SBS Firmengruppe Logos

| Datenschutzrecht, Vetriebs- und Handelsrecht

Plattformbetreiber aufgepasst: Der DSA wirkt ab Februar 2024


Zwar ist der Digital Services Act (kurz DSA) bereits im November 2022 in Kraft getreten, im wesentlichen wirkt er aber erst ab dem Februar 2024. Doch auch diese Karenzzeit ist bald um, daher heißt es nun Plattformbetreiber aufgepasst!

Bisher galten für Händler grundsätzlich die Regeln der DSGVO, des TTDSG und UWG. Nun wird der DSA diese Werke mit neuen Anforderungen ergänzen. Vor allem mit den Artikeln 25 und 26 DSA müssen sich Händler nun ausgiebig auseinander setzen, um nicht abgemahnt zu werden.

Ziel des DSA ist es, die Aktivitäten von Anbietern digitaler Dienste in der EU einheitlich zu regeln.

Wer ist betroffen?

Der DSA gilt für Anbieter von "Online-Plattformen“

Was ist eine Online-Plattform?

In dem DSA ist der Begriff der Online-Plattform wie folgt definiert:

Eine "Online-Plattform [ist ein] Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet“

Unter Online-Plattformen werden generell alle Apps und Webseiten gefasst, die „User-Generated-Content aufweisen.

Ein paar Beispiele aus der Praxis:

  • Online-Foren
  • Webseiten mit Kommentierungs- und Bewertunsgfunktionen
  • Appstores
  • Social-Media Provider wie Facebook, aber auch Facebook Fanpages


Unklar ist hingegen, in welchem Umfang „Informationen“ umfasst sind. So stellt sich die Frage, ob nur „textliche Informationen“ in den Anwendungsbereich fallen, oder auch solche in Form von Bildern, Spielen oder Videos.

Notwendiger "User Generated Content" bekommt Ausnahme

Eine Ausnahme gilt für User Generated Content, wenn dieser eine technisch nowendige Nebenfunktion darstellt.

Dies wäre dann der Fall, wenn es sich hierbei „nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handelt, die aus objektiven und technischen Gründen nicht ohne diesen anderen Dienst genutzt werden kann“.

Da diese Fomrulierung eher eng gefasst ist, ist davon auszugehen, dass sich die Annahme einer solchen Ausnahme eher selten ergeben wird.

Vorstellbar wäre zum Besipiel eine Ausnahme bei einem Webshop, der nur in sehr geringen Umfang User Generated Conted, beispielsweise als Bewertung, zulässt.

DSA-Regelungen gelten nicht für KMU Portale

Die neuen Regelungen des DSA sollen nicht für KMU Portale gelten. Was ein KMU-Unternehmen ist und wer darunter zählt ist in der EU-Empfehlung 2003/361 definiert. Hiernach zählt ein Unternehmen zu den KMU, wenn es nicht mehr als 249 Beschäftigte hat und einen Jahresumsatz von höchstens 50 Mio € erwirtschaftet oder eine Bilanzsumme von maximal 43 Mio € aufweist.

Wenn man also diese Anforderungen erfüllt, wird man von den Anforderungen an Online-Marketing aus dem DSA befreit.

Verbot von personalisierter Werbung

Der DSA enthält des weiteren auch ein Verbot von personalisierter Werbung auf Basis von Daten im Sinne des Art. 9 DSGVO.

Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.

Art 26 Abs. 3 DSA untersagt es Online-Plattformen, Werbung auf Basis von Profilbildung i.S,d, Art. 4 Nr. 4 DSGVO zu präsentieren, soweit solche Informationen verwendet werden.

Besonders Social Media Plattformen werden unter dieser Vorschrift leiden, da ihr aktuelle Werbepraxis hierdurch erheblich eingeschränkt wird.

Teilweise sind auch solche Foren betroffen, die ihr Geschäftsmodell vorrangig auf Gesundheitsthemen und Werbung für Produkte aus dem Health-Care Sektor auslegen. Werbung auf Basis von Gesundheitsdaten oder auf der Speicherung von Profilinformationen über „politische Meinungen“ oder einer „weltanschaulichen Überzeugungen“ beruhen sind absolut ausgeschlossen.

DSGVO vs. DSA – Einer erlaubt es, einer verbietet es: Was nun?

Besonders interessant an dem Verbot von personalisierter Werbung ist, dass sich die DSGVO und der DSA nicht einig sind. Einer erlaubts unter bestimmten Umständen, der andere verbietets ohne Ausnahme. Doch was ist nun Recht?

