Regelungswerk soll Verbraucherinnen und Verbraucher und ihre Grundrechte im Internet besser schützen, einen leistungsfähigen und klaren Rahmen für Transparenz und Verantwortlichkeiten von Online Plattformen schaffen und zugleich Innovation, Wachstum und Wettbewerbsfähigkeit der europäischen Wirtschaft verbessern.
Auch wenn sich die Kommission für das Regelungsinstrument einer Verordnung (also ein in allen Mitgliedstaaten direkt anwendbares EU-Gesetz) entschieden hat, lässt der Entwurf den Mitgliedstaaten weitgehend freie Hand im Hinblick auf die Definition und den Umgang mit illegalen Inhalten, auf Zugriffe und Überwachungsmaßnahmen staatlicher Stellen. Von einer Vollharmonisierung kann schon deshalb nicht wirklich die Rede sein.
Kein Paradigmenwechsel
Wer sich von dem DSA einen Paradigmenwechsel hin zu Open Data und und Open Standards erwartet hat, dürfte enttäuscht sein. Der DSA enthält zwar zusätzliche Transparenzregeln und sieht vor, dass die Funktionsweise und Parameter der von großen Online-Plattformen verwendeten Algorithmen offengelegt werden sollen. Eine Verpflichtung zur Gewährleistung des Datenzugangs gibt es aber nur für sehr große Online-Plattformen. Sie ist zudem auf Wissenschaftler beschränkt und findet ihre Grenzen, wenn Sicherheitsbelange, Betriebs- und Geschäftsgeheimnisse berührt sind.
Eine wesentliche Neuerung sind die nach Funktionalität, Größe und Bedeutung der jeweiligen Dienste gestaffelten rechtlichen Anforderungen und der daran anknüpfenden Duchsetzungsmechanismen. Die funktionale Differenzierung erfolgt nach Vermittlung, Hosting und Online-Plattformen. Während es bei Vermittlungs- und Hostingplattformen grundsätzlich bei der bisherigen Haftungsprivilegierung bleibt, werden die Onlineplattformen stärker in die Pflicht genommen. Die erweiterten Vorgaben von Online-Plattformen betreffen speziell den Umgang mit illegalen Inhalten und manipulativen Praktiken, für die auch neue Transparenzpflichten eingeführt werden.
Gestaffelte Verpflichtungen
Die Pflichten der Diensteanbieter sind nach Unternehmensgrößen gestaffelt. Sehr kleine („micro“) und kleine („small“) Unternehmen werden von einer Reihe von Verpflichtungen ausgenommen. Dagegen sind für „sehr große Online-Plattformen“, die mehr als 10% der EU-Einwohner (45 Millionen) erreichen, zusätzliche Vorgaben vorgesehen. Solche Plattformen müssen ihre internen Strukturen an den Vorgaben des DSA ausrichten (Risikomanagement und Compliance), ihre Empfehlungssysteme transparent gestalten und den Nutzern entsprechende Wahlmöglichkeiten einräumen, den Datenaustausch mit Behörden und der Forschung gewährleisten, Verhaltenskodizes festlegen und mit Behörden im Krisenfall zusammenarbeiten. Auch müssen sie systematisch untersuchen, wie sich ihr Handeln auf die Demokratie auswirkt.
Der DSA verzichtet auf eine unabhängige Aufsicht, wie sie etwa in der Datenschutz-Grundverordnung (DSGV) vorgesehen ist. Die Aufgabe der Durchsetzung der Vorgaben der Verordnung wird nationalen Behörden (insb. den Digital Services Coordinators“) zugewiesen, die von einem neuen Europäischen Gremium für digitale Dienste unterstützt werden sollen. Verstöße sollen mit Bußgeldern bis zu 6 % des Jahresumsatzes geahndet werden können. Zum Vergleich: Die maximale Sanktion für Datenschutzverstöße nach der DSGVO liegt bei 4 %. Verfahren gegen sehr große Online-Plattformen bleiben der Europäischen Kommission vorbehalten.
Berührungspunkte zum Datenschutz
Auch wenn der DSA die Bestimmungen zum Datenschutz unberührt lassen soll, gibt es doch eine Reihe von Berührungspunkten und Überschneidungen zur DSGVO und zu anderen Datenschutzvorschriften. So werden vielfach personenbezogene Daten verarbeitet – angesichts der enormen und weiter wachsenden Verknüpfungsmöglichkeiten können immer mehr Daten einzelnen Personen zugeordnet werden.
Alle Vorgaben, wie mit diesen Daten umgegangen werden soll, betreffen dementsprechend den durch Art. 8 EUGRCh garantierten Datenschutz. Dies gilt sowohl für die Metadaten als auch für die Inhalte. Kooperations- und Herausgabepflichten bezüglich dieser Daten gegenüber staatlichen und privaten Stellen (etwa bei vermuteten Straftaten oder Urheberrechtsverstößen), Verarbeitungssperren und Detektionssysteme sind stets auch datenschutzrelevant und müssen dem Grundsatz der Verhältnismäßigkeit entsprechen. Zudem sind algorithmische Systeme, die Entscheidungen selbst automatisiert treffen oder vorbereiten, genauso wie die im Entwurf erwähnten Empfehlungssysteme auch Gegenstand datenschutzrechtlicher Rechte und Pflichten, die durch den DSA nicht eingeschränkt werden.
Schließlich gibt es Überschneidungen bei der Aufsicht. So sollten die für die Beaufsichtigung der Dienste zuständigen Behörden grundsätzlich verpflichtet werden, von ihnen festgestellte Verstöße gegen Datenschutzvorschriften den zuständigen Datenschutzbehörden mitzuteilen. Das europäische Gremium für digitale Dienste sollte Empfehlungen, Vorgaben oder Verfahren mit Datenschutzbezug mit dem Europäischen Datenschutzausschuss abstimmen.
Fazit
Um zur Eingangsfrage zurückzukommen: Der DSA ist nicht die „silver bullet“, wie auch die Kommission selbst feststellt. Aber der neue Rechtsakt kann ein weiterer wichtiger Baustein einer europaweiten rechtssicheren, die Bürger- und Verbraucherrechte respektierenden Dateninfrastruktur werden. Dazu ist es allerdings notwendig, die erkennbaren Schwachstellen zu beseitigen. Auf die entsprechenden Vorschläge des Europäischen Parlaments kann man gespannt sein.