DMA und DSA – wie beeinflussen diese neuen Gesetze das Online-Geschäft?

, , ,

Geschrieben von Paweł Socha, Natalia Chronowska

Veröffentlicht Juni 28, 2023

DSA Paket

Im vergangenen Jahr traten zwei neue EU-Gesetze in Kraft. Sie schränken die Vorgehensweise von Big-Tech-Unternehmen – wie Apple, Amazon und Meta – bezüglich des Wettbewerbs und ihres Umgangs mit Nutzerdaten ein. Der Digital Markets Act (DMA) und der Digital Services Act (DSA) zielen darauf ab, einen sichereren, digitalen Raum durch den Schutz von Grundrechten der Nutzer zu schaffen. Außerdem fördern sie einen fairen Wettbewerb für Unternehmen im europäischen Binnenmarkt und weltweit.

Dieser Artikel behandelt beide Gesetze und erklärt ihre Folgen für den digitalen Raum sowie Ihr Unternehmen.

Einführung in das DSA-Paket

Die beiden Rechtsakte wurden unter einem Gesetzespaket – dem DSA-Paket – verabschiedet. Sie funktionieren jedoch als separate Rechtsnormen.

Das DSA-Paket schafft zahlreiche neue Compliance- und Transparenz-Pflichte für Unternehmen.

Digital Services Act

Der European Digital Services Act modernisiert die e-Commerce Directive, indem er die Online-Vermittler und -Plattformen reguliert. Dazu gehören „Online-Marktplätze, soziale Netzwerke, Content-Sharing-Plattformen, App-Stores und Online-Reise- und Unterkunftsplattformen.“ Ferner schafft er Pflichten für Online-Plattformen zur Moderation von Inhalten und transparenten Datensammlung.

Das Gesetz schafft einen einheitlichen Rahmen innerhalb der EU. Es bietet einen besseren Schutz für Nutzer, gewährleistet grundlegende Online-Rechte, schafft Transparenz und Rechenschaftspflicht für Online-Plattformen.

Der Digital Services Act trat am 16. November 2022 in Kraft. Dies bedeutete, dass Online-Plattformen bis zum 17. Februar 2023 die Anzahl der aktiven Endnutzer auf ihren Websites melden mussten. Aufgrund dieser Zahlen hat die Europäische Kommission entschieden, welche Unternehmen als sehr große Online-Plattformen oder Suchmaschinen gelten. Die betroffenen Unternehmen haben vier Monate Zeit, um ihre erste jährliche Risikoanalyse abzuschließen und einzureichen.

Das DSA wird spätestens ab dem 17. Februar 2024 gelten.

Digital Markets Act

Der zweite Pfeiler der digitalen Regulierung – der Digital Market Act (DMA) – ist ein Gesetz zum Wettbewerbsschutz. Er nimmt die sogenannten Gatekeeper-Plattformen ins Visier. Der DMA definiert zehn Kernplattformdienste, darunter Online-Suchmaschinen, Betriebssysteme, Webbrowser, virtuelle Assistenten und soziale Netzwerke. Dies bedeutet, dass das Gesetz vorerst auch die Aktionen von Technologieriesen wie Meta, Google und Amazon regulieren wird.

Der DMA verlangt von diesen Online-Plattformen, die Einwilligung der Benutzer einzuholen, bevor sie personenbezogene Daten für gezielte Werbung nutzen. Er legt auch klare Regeln dafür fest, wie große Online-Plattformen die Sicherheit der Nutzer gewährleisten sollten.

Das Gesetz trat am 2. Mai 2023 in Kraft.

Hauptgründe für die Billigung des DSA-Pakets

Die beiden Gesetze schränken das Monopol der Technologiegiganten ein und gewährleisten fairen Wettbewerb zwischen Online-Unternehmen. Sie zielen darauf ab, das Internet nutzer- und geschäftsfreundlicher zu gestalten – und das mit klaren Richtlinien.

Da das DSA-Paket auch für die Online-Sicherheit der Nutzer sorgt, gibt es ernsthafte gesundheitliche Gründe dafür, es zu unterstützen. Dazu zählen etwa gestiegene Ängste bei jüngeren Menschen, die Verbreitung von Fehlinformationen und Panik sowie die Förderung süchtig machender Inhalte.

