Der Digital Services Act: Antworten auf 10 Fragen, die sich SaaS-Anbieter jetzt stellen sollten
24. Oktober 2024
Die Verordnung (EU) 2022/2065, der sog. Digital Services Act („DSA”, hier abrufbar), trat als Teil der größeren EU-Digitalstrategie (u.a. Digital Markets Act, Data Act und AI Act) am 16. November 2022 in Kraft und ist seit dem 17. Februar 2024 vollständig anwendbar. Er soll einen harmonisierten EU-Rechtsrahmen für ein sicheres, vorhersehbares und vertrauenswürdiges Online-Umfeld schaffen. Zu diesem Zweck werden zahlreiche Pflichten, aber auch Haftungserleichterungen für Vermittlungsdienste geschaffen. Insbesondere für SaaS-Anbieter mit oft heterogenen und schwer zu klassifizierenden Geschäftsmodellen stellt sich die Frage, was sie beachten und wie sie nun handeln müssen. Dabei kursieren mitunter Fehlvorstellungen, die schlimmstenfalls zu Haftungsrisiken führen können. Im Folgenden sollen wesentliche Fragen beantwortet und die größten Missverständnisse aufgeklärt werden.
- Was sind die Ziele des DSA?
Der DSA hat verschiedene Ziele. Er will durch einheitliche Regelungen den elektronischen Geschäftsverkehr fördern und einen harmonisierten Binnenmarkt schaffen, der frei von nationalen Hürden ist. Dies soll Unternehmen die Entwicklung innovativer digitaler Dienste erleichtern und Verbrauchern eine Vielzahl von konkurrierenden Angeboten bieten.
Andererseits sollen Plattformen effektiver und einheitlicher reguliert werden, um so den spezifischen und systemischen Risiken der Digitalwirtschaft besser entgegenzuwirken. Insbesondere soll die Verbreitung rechtswidriger Inhalte eingedämmt und sollen klarere Gestaltungsvorschriften für Plattformen geschaffen werden. - Auf wen ist der DSA anwendbar?
Ein verbreiteter Irrglaube ist, dass der DSA nur besonders große Plattformen in die Pflicht nimmt. Zwar verfolgt der DSA ein abgestuftes Pflichtenkonzept mit speziellen, weitreichenderen Pflichten für sehr große Online-Plattformen (very large online platforms, sog. „VLOPs“) und besonders große Online-Suchmaschinen (very large online search engines, sog. „VLOSEs“) mit monatlich mehr als 45 Millionen Nutzern in der EU. Nach seinem Art. 2 Abs. 1 findet der DSA aber auf jegliche Vermittlungsdienste unabhängig von ihrer Größe Anwendung. Unter den Begriff der Vermittlungsdienste (definiert in Art. 3 lit.g) fallen drei Kategorien von Diensten: Reine Durchleitungen, Caching-Leistungen und Hosting-Dienste.
Von besonderer Bedeutung für SaaS-Anbieter ist der Begriff der Hosting-Dienste, der besonders weit gefasst ist. Ihm unterfällt jeder Dienst, zu dessen Zweck es gehört, von Nutzern bereitgestellte Informationen in deren Auftrag zu speichern.
Dabei nimmt der DSA keine unternehmens-, sondern eine dienstbezogene Betrachtung vor. Für Unternehmen bedeutet dies: Unterschiedliche Dienste können ggf. in unterschiedliche Regelungsbereiche des DSA fallen. Hier ist eine genaue Abgrenzung und Analyse unabdingbar. Zu beachten ist ebenfalls, dass mit dem sog. Marktortprinzip auch Unternehmen ohne Niederlassung in der EU erfasst werden, solange sie Dienstleistungen in der EU anbieten (Art. 2 Abs. 1, 3 lit. d und e DSA). - Welche Unterkategorien von Hosting-Diensten kennt der DSA und wie verhalten sie sich zueinander?
Während Hosting-Diensteanbieter „nur“ den generellen Pflichten in Art. 11-18 unterworfen sind, kennt das abgestufte Pflichtenkonzept des DSA Unterkategorien von Hosting-Diensteanbietern, die einem umfangreicheren Pflichtenkatalog unterworfen sind:
- Online-Plattformen (Art. 3 lit. i DSA), also Hosting-Dienste, die Informationen im Auftrag eines Nutzers nicht nur speichern, sondern auch öffentlich verbreiten, d.h. einer potenziell unbegrenzten Zahl von Dritten bereitstellen, treffen die weiteren Pflichten in Art. 20-28 DSA.
