Das „Digital Services Act“-Paket
Nachdem die Europäische Kommission im Juni 2020 eine öffentliche Konsultation zu ihrem lang erwarteten Digital Services Act eingeleitet hat und in einer Konsultationsphase bis zum 08.09.2020 Stellungnahmen eingebracht werden konnten, wurden am 15.12.2020 zwei Entwürfe für Verordnungen veröffentlicht: Der Digital Services Act („DSA-E“) und der Digital Markets Act („DMA-E“) zur Regulierung digitaler Dienste und digitaler Märkte. Als Verordnungen wären beide Normtexte unmittelbar in den Mitgliedstaaten anwendbar; eine Umsetzung in nationales Recht ist nicht erforderlich.
Ziele
Das Regulierungspaket soll die zentralen Spielregeln der Digitalwirtschaft neu bestimmen und den seit dem Jahr 2000 bestehenden Rechtsrahmen für digitale Dienste, die E-Commerce-Richtlinie, modernisieren. Damit verbunden ist auch eine partielle Ergänzung der Datenschutz-Grundverordnung (DS-GVO). Die Eckpfeiler in der E-Commerce-Richtlinie spiegeln die technische, soziale und wirtschaftliche Realität der heutigen Dienste über ihren gesamten Lebenszyklus von der Gründung über die Werbung bis hin zur Haftung nicht durchgehend angemessen wider. Es scheint auch nicht ausgeschlossen, dass innovative Anbieter digitaler Geschäftsmodelle durch die Vielzahl unterschiedlicher Regeln abgeschreckt werden – und so liegt die Vermutung nahe, dass dies durchaus eine strategische Schwäche der EU-Digitalwirtschaft ist und nicht nur außereuropäische Angebote stärkt, sondern auch die Abhängigkeit der EU-Bürgerinnen und -Bürger von außereuropäischen Angeboten erhöht. Nun soll also eine vereinheitlichte Regulierung die mitgliedstaatlichen Flickenteppiche ersetzen. Aus dem EU-Parlament war zu hören, die EU arbeite daran, „die Verfassung des Internets auf eine moderne Basis zu stellen“.
Beim Lesen der beiden Entwürfe wird schnell deutlich, dass die Verordnungsentwürfe vorrangig nicht auf mittelständische europäische Unternehmen abzielen, sondern die großen (US-amerikanischen) Tech-Konzerne (insbesondere „very large online platforms“) normativ einhegen und deren Marktmacht begrenzen sollen. Konkret gemeint sind damit Plattformen mit mindestens 45 Mio. monatlich aktiven Nutzern in der EU (Art. 25 Abs. 1 DSA-E, Art. 3 Abs. 2 lit. b DMA-E). Dabei sollen Haftung und Verantwortlichkeiten der digitalen Dienste klarer und vor allem EU-weit einheitlicher geregelt werden (etwa hinsichtlich der Meldung und Löschung illegaler Inhalte), um den spezifischen Risiken zu begegnen und die Achtung der Grundrechte der Nutzer besser zu gewährleisten. Die rechtlichen Verpflichtungen sollen ein modernes System der Zusammenarbeit bei der Kontrolle großer Plattformen gewährleisten und eine wirksame Durchsetzung garantieren. Außerdem werden sog. Gatekeeper-Plattformen stärker reguliert, um Marktungleichgewichte zu beheben und gleiche Wettbewerbsbedingungen auf den europäischen digitalen Märkten zu schaffen. Damit könnte insbesondere der DMA-E nicht nur die Wettbewerbsbedingungen der digitalen Märkte in der EU maßgeblich beeinflussen, sondern auch die Geschäftsmodelle der großen Spieler weltweit.