Sehr große Plattformen, Online-Plattformen, Hosting- und Vermittlungsdienste im Rahmen des DSA-Pakets

Der DSA legt unterschiedliche Pflichten fest, die von der Art des Vermittlers abhängen: Je nach deren Dienste, Größe und Auswirkungen. Diese Regeln stellen sicher, dass die Dienste verantwortungsbewusst ausgeführt und nicht für rechtswidrige Aktivitäten missbraucht werden.

Bestimmte Pflichten gelten nur für sehr große Online-Plattformen – oft als VLOPs (engl. Very Large Platforms) bezeichnet – die öffentlichen Debatten und wirtschaftliche Transaktionen ermöglichen. Sehr kleine Plattformen unterliegen den meisten Pflichten nicht.

Dank dem Neuausgleich der Verantwortlichkeiten im Online-Ökosystem, der auf der Größe der Plattformen basiert, stellt das neue Gesetz sicher, dass die regulatorischen Lasten dieser neuen Regeln angemessen sind.

Welche Anbieter fallen unter den DSA?

  • Vermittlungsdienste, Internetinfrastrukturdienste, Internetzugangsanbieter und Domain-Name-Registrare
  • Hosting-Dienste wie Cloud- und Webhosting
  • Online-Plattformen wie Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und soziale Medien
  • Sehr große Online-Plattformen stellen ein besonderes Risiko für die Verbreitung illegaler Inhalte und gesellschaftlicher Schäden dar. Sie unterliegen einem speziellen Regelwerk, weil sie mindestens 45 Millionen Nutzer in der EU erreichen.

Ausnahme sind Plattformen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz von weniger als 10 Millionen Euro. Der Rest der Plattformen muss die folgenden Maßnahmen einhalten:

  • Beschwerde- und Abhilfemechanismen einhalten
  • Mit vertrauenswürdigen Meldern zusammenarbeiten
  • Maßnahmen gegen missbräuchliche Benachrichtigungen ergreifen
  • Mit Beschwerden umgehen
  • Referenzen der Drittanbieter einbeziehen
  • Benutzerfreundliche und transparente Online-Werbung bereitstellen

Die erste Gruppe von betroffenen Unternehmen

Am 24. April gab die Europäische Kommission die ersten Unternehmen bekannt, die unter das DSA-Paket fallen:

  • Very Large Online Platform (VLOPs): Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando
  • Very Large Search Engines (VLOSEs): Bing, Google Search.

Diese Unternehmen müssen den vollen Satz an Regeln erfüllen, die das DSA-Paket für VLOPs und VLOSEs festlegt. Deswegen sind sie verpflichtet, illegale Inhalte zu entfernen, die Transparenz der Algorithmen zu erhöhen und ihre Systeme neu zu gestalten. All dies, um ein hohes Maß an Datenschutz, Sicherheit und Jugendschutz zu gewährleisten.

Am 9. September hat die Europäische Kommission sechs Technologieunternehmen als Gatekeeper im Rahmen des DMA benannt: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Die Benennung gilt für 22 ihrer Kerndienste.

Die Unternehmen haben nun sechs Monate, um mit den DMA-Vorgaben konform zu werden. Wenn sie dies nicht tun, kann die Kommission eine Geldstrafe in Höhe von 10 % ihres weltweiten Umsatzes verhängen. Und im Wiederholungsfall sogar bis zu 20 %. Die Kommission kann auch weitere Maßnahmen bezüglich der Non-Compliance einleiten,
z. B. den Verkauf bestimmter Unternehmensteile verlangen oder die Entwicklung zusätzlicher Dienste untersagen.

Wie das DSA-Paket die Nutzer online schützt

Beide Rechtsakte entsprechen internationalen Standards für Datenschutzgesetze, insbesondere im Hinblick auf den Schutz der Verbraucher. Überdies konzentrieren sie sich auf die Online-Sicherheit von Kindern und die Begrenzung der Datensammlung ohne angemessene Einwilligung.

Einige Vorschriften spielen eine besonders wichtige Rolle, wenn es um den Online-Schutz der Kunden geht.

Transparente Inhaltsmoderation

Der DSA wird eine größere Transparenz bei der Inhaltsmoderation schaffen. Jede Plattform muss deutlich erklären, warum bestimmte Inhalte verboten sind, und dies in ihren AGBs angeben. Diese Limits dürfen jedoch nicht die Menschenrechte der Nutzer verletzen. Außerdem müssen Websites regelmäßig sogenannte Transparenzberichte veröffentlichen, in denen sie unter anderem Daten zu gelöschten Inhalten offenlegen.