- Online-Plattformen, die Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglichen (nachfolgend: „Online-Handelsplattformen“) treffen zusätzlich zu den allgemeinen und den Pflichten für Online-Plattformen die Pflichten in Art. 30-32 DSA. - Welche Beispiele von Diensten sind denkbar?
In die Gruppe der Hosting-Dienste fallen nach der oben geschilderten abstrakten Beschreibung typischerweise insbesondere Cloud-Computing-Dienste unterschiedlicher Art, unabhängig davon, ob die Leistung sich im Anbieten von Speicherplatz (wie bei Dropbox oder Google Drive) oder Rechenleistung erschöpft oder darüber hinaus bestimmte Software angeboten oder sonstige Zusatzleistungen erbracht werden.
In die engere Hosting-Dienste-Kategorie der Online-Plattformen fallen Social-Media-Angebote (wie Facebook, LinkedIn oder Instagram) sowie im Einzelfall ggf. Instant-Messaging-Dienste (wie etwa Telegram). Über diese typischen Fälle hinaus dürften aber jegliche SaaS-Dienste erfasst sein, die Nutzern die Möglichkeit bieten, von ihnen eingestellte Inhalte einer Vielzahl anderer Nutzern zugänglich zu machen. Marktplätze, also Plattformen, auf denen Nutzer Waren bzw. Dienstleistungen anbieten (wie etwa eBay oder dem Amazon Marketplace) unterfallen der noch engeren Kategorie der Online-Handelsplattformen.
Insgesamt ist davon auszugehen, dass nahezu jedes SaaS-Angebot mit hoher Wahrscheinlichkeit als Hosting-Dienst iSd DSA einzustufen ist. Auch die Schwelle zur Online-Plattform dürfte schneller erreicht sein als häufig angenommen. Gleichzeitig soll bspw. eine unbedeutende und reine Nebenfunktion eines Dienstes diesen noch nicht zu einer Online-Plattform machen. Es ist daher stets im Einzelfall zu prüfen, ob ggf. nicht doch eine Ausnahme vorliegt. - Was bedeutet das für Start-Ups und KMU?
Für Klein- und Kleinstunternehmen kann die Umsetzung des DSA z.B. durch seine Vorgaben zu Organisations- und Prozesspflichten mitunter zu einer unverhältnismäßigen Belastung führen. Dies hat auch der Verordnungsgeber erkannt. Die besonderen Sorgfaltspflichten für Online-Plattformen sowie Online-Handelsplattformen finden daher auf Klein- und Kleinstunternehmen nicht oder nur eingeschränkt Anwendung (vgl. Art. 19, 29 DSA). Ob ein Unternehmen die hierfür festgelegten Schwellenwerte erreicht oder nicht, muss im Einzelfall geprüft werden. - Sind nur B2C-Angebote erfasst?
Der Begriff des Nutzers sowie die Tatsache, dass der DSA (zumindest auch) dem Verbraucherschutz dient, lassen zunächst vermuten, dass der Anwendungsbereich des DSA nur eröffnet ist, wenn Informationen gegenüber Verbrauchern vermittelt werden.
Der DSA versteht den Begriff allerdings sehr weitreichend und erfasst mit Art. 3 lit. b jede natürliche oder juristische Person, die einen Vermittlungsdienst in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Es sind daher neben B2C-Plattformen auch reine B2B-Plattformen vom DSA erfasst. - Wann haften Anbieter von Hosting-Diensten für rechtswidrige Inhalte ihrer Nutzer?
Im Vergleich zur bisherigen Rechtslage bleiben die Regelungen zur Haftungsprivilegierung für Intermediäre inhaltlich weitestgehend gleich. Auch weiterhin sind Hosting-Diensteanbieter für von Nutzern in den Dienst eingestellte Inhalte grundsätzlich nicht verantwortlich, solange sie die Rechtswidrigkeit oder (bzgl. Schadensersatzansprüchen) die Tatsachen/Umstände, aus denen eine Rechtswidrigkeit offensichtlich wird, nicht kennen. Eine allgemeine Überwachungspflicht von Inhalten gibt es weiterhin nicht, Art. 8 DSA.