Das Verordnungspaket umfasst in Bezug auf die kartellrechtliche Regulierung nunmehr Maßnahmen, welche die Europäische Kommission bereits im Juni zur Konsultation gestellt hatte. Unter dem Begriff „New Competition Tool“ hatte die Europäische Kommission Marktuntersuchungsinstrumente vorgestellt, die bestimmte strukturelle Wettbewerbsprobleme adressieren sollen, die nach Auffassung der Europäischen Kommission mit den bestehenden Kartellrechtsnormen nicht oder nicht wirksam gelöst werden könnten. (Vgl.: European Commission mulls new market investigation tool) Die zur Konsultation gestellten Eingriffsoptionen (z.B. Entflechtung) waren sehr weitreichend, weil sie keinen Verstoß gegen das Kartellrecht voraussetzten und unterhalb der Marktbeherrschung angesiedelt waren. Erwähnt sei hier ebenfalls das Vorhaben des deutschen Gesetzgebers, mit der sogenannten GWB-Digitalisierungsnovelle die nationale Missbrauchsaufsicht für marktmächtige Digitalunternehmen zu verschärfen. Es wird sich nun zeigen, inwieweit der auf Harmonierung innerhalb der Union gerichtete DMA-E die Initiativen in Deutschland beeinflussen wird.
Inhalte (Überblick)
Der DSA-E soll die großen Tech-Anbieter „an die Leine nehmen“ und das Internet „sicherer“ machen („sicherere und transparentere Online-Umgebung für Verbraucher“). In den regulativen Blick genommen werden insbesondere Darstellungen sexuellen Kindesmissbrauchs, urheberrechtlich geschütztes Material und die nicht-einvernehmliche Weitergabe privater Bilder, „Online-Stalking“, terroristische Inhalte, für die mit einer eigenen „Verordnung zu Terrorpropaganda“ Löschpflichten von einer Stunde gelten sollen, diskriminierende Inhalte insgesamt sowie strafbare Hasskommentare. Dabei ist etwa der Terminus „illegal hate speech“ nicht legaldefiniert; interessanterweise taucht er sodann auch nur in den Erwägungsgründen, nicht aber im verfügenden Teil des Entwurfs auf. In Deutschland wäre mithin die Anwendung und Auslegung grundsätzlich an die Tatbestände des Strafgesetzbuchs gekoppelt. Auf die Probleme des deutschen Netzwerkdurchsetzungsgesetzes (NetzDG), etwa das teilweise Auslagern der Rechtsprechungsaufgaben auf Private, sowie auf berechtigte Befürchtungen eines „Overblocking“ gehen die Entwürfe nur bedingt ein: Immerhin ist ein Widerspruchsrecht vorgesehen für Inhaltslöschungen oder Accountsperrungen; zudem soll, wer „regelmäßig“ Inhalte als illegal meldet, obwohl sie es nicht sind, gewarnt und sodann (vorübergehend) vom Meldesystem ausgeschlossen werden können. Ob dies ein „Overblocking“ tatsächlich wirksam verhindern wird, muss die Praxis zeigen.
Hinsichtlich der Plattformhaftung orientiert sich der Entwurf am Grundsatz der E-Commerce-Richtlinie, wonach Plattformen grundsätzlich keine eigene Prüfpflicht hinsichtlich illegaler Inhalte haben und nur haften, wenn sie entsprechend in Kenntnis gesetzt wurden („notice and take down“ bzw. „notice and action mechanism“, Art. 14 DSA-E). Die Plattform muss also im Einzelfall nachweisen, dass sie keine „tatsächliche Kenntnis“ über illegale Inhalte auf ihren Seiten hat oder aber „unverzüglich“ gehandelt haben, um den Inhalt Content zu entfernen oder den Zugang dazu zu blockieren.
Ein weiterer zentraler Aspekt ist die Transparenz bei Werbeanzeigen (Art. 24 DSA-E): Der Anbieter muss bei Anzeigen auf seiner Website unmissverständlich offenlegen, (i) dass es sich um Werbung handelt, (ii) wer diese geschaltet hat und (iii) welche Faktoren ausschlaggebend dafür waren, dass der Nutzer gerade diese Anzeige zu sehen bekommt. Auch das umstrittene sog. Microtargeting muss offengelegt werden (dabei handelt es sich um eine Kommunikations- bzw. Werbestrategie, bei der bestimmte Inhalte gezielt an bestimmte Personengruppen adressiert werden, oftmals im politischen Kontext).