Ferner müssen die Plattformen ihre Nutzer in allen EU-Sprachen und durch ein einfaches Formular darüber informieren, welche Regeln zur Inhaltsmoderation gelten. Die Nutzer müssen wissen, welche Algorithmen eine Plattform verwendet und was genau für eine Funktion sie haben.

Das DSA-Paket regelt auch, wie Nutzerkonten blockiert und entfernt werden. Jeder Nutzer erhält eine ausführliche Erklärung für einen solchen Beschluss – mit Informationen über die genaue Regel, die er verletzt hat. Dazu hat er die Option, jeden Beschluss anzufechten.

Online-Plattformen sind verpflichtet, eine angemessene Inhaltsmoderation in allen EU-Sprachen sicherzustellen. Moderatoren werden illegalen Inhaltsvertrieb behandeln und Einsprüche gegen Beschlüsse zur Entfernung von Inhalten oder Sperrung von Nutzerkonten bearbeiten.

Das Ende der Online-Manipulationen

Eine gängige Praxis von Online-Plattformen ist überzeugendes und manipulatives Design. Dark Patterns täuschen Nutzer, damit sie Aktionen durchführen, die den Geschäftszielen des Unternehmens dienen. Deswegen verbietet das DSA-Paket solche manipulativen Taktiken.

Websites dürfen ihre Dienste nicht in einer Weise gestalten, die Nutzer täuscht oder ihre Auswahloptionen einschränkt. Dies betrifft den Einsatz von Dark Patterns, Pop-up-Fenstern, die Nutzer zum Einwilligen der Erhebung personenbezogener Daten zwingen, oder auch Apps, die leicht zu starten, aber schwer zu deaktivieren sind.

Eingeschränktes Ad-Tracking

Das Sammeln von Nutzerdaten ist eine der profitabelsten Marketingpraktiken. Es stellt aber auch eine Form der Online-Manipulation dar. Probleme mit solchen Praktiken entstehen, wenn Werbung Schwächen bezüglich psychischer Gesundheit, Süchte oder Lebenserfahrungen ausnutzt. Das DSA-Paket geht teilweise auf diese Probleme ein.

Online-Plattformen dürfen sensible Daten und Daten von Kindern nicht mehr für Werbezwecke verwenden. Tracking-basierte Werbung bleibt jedoch nur dann möglich, wenn sie anhand von „nicht sensiblen“ Daten auf Nutzer abgestimmt ist. Außerdem muss jede Anzeige klare Informationen enthalten, dass es sich um gesponserten Inhalt handelt, wer der Sponsor ist und warum ein bestimmter Nutzer diese Anzeige sieht.

Lesen Sie unseren Artikel über das Urteil gegen Metas verhaltensorientierte Werbepraktiken: Metas Werbepraktiken als DSGVO-widrig erklärt: die wichtigsten Fakten und Folgen

Transparente Algorithmen

Algorithmen entscheiden darüber, welche Inhalte Nutzer sehen. Wir sind schon so daran gewöhnt, dass wir es oft gar nicht mehr bemerken. Der DSA stellt nun Richtlinien dafür bereit, wie Algorithmen fungieren dürfen.

Jede Online-Plattform ist nun verpflichtet, Folgendes zu erklären:

  • Wie sie jedes einzelnes Inhaltsstück für Nutzer auswählt
  • Welche Parameter und Daten sie dabei verwendet
  • Was das Hauptziel des Algorithmus ist

Nutzer werden in der Lage sein, mindestens ein Inhaltsauswahlsystem ohne Tracking zu wählen. Zum Beispiel solches, das keine anhand von Daten profilierte Inhalte empfiehlt.

Risikoanalysen

Große Plattformen haben uns daran gewöhnt, Gefahren ihrer Geschäftsmodelle zu ignorieren, anstatt sie aktiv zu bekämpfen. Deswegen wird der DSA sie ermutigen, dieser Praktik eine sozial verantwortliche Form zu geben.