Sobald ein Anbieter Kenntnis von rechtsverletzenden Inhalten erlangt hat, muss er zügig tätig werden, um diese Inhalte zu entfernen oder den Zugang zu ihnen zu sperren, Art. 6 Abs. 1 lit. b DSA (sog. notice-and-takedown-Verfahren). Dabei wird Kenntnis bereits dann (widerleglich) vermutet, wenn der Anbieter einen substantiierten Hinweis – etwa durch einen anderen Nutzer- erhalten hat, vgl. Art. 16 Abs. 3 DSA. Zu diesem Zweck sind Hosting-Diensteanbieter mit Art. 16 DSA verpflichtet, ein geeignetes Melde- und Abhilfeverfahren auf ihrem Dienst anzubieten. Eine darüberhinausgehende freiwillige, anlasslose Prüfung von Nutzerinhalten ist möglich und lässt die Haftungsprivilegierung unberührt (sog. Good-Samaritan-Privileg, Art. 7 DSA).
Nicht mehr privilegiert ist hingegen das Einnehmen einer aktiven Rolle in Bezug auf Nutzerinhalte. Erlangt ein Anbieter also Wissen oder Kontrolle über den Inhalt, z.B. indem er diesen vor der Speicherung bzw. Vermittlung inhaltlich-redaktionell kontrolliert oder selektiert, so haftet er auch im Falle seiner Rechtswidrigkeit. Zur Beurteilung, wann ein konkreter Anbieter eine aktive Rolle einnimmt, wird in der Regel eine genaue Einzelfallbetrachtung nötig sein. Eine aktive Rolle wird aber nicht schon dadurch eingenommen, dass die mögliche Rechtswidrigkeit von Nutzerinhalten freiwillig und anlasslos geprüft wird (sog. Good-Samaritan-Privileg, Art. 7 DSA). Erst wenn dabei rechtswidrige Inhalte entdeckt werden, muss der Anbieter nicht anders als bei Nutzerhinweisen zügig tätig werden. - Welche Sorgfaltspflichten müssen darüber hinaus bzgl. rechtswidriger Inhalte beachtet werden?
Alle Hosting-Diensteanbieter müssen im Rahmen der allgemeinen Pflichten (Art. 11-18 DSA) unter anderem eine zentrale Kontaktstelle für Behörden (Art. 11 DSA) und Nutzer (Art. 12 DSA) einrichten, um eine schnelle, elektronische und benutzerfreundliche Kommunikation zu ermöglichen. Anbieter ohne Niederlassung in der EU müssen einen gesetzlichen Vertreter innerhalb der EU bestimmen (Art. 13 DSA). Weiter muss ein jährlicher Bericht über das Melde- und Beschwerdemanagement veröffentlicht (Art. 15 DSA) und müssen bei Verdacht einer Straftat oder einer Gefahr für die Sicherheit einer Person betreffende Inhalte ggü. Strafverfolgungsbehörden gemeldet werden (Art. 18 DSA). Online-Plattformen treffen zusätzlich strengere Pflichten zur Entgegennahme und Reaktion auf Hinweise, insbesondere von sog. vertrauenswürdigen Hinweisgebern, sowie das Ergreifen von Maßnahmen bei missbräuchlichem Vorgehen (Art. 22 und 23 DSA). Online-Handelsplattformen müssen darüber hinaus durch entsprechende Ausgestaltung der Plattform, Implementierung technischer Maßnahmen und Durchführung regelmäßiger Stichproben in stärkerem Maße sicherstellen, dass Anbieter identifizierbar sind und keine rechtswidrigen Produkte bzw. Dienste anbieten. Zudem müssen betroffene Nutzer informiert werden, wenn sie von rechtswidrigen Inhalten betroffen waren (Art. 30-32 DSA).
Werden Inhalte gelöscht oder gesperrt, müssen Hosting-Diensteanbieter betroffenen Nutzern die spezifischen Gründe für eine solche Maßnahme in verständlicher Form darlegen (Art. 17 Abs. 1, 3 und 4 DSA). Online-Plattformen müssen Nutzern zudem wirksame Rechtsschutzmöglichkeiten bieten, d.h. insbesondere Beschwerden gegen ergriffene, aber auch nicht ergriffene Maßnahmen zulassen und sorgfältig, zeitnah und willkürfrei darüber entscheiden (Art. 20 und 21 DSA). - Was muss bei Gestaltung und Anwendung des SaaS-Dienstes und der Nutzerverträge beachtet werden?