Eine Neuheit ist auch die obligatorische jährliche Bewertung „signifikanter systemischer Risiken“ der Nutzung eines Dienstes bzw. einer Plattform (vgl. Art. 26 f. DSA-E). Beschrieben werden soll etwa, ob Moderations- und Empfehlungssysteme sowie der Umgang mit Werbeanzeigen ein systemisches Risiko bergen, welche Folgen die Verbreitung illegaler Inhalte auf die Informations- und Meinungsfreiheit sowie auf das Privatleben von Menschen haben oder inwiefern der Gebrauch von Fake-Accounts negative Folgen für die Gesundheit, für Minderjährige, für den zivilen Diskurs oder für Wahlen zeitigt. Anschließend sollen verschiedene ergriffene Abhilfemaßnahmen aufgeführt werden, etwa Stopps von Werbeauszahlungen für einschlägigen Content oder eine erweiterte Sichtbarkeit zuverlässiger Informationsquellen.
Der DMA-E adressiert Anbieter von sozialen Netzwerken, Suchmaschinen, Clouddiensten, Videoplattformen, Betriebssystemen und Werbenetzwerken, die bereits eine gewisse Größe und Marktmacht haben oder aber in absehbarer Zeit erreichen werden (sog. Gatekeeper). Zwecks größerer Auswahl und eines freieren Wettbewerbs soll ein Missbrauch von Marktmacht nunmehr bereits vorab (ex ante) unterbunden werden können; bislang können die Wettbewerbshüter der Kommission nur nachträglich (ex post) eingreifen. Relevant dürfte insbesondere die Regelung werden, dass Anbieter, die Nutzerdaten aus verschiedenen ihrer eigenen Dienste oder von Drittanbietern kombinieren wollen, dazu das Einverständnis des Nutzers benötigen.
Das erinnert an die aufsehenerregende Facebook-Entscheidung des Bundeskartellamts: Auf Geheiß der deutschen Kartellbehörde musste Facebook die Zusammenführung von Nutzerdaten stoppen – die Entscheidung wurde vom BGH vorläufig bestätigt. Hintergrund ist, dass das soziale Netzwerk auch solche Nutzerdaten verarbeitete, die bei einer von der Facebook-Plattform unabhängigen Internetnutzung erfasst werden. Nach Auffassung des Bundeskartellamts nutzte Facebook seine marktbeherrschende Stellung auf dem deutschen Markt für soziale Netzwerke dadurch aus, dass die privaten Nutzer des Netzwerks vor die Wahl gestellt werden, entweder die Nutzungsbedingungen von Facebook zu akzeptieren und der Verwendung ihrer externen Daten zuzustimmen oder Facebook überhaupt nicht nutzen zu können. (Vgl.: BGH setzt Facebook Grenzen für die Datennutzung)
Ein weiterer Eckpfeiler des DMA-E: Den Nutzern muss es erlaubt sein, vorinstallierte Software-Anwendungen zu deinstallieren (vgl. Art. 6 Abs. 1 lit. b und c DMA-E): „To enable end user choice, gatekeepers should not prevent end users from un-installing any pre-installed software applications on its core platform service and thereby favour their own software applications”; damit verbunden wäre auch, dass jeweils alternative App-Stores zugelassen werden müssen.
Durchsetzung und Sanktionsmöglichkeiten
Geplant ist eine spezifische Aufsicht mit großem Befugnisspielraum; neue Aufsichtsbehörden in den Mitgliedstaaten sind ebenso denkbar wie eine Integration in bestehende behördliche Strukturen. Für den Regelungsbereich des DSA-E ist vorgesehen, dass die Mitgliedstaaten „Koordinatoren für digitale Dienste“ („Digital Services Coordinators“, Art. 38 ff. DSA-E) ernennen, die die Durchsetzung der Verordnung überwachen und in einem gemeinsamen Ausschuss darauf achten sollen, dass sie in der EU einheitlich angewandt wird. Einer solchen bereits aus der DS-GVO bekannten Exekutivorganisation (dem Europäische Datenschutzausschuss (EDSA), Art. 68 DS-GVO) mag man allerdings entgegenhalten, dass das dezentrale Prinzip beim Datenschutz bislang nicht immer gut funktioniert. Bei der Überwachung soll auch die Kommission eine stärkere Rolle spielen; für Verstöße kann sie etwa selbst Strafen verhängen. Es bleibt abzuwarten, ob diese Kommissionskompetenzen im weiteren Verfahren bestehen bleiben – auch im Entwurf der DS-GVO hatte sich die Kommission weitgehende Kompetenzen vergeben, was sich im Trilog letztlich nicht durchsetzen konnte. Hinsichtlich der Aufsichtsstrukturen wird es wichtig sein, dass diese dem Umfang neuer Zuständigkeiten entsprechend wachsen, auch finanziell und personell, und dass es nicht zu einem unkoordinierten Nebeneinander mit bestehenden Aufsichtsbehörden kommt.