Große Online-Plattformen werden laut dem DSA regelmäßig Risikoanalysen durchführen, die Folgendes abdecken:

  • Systeme zur Inhaltsmoderation
  • Empfehlungsalgorithmen für Inhalte
  • Betriebsregeln der Schnittstellen
  • Vordefinierte Website-Einstellungen

Sichere E-Commerce-Plattformen

Der DSA versucht auch, auf das dynamische Wachstum der E-Commerce-Plattformen zu reagieren. Sie werden dazu verpflichtet sein, die Identifizierung von Verkäufern zuzulassen und stichprobenartige Produkttests durchzuführen, um Verbraucher besser vor Betrügern zu schützen. Nutzer können zuverlässige und zugängliche Informationen über die Merkmale jedes Produkts und dessen Herkunft erwarten.

Folgen für die Cyber-Riesen

Während der DSA Transparenz, Nutzersicherheit und Haftung für Online-Plattformen gewährleistet, legt der DMA klare Regeln dafür fest, wie große Online-Plattformen agieren dürfen. Beide Gesetze werden erhebliche Auswirkungen auf Unternehmen in ganz Europa haben. Und obwohl es sich um europäische Gesetze handelt, werden sie auch große Big-Tech-Unternehmen außerhalb Europas beeinflussen, die Dienste für Europäer anbieten. Das DSA-Paket setzt also neue Standards für den globalen digitalen Raum.

Wie genau werden diese Gesetze die Online-Aktivitäten der Tech-Riesen einschränken?

Vollständiges Verbot der Erhebung personenbezogener Daten ohne Einwilligung

Die Erhebung personenbezogener Daten ist bereits streng reguliert und erfordert Einwilligung. Das DSA-Paket wendet auch die Einwilligung als Grundlage für die Erhebung von Daten an, die durch die Kombination von Informationen aus verschiedenen internen oder externen Quellen zu personenbezogenen Daten werden können.

Das vollständige Verbot umfasst unter anderem die Integration der Nutzerdaten von Websites, die Google Analytics verwenden, oder die Kombination der Daten von Facebook, Instagram und WhatsApp zu einem Profil.

Da der DSA und DMA überlappende Einwilligungsansprüche mit der DSGVO haben, können nicht konforme Plattformen nun wegen mehrfacher Verstöße belangt werden.

Der DMA besagt, dass Nutzer außerhalb der Plattform des Gatekeepers nur anhand von wirksamer Einwilligung getrackt werden dürfen. Gemäß der DSGVO ist eine Einwilligung erforderlich, um Nutzerdaten online zu erheben. Und viele Plattformen machen es unmöglich, ihre Dienste ohne Einwilligung weiterhin zu nutzen.

Neue Vorschriften bedeuten, dass die beliebtesten Online-Plattformen personenbezogene Daten nicht mehr für gezielte Werbung verwenden dürfen. Außerdem können Nutzer jetzt entscheiden, keine Empfehlungen basierend auf Profiling seitens der VLOPs zu erhalten.

Monopol der Tech-Riesen ist tot

Um das Monopol der Tech-Riesen deutlich zu reduzieren, schränkt das DSA-Paket deren Dienste wie folgt ein:

  • Nutzer werden nicht länger gezwungen, sich mit demselben Konto bei verschiedenen Diensten eines einzigen Tech-Riesen anzumelden oder zu verbinden.
  • Das Gesetz ermöglicht es Nutzern, Nachrichten auf allen verfügbaren Messenger-Diensten zu senden und zu lesen. Beispiel: Wenn ein Nutzer eine Nachricht auf Facebook Messenger sendet, wird sie auch auf Signal oder WhatsApp lesbar – und umgekehrt. Anfangs wird dies nur für einzelne Text-, Video- und Sprachnachrichten gelten, aber letztlich wird es auf Gruppenchats und Sprachanrufe ausgeweitet.
  • Cross-Selling und Cross-Werbung für Dienste werden nicht mehr erlaubt. So werden Nutzer nicht dazu ermutigt, weitere Dienste aus dem Angebot derselben Tech-Riese zu nutzen. IOS-Nutzer erhalten so etwa keine Empfehlung, Safari als Standardbrowser zu installieren.

Einfach abmelden und deinstallieren

Schließlich werden diese Vorschriften es den Nutzern ermöglichen, sich einfach von Diensten abzumelden oder sie zu deinstallieren. Zum Beispiel wird jede App eine intuitive Schnittstelle haben, die Nutzer mühelos zur Installation und genauso einfach zur Deinstallation führt.

Folgen für andere Unternehmen

Obwohl diese Gesetze sich hauptsächlich an die Tech-Riesen richten, werden sie auch andere Unternehmen beeinflussen. Insbesondere solche, die Cookies verwenden oder eine große Menge an First-Party-Daten aus verschiedenen Quellen besitzen. Dazu zählen etwa Google’s YouTube und Search zusammen mit Diensten wie Google Ads, Google Analytics oder Chrome.