Alle Hosting-Diensteanbieter sind verpflichtet, ihre Verträge transparent und verständlich zu gestalten und willkürfrei durchzusetzen. Nutzer müssen u.a. verstehen können, wann Inhalte gelöscht oder Konten gesperrt werden (Art. 14 DSA) und wie mit Nutzerbeschwerden umgegangen wird (Art. 23 DSA).
Online-Plattformen, die (algorithmische) Empfehlungssysteme einsetzen, Nutzerinhalte also sortieren und gezielt bestimmten Nutzern anzeigen, müssen deren Funktionsweise offenlegen und die Wahl anderer Empfehlungssysteme möglich und erkennbar machen (Art. 27 DSA). Plattformen dürfen nicht so gestaltet sein, dass Nutzer manipuliert, getäuscht oder in ihren Auswahlmöglichkeiten behindert werden (sog. Dark Patterns, Art. 25 DSA). Dargestellte Werbung muss eindeutig gekennzeichnet und der Grund ihrer Darstellung ggü. dem individuellen Nutzer offengelegt werden (Art. 26 DSA). Bei erkennbar minderjährigen Nutzern gelten weitere Einschränkungen (Art. 28 DSA). - Welche Konsequenzen drohen bei Verstößen gegen den DSA?
Der DSA verfolgt das bereits aus verschiedenen EU-Rechtsakten der vergangenen Jahre bekannte Prinzip der doppelten Rechtsdurchsetzung.
Verstöße können einerseits durch die zuständigen nationalen Behörden bzw. den sog. Koordinator für digitale Dienste (Art. 49 Abs. 2 DSA, in Deutschland die Bundesnetzagentur) geahndet werden. Diesen steht das volle Instrumentarium an Auskunftsverlangen, Abhilfemaßnahmen und Sanktionen in Art. 51 DSA zur Verfügung. Es drohen teils schwerwiegende Sanktionen: Geldbußen können, abhängig vom konkreten Verstoß, bis zu 1% oder 6% des weltweiten Jahresumsatzes betragen (Art. 52 Abs. 3 DSA). Als besonders scharfes Schwert kann eine sog. Angebotssperre, also eine vorübergehende Einschränkung des Zugangs zum betroffenen Dienst, verhängt werden (Art. 51 Abs. 3 lit. b DSA).
Andererseits können Verstöße auch auf dem Privatrechtsweg geltend gemacht werden. Nach Art. 53 DSA haben betroffene Nutzer die Möglichkeit, Beschwerde beim Koordinator für digitale Dienste einreichen und so ggf. eine behördliche Maßnahme zu erwirken. Daneben steht es ihnen offen, gem. Art. 54 DSA nach Maßgabe des jeweiligen nationalen Rechts Entschädigung im Wege des Schadensersatzes zu verlangen. Darüber hinaus können DSA-Verstöße unter Umständen unlautere Handlungen gem. § 3a UWG darstellen, sodass nicht zuletzt Abmahnungen durch u.a. Mitbewerber und Verbraucherverbände drohen. Vor diesem Hintergrund sollten SaaS-Anbieter nicht auf untätige Aufsichtsbehörden vertrauen.
Dieser Beitrag zeigt, dass SaaS-Dienste in den allermeisten Fällen in den Anwendungsbereich des DSA fallen. Dabei ist die genaue Kategorisierung und Prüfung von Diensten und möglichen Ausnahmetatbeständen mitunter nicht einfach. Gleichzeitig kann die konkrete Einstufung zeit- und kostenintensive Auswirkungen haben, da von ihr abhängt, ob nur die allgemeinen Pflichten für Hosting-Dienste Anwendung finden oder zusätzlich bspw. ein internes Beschwerdemanagementsystem eingerichtet und technische Gestaltungsmaßnahmen ergriffen werden müssen. Die Ausgestaltung eines Dienstes ebenso wie das zielsichere Festlegen und konsequente Durchsetzen vertraglicher Nutzungsbedingungen kann daher eine wichtige und unterschätzte Rolle dabei spielen, weitreichendere Pflichten zu vermeiden und Haftungsrisiken zu minimieren. Hierzu und zu der generellen Einhaltung der Pflichten beraten wir gern.
Über uns
Steuerberater:innen, Tax Specialists sowie eine Notarin in vier Büros in Berlin, Hamburg, Köln und München tätig.