In den Sanktionen stellen die beiden Entwürfe sogar die DS-GVO in den Schatten, die in ihrem Art. 83 Geldbußen von bis zu 4 % des gesamten weltweit erzielten Konzernvorjahresumsatzes vorsieht: Im DSA-E sind es bis zu 6 %, im DMA-E sogar bis zu 10 %. Der DMA-E sieht zudem als ultima ratio vor, Unternehmen vom europäischen Markt ausschließen oder Konzerne zur Aufspaltung, also zur Trennung von Geschäftsbereichen zwingen zu können, etwa bei „Wiederholungstätern“. Kritiker befürchten, dass ein solcher massiver Sanktionsrahmen der Entwicklung des digitalen Marktes in der EU aber auch schaden könnte.
Ausblick
Das „Digital Services Act“-Paket präsentiert sich als eine Art „europäisches NetzDG“, erweitert um Transparenzpflichten, strengere Vorgaben für Werbung, einen einheitlichen Umgang mit illegalen Inhalten und weitere Eckpunkte. Damit ist aber entgegen mancher Forderungen von Verbraucherverbänden und Politikern kein generelles Verbot von personalisierter Werbung oder Tracking verbunden, ebenso sind keine strengen Interoperabilitätspflichten vorgesehen. In seinen Auswirkungen, seiner Tragweite ist das Paket aber mit der Datenschutz-Grundverordnung (DS-GVO) oder auch der kürzlich reformierten Urheberrechtsrichtlinie vergleichbar. Es bleibt spannend, wie sich die Aufsichtsbehörden im weiteren Verlauf hierzu positionieren werden. Eine einheitliche Durchsetzung erscheint fraglich, da auch die bisherige Vollzugspraxis (insbesondere mit Blick auf Datenschutz) sehr unterschiedlich ist (etwa im direkten Vergleich zwischen Irland und Frankreich oder Deutschland). Es muss sich zudem zeigen, ob im „Kampf gegen illegale Inhalte“ die unterschiedlichen Plattformen von den Aufsichtsbehörden über einen Kamm geschoren werden. Im Übrigen: Was illegal ist, bestimmt auch künftig jeder Mitgliedstaat selbst. Für den strengen DMA-E gilt: Im Wettbewerbsrecht dürfen neue Verbote oder Kontrollinstrumente nur eingreifen, wenn Marktversagen vorliegt.
Auch muss sich zeigen, wie das Paket mit der DS-GVO, etwa mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) harmoniert: So sollen etwa die sehr großen Online-Plattformen verpflichtet werden (können), einen umfassenden Zugang zu aufbewahrten Daten zu gewähren, solange keine Geschäftsgeheimnisse berührt sind. Dazu sollen Archive einrichtet werden, um Desinformation und illegale Werbeinhalte entdecken zu können.
Für ein abschließendes Fazit ist es also noch zu früh. Die Formulierungen in beiden Entwürfen lassen zudem einen weiten Interpretationsspielraum. Wie geht es jetzt weiter? Die Entwürfe nehmen nun ihre Wege durch das EU-Parlament und den Rat der Europäischen Union. Im weiteren Verfahren ist auch damit zu rechnen, dass die Internetgiganten im Rahmen ihrer Möglichkeiten auf den Gesetzgebungsprozess Einfluss nehmen werden. Die Chancen für innovative europäische Angebote und Startups sowie für den Schutz von Nutzern und Verbrauchern liegen jedenfalls auf der Hand.