Ob die auf Basis einer Einwilligungserjlärung erlaubte Werbung aufrgund der DSGVO oder die kategorische Ablehnung der Werbung der EU überwiegen wird, werden wohl erst Gerichte entscheiden müssen.

Es spricht einiges dafür, dass der DSA als vorrangiges Recht (lex specialis) der Vorzug zu gewähren ist.

Ein Verstoß gegen den DSA ist aber trotzdem nicht zwangsläufig auch ein Verstoß gegen das DSGVO. Das kann deshalb wichtig sein, da die Bußgelder für jeweilige Verstöße auseinander gehen können.

Pflichten für Werbung

Doch worauf muss man als Anbieter einer Online-Plattform in Zukunft achten? Wir haben für Sie die wichtigsten Pflichten im Überblick zusammengestellt:

  • Werbung muss deutlich als solche gekennzeichnet werden.
  • Zukünftig muss auch angegeben werden, in wessen Auftrag eine Werbung geschaltet wurde und wenn abweichend, wer für diese bezahlt hat.
  • Erläuterung der Auswahlkriterien der Werbung („Informationen über die wichtigsten Parameter zur Bestimmung der Nutzer, denen die Werbung angezeigt wird, und darüber, wie diese Parameter unter Umständen geändert werden können.";  26 Abs. 1 lit d)
  • Einführung einer Möglichkeit für die Nutzer, ihren Content als kommerzielle Kommunikation zu kennzeichnen

Einige der neuen Pflichten sind leichter umzusetzen als andere. So werden vermutlich weniger Schwierigkeiten bei der Kennzeichnung als solchen und der Zurverfügungstellung einer Kennzeichnungsfunktion ergeben.

Relativ umständlich kann jedoch die Pflicht der Nennung des Werbeschaltenden bzw. des Zahlers sein. Bei simplen Werbemodellen ist die Umsetzung vielleicht noch ohne größere Schwierigkeiten möglich. Bei größeren und verwobeneren Werbestrukturen, insbesondere der personalisierten Werbung gestaltet es sich jedoch weitaus schwieriger.

Hier wird sich mit weiteren technischen Hilfsmitteln geholfen werden müssen.

Überschneidung aus Verpflichtungen aus DSGVO

Die neuen Verpflichtungen des DSA gelten natürlich auch dann, wenn die DSGVO keine Anwendung findet, wenn Werbung also ohne Personalisierung und ohne Verarbeitung von personenbezogenen Daten erfolgt.

Wenn allerdings Werbung mit personenbezogenen Daten gemacht wird, müssen neben dem DSA auch die Anforderungen der DSGVO erfüllt werden. Dabei hat der EuGH entschieden, dass bereits bei der Verwendung von IP-Adressen oder Cookie-IDs personenbezogene Daten verwendet werden.

Die Informationspflichten ergeben sich also gleichrangig aus den Art. 12-14 DSGVO und dem Art. 25 Abs. 1 DSA.

Wie kann ich mich in Zukunft für die Pflichten wappnen?

Man könnte natürlich denken, dass man die Datenschutzerklärung, die man bereits DSGVO konform entwickelt hat, einfach mit den Anforderungen des DSA anreichern kann. Allerdings wird dies in den wenigsten Fällen ausreichen. Bereits jetzt wird deutlich dass der DSA mit seinen Anforderungen deutlich über diejenigen der DSGVO hinausgehen.

Ein weiterer Punkt, wieso man nicht einfach das vorhandene Formular erweitern kann, ist dass es sich bei dem Formular nach dem DSGVO um abstrakt- generelle Informationen handelt. Vor allem in Bezug auf personalisierter Werbung ist es für den DSA erforderlich, konkret und individuell für jedes einzelne Werbemittel zu erläutern, wer dieses finanziert und wieso es gerade diesem Nutzer vorliegt.

Auch sollte man beachten, dass der DSA etwaige Ausnahmevorschriften wie in den Artikeln 13 Abs. 4 oder Art. 14 Abs. 5 DSGVO nicht vorsieht.

Weitere Bausteine für „sehr große Online-Plattformen“

Für „sehr große Online-Plattformen“ sieht der DSA weitere Bausteine vor. Denn an sie werden zusätzliche Transparenzanforderungen gestellt.

Unter einer „sehr großen Plattform“ versteht der DSA eine Plattform mit einer durchschnittlichen Nutzerzahl von mindestens 45. Mio. aktiven Nutzern in der Union.

