Datenschutzrechtliche Regelungen im Digital Services Act – was ist zu beachten?

Das endgültige Inkrafttreten der Pflichten aus dem Digital Services Act (DSA) rückt näher: Bis zum 17.02.2024 müssen diese von betroffenen Anbietern umgesetzt werden. Mit Regelungen zur Einrichtung von Kontaktstellen und Meldeverfahren sowie der Moderation von Inhalten ist der DSA nicht in erster Linie datenschutzrechtlich geprägt. Dennoch erreichen uns aufgrund der neuen Regelungen häufig Anfragen von Kunden: Sind wir betroffen? Müssen aus datenschutzrechtlicher Sicht Maßnahmen ergriffen werden?

Nachdem wir vor Kurzem bereits eine Übersicht über die Inhalte des DSA vorgestellt haben, soll es diesmal also etwas konkreter für unser Fachgebiet werden: Welche Neuerungen ergeben sich in Bezug auf datenschutzrechtliche Pflichten?

Anwendbarkeit des DSA – wer ist betroffen?

Vermittlungsdienste

Nach Art. 2 Abs. 1 EU DSA gilt diese für sog. „Vermittlungsdienste“. Dieser Begriff kann durchaus sehr weit ausgelegt werden, ist aber im Einzelfall nicht originär datenschutzrechtlich definiert, sondern vor dem Hintergrund von eCommerce- bzw. IT-Recht zu prüfen.

Laut E-Commerce Richtlinie erfasst der Begriff alle digitalen Dienste, die Verbrauchern Waren, Dienstleistungen oder Inhalte vermitteln. Erfasst sei daher jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung (vgl. Gerdemann/Spindler: Das Gesetz über digitale Dienste, GRUR 2023, 3).

Der Betrieb eines Webshops kann unter dieser Definition also bereits als ein Vermittlungsdienst gelten.

Die Konsequenzen, soweit ein Vermittlungsdienst betrieben wird, sind die grundsätzliche Anwendbarkeit des DSA; es greifen dessen sog. allgemeinen Verpflichtungen nach Art. 11 – 15 DSA (s.u.).

Hosting-Dienste

Ein Hosting-Dienst besteht nach Definition des Art. 3 g) iii) DSA darin, „von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern“. Neben den klassischen Hosting-Dienstleistungen z.B. von Rechenzentren wird teilweise davon ausgegangen, dass auch bereits der o.g. Webshop einen Hosting-Dienst darstellen kann, sofern Kundendaten beim Anbieter gespeichert werden.

Für Anbieter von Vermittlungsdiensten, die sich als Hosting-Dienste darstellen, gelten über die allgemeinen Verpflichtungen hinaus auch die besonderen Verpflichtungen nach Art. 16 – 18 DSA.

Online-Plattformen

Viele der datenschutzrechtlich relevanten Pflichten betreffen aber nicht alle Anbieter von Vermittlungsdiensten, sondern nur Anbieter solcher Dienste, die die Form einer Online-Plattform annehmen. Eine Online-Plattform bezeichnet nach Art. 3 i) DSA (mit einigen gesetzlich definierten Einschränkungen) „einen Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet“.

Anbieter von Online-Plattformen in diesem Sinne sind laut Bundesregierung zum Beispiel Internetanbieter, Domänennamen-Registrierstellen, Hosting-Dienste wie Cloud- und Webhosting-Dienste, Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen.

Für Anbieter von Online-Plattformen gelten über die allgemeinen Verpflichtungen und die Verpflichtungen nach Art. 16 – 18 DSA hinaus zusätzlich noch die besonderen Verpflichtungen des DSA nach Art. 19 – 32.

Datenschutzrechtliche Pflichten für Anbieter verschiedener Dienste

Allgemeine Verpflichtungen für Anbieter von Vermittlungsdiensten, Art. 11 – 15 DSA

Die allgemeinen Verpflichtungen, die der DSA allen Anbietern von Vermittlungsdiensten auferlegt, haben z.T. zumindest indirekt datenschutzrechtlichen Bezug:

• Art. 14 Abs. 1 DSA beschreibt die transparente Darstellung z.B. von Verfahren zur Inhaltsmoderation in den AGB. Diese Prozesse (wie auch diverse andere durch die EU DSA vorgeschriebene Verfahren) dürften auch datenschutzrechtliche Relevanz haben und müssten entsprechend auch in den Datenschutzhinweisen eine transparente Darstellung erfahren sowie als neues Datenverarbeitungsverfahren im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

Besondere Pflichten für Anbieter von Hosting-Diensten (und von Online-Plattformen), Art. 16 – 18 DSA

• Die Vorgaben der Art. 16 und 17 DSA beschreiben in erster Linie Melde- und Moderationsprozesse zum Umgang mit rechtswidrigen Inhalten. Hier ist aus datenschutzrechtlicher Sicht erneut zu beachten, dass über die entsprechenden damit verbundenen Verarbeitungstätigkeiten vorab informiert werden muss.
• Art. 18 Abs. 1 DSA dürfte indes als Rechtsgrundlage im Sinne des Art. 6 Abs. 1 lit. c DSGVO eingeordnet werden, die Diensteanbieter berechtigt, (auch personenbezogene) Daten an Ermittlungsbehörden weiterzugeben, soweit die beschriebenen Voraussetzungen eines Verdachts bestimmter Straftaten erfüllt sind.

Besondere Verpflichtungen für Anbieter von Online-Plattformen, Art. 19 – 32 DSA

Originär datenschutzrechtlich dürften in erster Linie die folgenden Regelungen des DSA für Anbieter von Online-Plattformen einzuordnen sein:

• Art. 25 Abs. 1 DSA verbietet – etwas verklausuliert – den Einsatz von Techniken wie Nudging oder Dark Patterns, die uns insbesondere im Zusammenhang mit Cookie Consent Tools auch aus dem Datenschutzrecht bereits bekannt sind (und der Wirksamkeit einer Cookie-Einwilligung entgegenstehen können): „Anbieter von Online-Plattformen dürfen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden“. 
• Art. 26 Abs. 1 d) DSA sieht für Werbung auf Online-Schnittstellen u.a. „aussagekräftige, über die Werbung direkt und leicht zugängliche Informationen über die wichtigsten Parameter zur Bestimmung der Nutzer, denen die Werbung angezeigt wird, und darüber, wie diese Parameter unter Umständen geändert werden können“, vor. Zudem dürfen nach Abs. 3 der Vorschrift „die Anbieter von Online-Plattformen […] Nutzern keine Werbung anzeigen, die auf Profiling gemäß Artikel 4 Nummer 4 der Verordnung (EU) 2016/679 unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 [DSGVO] beruht“. 
• Soweit „Empfehlungssysteme“ eingesetzt werden, greift auch Art. 27 DSA:
  Laut Art. 3 s) EU DSA ist ein Empfehlungssystem „ein vollständig oder teilweise automatisiertes System, das von einer Online-Plattform verwendet wird, um auf ihrer Online-Schnittstelle den Nutzern bestimmte Informationen vorzuschlagen oder diese Informationen zu priorisieren, auch infolge einer vom Nutzer veranlassten Suche, oder das auf andere Weise die relative Reihenfolge oder Hervorhebung der angezeigten Informationen bestimmt“.

• Ist ein solches System im Einsatz, müssen Anbieter nach Art. 27 Abs. 1 DSA – ähnlich wie bei Werbeanzeigen – „in ihren allgemeinen Geschäftsbedingungen in klarer und verständlicher Sprache die wichtigsten Parameter, die in ihren Empfehlungssystemen verwendet werden, sowie alle Möglichkeiten für die Nutzer, diese wichtigen Parameter zu ändern oder zu beeinflussen, darlegen“. Die Darstellung in den AGB dürfte sodann auch in den Datenschutzhinweisen entsprechend zu übernehmen sein, um die notwendigen Informationen aus dem Blickwinkel der Datenverarbeitungstätigkeit darzustellen.
• Art. 28 Abs. 1 – 3 DSA sieht im Hinblick auf Werbung zudem besonderen Schutz für Minderjährige vor, soweit diese Eigenschaft bekannt ist:
  „(1) Anbieter von Online-Plattformen, die für Minderjährige zugänglich sind, müssen geeignete und verhältnismäßige Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen innerhalb ihres Dienstes zu sorgen.
  (2) Anbieter von Online-Plattformen dürfen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling gemäß Artikel 4 Absatz 4 der Verordnung (EU) 2016/679 unter Verwendung personenbezogener Daten des Nutzers darstellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.
  (3) Zur Einhaltung der in diesem Artikel festgelegten Verpflichtungen sind die Anbieter von Online-Plattformen nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, um festzustellen, ob der Nutzer minderjährig ist“.

Fazit

Die datenschutzrechtlichen Aspekte des DSA sind zumindest nicht völlig neu, können aber – je nach aktueller Praxis – insbesondere im Hinblick auf Online-Werbung durchaus auch noch einmal zu Einschränkungen führen. Zudem ist natürlich zu beachten, dass neue Datenverarbeitungstätigkeiten, die sich im Zuge des Aufsetzens von Prozessen zur Erfüllung der Pflichten aus dem DSA ergeben, im Verzeichnis der Verarbeitungstätigkeiten dokumentiert und die Betroffenen über diese in geeigneter Weise informiert werden.