Je nach Art Ihres Online-Geschäfts, der Umfang Ihrer Aktivitäten und anderen Faktoren beeinflussen die neuen Regeln Ihr Unternehmen unterschiedlich.

Verbot von gezielter Werbung auf Basis personenbezogener Daten

Das DSA-Paket beeinflusst Unternehmen, die Plattformen für Werbezwecke nutzen. Die Gesetze verbieten gezielte Werbung, die auf personenbezogenen Informationen wie Ethnie, politische Ansichten oder sexuelle Orientierung basiert. Überdies wird es nicht mehr möglich sein, gezielte Anzeigen an ein jüngeres Publikum zu richten. Dies wird einen großen Einfluss auf den Erfolg von Online-Kampagnen haben.

Verbot von Dark Patterns

Das DSA-Paket verbietet auch den Einsatz von Dark Patterns für kleinere Unternehmen. Jetzt muss die Option zum Ablehnen von Tracking und personalisierter Werbung genauso einfach sein wie das Akzeptieren. Websites, die ihre User-Experience ändern, indem sie beispielsweise alle Buttons zum Akzeptieren grün machen, werden verboten.

Transparenz, Nachverfolgbarkeit und Überprüfbarkeit

Kleinere Unternehmen benötigen auch eine gut gestaltete Bedienoberfläche und leicht zu bedienende Mechanismen, um die neuen Regeln einzuhalten. Dies bedeutet: Einen effizienten Satz von Prozessen zu übernehmen, die kontinuierliche Compliance ermöglichen. Insbesondere in Bezug auf Pflichten wie Transparenzberichte und unabhängige Tests.

Eine weitere Pflicht liegt in der Nachverfolgbarkeit der Händler auf den Plattformen und umfasst Informationen wie deren Name, Registrierungsort, Kopie ihrer ID usw. Die Plattformen werden diese Daten überprüfen und Dienste des Händlers aussetzen, wenn er keine aktualisierten oder genaueren Informationen bereitstellt.

Ferner muss die Plattform die Verbraucher, die illegale Produkte oder Dienste erworben haben, über deren Illegalität, die Identität der Händler und etwaige Optionen zur Abhilfe informieren.

Kleinere Unternehmen werden von diesem neuen Regelwerk ebenso profitieren. Sie erhalten Zugang zu einfachen und effektiven Tools, um illegale Aktivitäten, die ihrem Geschäft schaden, zu melden. Zudem liegen Ihnen interne und externe Beschwerdeverfahren vor, die besseren Schutz vor unberechtigter Entfernung bieten und Verluste für legale Unternehmer begrenzen.

Wie stellen Sie sicher, dass Ihr Unternehmen das DSA-Paket einhält

Die neuen Gesetze sind der nächste große Schritt zur Regulierung des Online-Geschäfts. Die DSGVO, das sogenannte Privacy Shield 2.0 und die Intelligent Tracking Prevention (ITP) haben bereits den Einsatz gesammelter Daten für personalisiertes Targeting eingeschränkt. Das DSA-Paket klärt diese Regeln nur weiter.

Die Vorschriften zielen hauptsächlich auf die großen Technologieunternehmen ab. Aber auch Unternehmen, die ihre Plattformen für Marketingzwecke nutzen, werden ebenfalls deren Folgen spüren. Überdies besteht eine große Chance, dass auch kleinere Unternehmen bald dieselben Regeln befolgen müssen.

Es gibt keinen einzelnen Weg, um die Compliance mit diesen neuen Gesetzen sicherzustellen. Unternehmen sollten jedoch damit beginnen, nach Plattformen zu suchen, die die alten invasiven Methoden durch transparente Einwilligungserhebung, Tracking ohne Cookies, First-Party-Datenbanken und kontextbezogene Werbung ersetzen.

Bei der Suche nach DSA- und DMA-konformen Lösungen ist es ratsam, mit Partnern zusammenzuarbeiten, die Werte wie Privacy by Design unterstützen. Diese bewährten Praktiken erlauben es Ihnen, die gesammelten Daten vollständig zu kontrollieren und zu verstehen. Weiterhin trägt die Transparenz dazu bei, eine vertrauensvolle Kundenbindung aufzubauen.