Natürlich stellt sich Plattformbetreibern hier die Frage, wie genau sie aufpassen müssen, ob sie als große Plattfirm gelten. Doch hier können Sie aufatmen. Denn man gilt erst als sehr große Plattform ,wenn die EU-Kommission aufgrund der Meldung der Nutzerzahl gem. Art. 24 Abs. 4 DSA durch Beschluss festgestellt hat, dass es sich bei einer bestimmten Online-Plattform um eine „sehr große Online-Plattform“ handelt (siehe Art. 33 Abs. 4 DSA).

Für diese Plattformen gibt es weitere Anforderungen, beispielsweise darüber, wie Informationen für Nutzer verfügbar sein müssen.

Hierbei sollen in Bezug auf Werbung die Informationen über jede einzelne für einen Zeitraum von einem Jahr in einem Archiv zur Verfügung stehen und durchsuchbar sein.

Allgemeines Verbot der Nutzerbeeinflussung durch „Dark-Patterns“

Für Cookies und personenbezogene Daten herrschen schon seit langen hohe Anforderungen an Consent Management Plattformen. Hierzu enthalten die Art. 7 DSGVO und § 25 TTDSG Regelungen. Der Art. 25 DSA beinhaltet nun ein allgemeines Verbot der Nutzerbeeinflussung durch "Dark-Patterns". Das herrscht unabhängig davon, ob ein Personenbezug besteht oder Werbung intendiert ist.

In dem DSA ist zwar geregelt, dass bei einer Überschneidung der Sachverhalte die DSGVO Vorrang hat, jedoch ist die alte ePrivacy Richtlinie (2002/58/EG) nicht genannt, dager gelten die Regelungen aus § 25 TTDSG weiterhin parallel zum Art. 25 DSA. 

Hierbei unterscheiden sich die beiden Regelwerke vom Wortlaut her nicht großartig, sie sind recht ähnlich formuliert und knüpfen beide an die Freiwilligkeit bzw. die Möglichkiet, freieund informierte Entscheidungen zu treffen. 

Jedoch könnte es im Ergebnis zu unterschiedlichen Auslegungsergebnissen kommen, da eventuell verschiedene Behörden für die Bewertung zuständig sein werden.

Abmahnrisiko besteht bereits jetzt!

Deutschland hat bislang zwei wesentliche Faktoren nicht festgelegt: Welche Bußgelder können bei einem Verstoß verhangen werden und welche Behörde wird zuständig sein. Doch Abmahnrisiko besteht trotzdem bereits jetzt!

Worauf sollten Sie nun achten?

Die Erfüllung der neuen Anforderungen des DSA sind aus technischer und organisatorischer Sicht nicht zu unterschätzen. Zwar bleibt noch etwas Zeit, die sollte aber auch gut genutzt werden!

Zunächst sollten Sie prüfen, ob sie als Anbieter einer Online-Plattform gelten, die ihren Nutzern Werbung anzeigt. Vor allem ist wichtig, ob diese Werbung personalisiert ist, denn hier herrscht weiterer Handlungsbedarf.

Es sollte in den kommenden Monaten auch genau beobachtet werden, welche weiteren Konkretisierungen sich für den DSA ergeben, denn hieraus können weitere Pflichten entspringen. Auch welche Behörde zuständig sein wird und welcher Bußgeldrahmen festgelegt wird bleibt noch abzuwarten.


SBS LEGAL - Ihr Anwalt für Vertriebsrecht und Datenschutz in Hamburg

Die Anforderungen des DSA sind nicht nur in sich äußerst komplex, sondern auch ihre Umsetzung gestaltet sich nicht einfach. Unsere spezialisierten Anwälte von SBS LEGAL helfen Ihnen dabei, sich in dem Normenlabyrinth zurecht zu finden und stellen für Sie alle notwendigen Schritte und für Sie relevanten Vorschirften zusammen. So machen wir Ihre Plattform abmahnsicher!

Haben Sie noch Fragen zum DSA?

Wir sind in allen Belangen des Online-Marketing, Vertriebsrecht und im Datenschutzrecht für Sie da!

Zögern Sie nicht mit Ihrer Kontaktaufnahme und nutzen Sie gern unser Kontaktformular oder schreiben uns eine E-Mail an mail@sbs-legal.de. Wir treten stets zeitnah mit Ihnen in Kontakt und werden lösungsorientiert mit Ihnen zusammen Ihren Fall erörtern.

Der Erstkontakt zu SBS LEGAL ist kosntelos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht