DSA: Neue Pflichten für Schweizer Hostingdienste und Online-Plattformen ab Februar 2024?

19. Januar 2024

Das Wichtigste in Kürze:

• Der DSA bezweckt, ein vertrauenswürdiges Online-Umfeld in der EU zu schaffen und die Bekämpfung von illegalen Inhalten zu erleichtern.
• Der DSA reguliert zu diesem Zweck Anbieter, die Daten für Dritte durchleiten, cachen oder speichern. Betroffen sind insbesondere Cloud-Computing-Anbieter, Web-Hoster, Online-Plattformen und -Suchmaschinen.
• Der DSA gilt für Anbieter, die ihren Sitz oder eine Niederlassung in der EU haben oder ihr Angebot auf die EU ausrichten. Letztere haben einen gesetzlichen Vertreter in der EU zu bestimmen. Somit ist der DSA potentiell auch für Schweizer Anbieter relevant.
• Der DSA auferlegt den Anbietern diverse Pflichten. Diese reichen von Kooperationspflichten mit Behörden über Transparenz- und Rechenschaftspflichten gegenüber Nutzern bis zur Verpflichtung, ab Kenntnis illegale Inhalte zu entfernen, wenn solche im Auftrag Dritter gespeichert werden. Eine aktive Überwachungspflicht besteht aber nicht.
• Der DSA definiert nicht, was illegale Inhalte sind. Dies richtet sich nach dem nationalen Recht der EU-Mitgliedsstaaten.
• Der DSA gewährt den Anbietern ein Haftungsprivileg, wenn sie ab Kenntnis zügig gegen illegale Inhalte und Tätigkeiten vorgehen. Andernfalls exponieren sie sich einer Haftung.
• Die Sanktionen bei Verstössen gegen den DSA sind drakonisch, deren Vollstreckbarkeit in der Schweiz aber fraglich.
• Schweizer Anbieter ohne Niederlassung oder Sitz in der EU sollten prüfen, ob sie dem DSA unterstehen und insbesondere, ob sie einen gesetzlichen Vertreter in der EU bestellen sollen.

Was ist der Digital Services Act und wer wird verpflichtet?

Der Digital Services Act (DSA) ist eine Verordnung der Europäischen Union. Er ist das neueste (und wichtigste) einer ganzen Reihe von Gesetzgebungsprojekten der EU, welche den Konsumentenschutz im digitalen Raum bezwecken. Ziel des DSA ist, ein "sicheres, berechenbares und vertrauenswürdiges Online-Umfeld" zu schaffen. Ein besonderer Fokus liegt deshalb auf der Verhinderung der Verbreitung von illegalen Online-Inhalten und Desinformation.

Für welche Unternehmen gilt der DSA?

Der DSA reguliert Anbieter von sogenannten Vermittlungsdiensten. Als Anbieter von Vermittlungsdiensten gelten:

• Anbieter von Vermittlungsdiensten im engeren Sinne: Wer die reine Durchleitung von durch einen Nutzer bereitgestellten Informationen in einem Kommunikationsnetz vornimmt oder eine Caching-Dienstleistung erbringt, in der eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zum Zweck erfolgt, die Übermittlung der Informationen auf deren Anfrage effizienter zu gestalten. Dazu gehören z.B. WLAN-, ISP-, VoIP- oder VPN-Anbieter oder auch Registrare von Domain-Namen oberster Stufe. Wer zudem Nutzern ermöglicht, Suchanfragen einzugeben, um auf (externen) Websites Ergebnisse zu finden und anzuzeigen, gilt zusätzlich als "Online-Suchmaschine".
• Hostingdienstanbieter: Wer vom Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Werden die Informationen zusätzlich öffentlich verbreitet (und stellt dies keine Nebenfunktion dar), gilt der Hostingdienstanbieter als Anbieter einer "Online-Plattform". Klassische Cloud-Computing- und Web-Hostingdienste gelten als reine Hostingdienstleister und nicht als Online-Plattformen, weil sie nur einen Infrastruktur- oder Rechendienst einer internetbasierten Anwendung erbringen. Ermöglichen Online-Plattformen den Abschluss von Fernabsatzverträgen zwischen Unternehmern und Verbrauchern, gelten sie als "Marktplatz".
• Für sehr grosse Online-Plattformen ("VLOP") und sehr grosse Online-Suchmaschinen ("VLOSE") gelten zusätzliche Anforderungen. Diese Schwelle ist erreicht, wenn eine durchschnittliche monatliche Zahl von Nutzern in der EU von 45 Mio. erreicht wird. Auf diese gehen wir in diesem Beitrag nicht weiter ein.

Gewisse Teile des DSA sind bereits in Kraft. Bereits seit dem 17. Februar 2022 müssen Online-Plattformen und Suchmaschinen Transparenzberichte sowie die Anzahl ihrer aktiven Nutzer publizieren (Art. 24 DSA). Wesentliche Teile des DSA treten aber nun am 17. Februar 2024 in Kraft.

Gilt der DSA auch für Anbieter von Vermittlungsdiensten in der Schweiz?

Der DSA gilt nicht nur für Anbieter mit Sitz in der EU, sondern auch für ausländische (z.B. schweizerische) Anbieter, die ihre Dienste auf die EU ausrichten oder dort anbieten. Damit ein "Anbieten" im Sinne des DSA vorliegt, muss der Vermittlungsdienst eine beträchtliche Anzahl von EU-Nutzern (im Vergleich zur Bevölkerung des jeweiligen Mitgliedstaates) haben. Anzeichen für eine solche "Ausrichtung" können zum Beispiel die Verwendung einer EU-Währung oder -Sprache, Lieferungen in EU-Länder oder das Vorhandensein der App im App-Store eines EU-Landes sein oder potentiell auch der Umstand, dass die Datenschutzerklärung die DSGVO mitberücksichtigt. Die reine Verfügbarkeit einer Website im EU-Raum reicht jedoch nicht aus.

Schweizer Anbieter, welche nicht dem DSA unterstehen wollen, sollten darauf achten, ihre Produkte und Dienstleistungen nur in Schweizer Franken anzugeben, ihre Websites nicht auf Sprachen von EU-Mitgliedstaaten (ausser denjenigen mit Schweizer Landessprachen) zu übersetzen, keine Werbung im EU-Raum zu schalten bzw. generell keinerlei Bezüge zur EU – sei es auf der Unternehmenswebseite oder im sonstigen (Online sowie Offline) Auftritt – herzustellen. Massgeblich sind gemäss DSA jeweils "alle relevanten Umstände". Wessen Geschäft massgeblich von EU-Kunden abhängig ist oder wer weiss, dass er eine erhebliche Anzahl Nutzer im EU-Raum hat, wird sich dem Anwendungsbereich des DSA nicht entziehen können.

Welche allgemeinen Pflichten auferlegt der DSA Anbietern von Vermittlungsdiensten?

Der DSA unterscheidet zwischen allgemeinen – für alle Anbieter von Vermittlungsdiensten geltenden – Pflichten und solchen, die je nach Grösse und Kategorie den Anbietern auferlegt werden.

Die folgenden Pflichten gelten für alle Anbieter von Vermittlungsdiensten:

• Gesetzlicher Vertreter (Art. 13 DSA): Unternehmen ohne EU-Niederlassung müssen einen EU-Rechtsvertreter ernennen, der Ansprechpartner für Behörden und Nutzer ist. Der gesetzliche Vertreter kann für Verstösse gegen den DSA haftbar gemacht werden, unabhängig von der Haftung des Anbieters. So können auch Unternehmen aus EU-Drittstaaten (z.B. Schweiz) direkt und ohne Rechtshilfeverfahren zur Rechenschaft gezogen werden. Der gesetzliche Vertreter muss befugt und ausgestattet sein, um effektiv und zeitnah mit Behörden zusammenarbeiten und deren Anordnungen umsetzen zu können. Die Identität des gesetzlichen Vertreters ist öffentlich zu kommunizieren.
• In der Praxis werden Schweizer Anbieter ohne Sitz oder Niederlassung in der EU eine Risikoabwägung vornehmen müssen. Da der gesetzliche Vertreter für Pflichtverletzungen unter dem DSA haftbar gemacht werden kann (Art. 13 Abs. 3 DSA), wird die Bestellung eines solchen Vertreters deutlich kostspieliger sein als z.B. eines gesetzlichen Vertreters unter der DSGVO. Zudem gehen wir davon aus, dass eine Vollstreckung von in der EU verhängten Sanktionen unter dem DSA über ein Rechtshilfeverfahren in der Schweiz – wie unter der DSGVO –, mangels einer staatsvertraglichen Regelung nicht möglich ist. Allerdings können, solange kein gesetzlicher Vertreter bestimmt ist, die Behörden von allen Mitgliedsstaaten gegen einen Anbieter aktiv werden und ein Fehlverhalten sanktionieren. Sobald ein solcher bestimmt ist, ist für die Sanktionierung der EU-Mitgliedsstaat am Sitz des gesetzlichen Vertreters zuständig. Wird also im Zweifelsfall kein gesetzlicher Vertreter bestellt, erhöht sich das Risiko, dass ein materieller Verstoss gegen den DSA vorliegt. Wird im Zweifelsfall ein gesetzlicher Vertreter bestimmt, reduziert sich das Risiko eines DSA-Verstosses, aber das praktische Enforcement-Risiko erhöht sich, da es für die Behörden einfacher ist, einen Schweizer Anbieter zu sanktionieren.
• Kontaktstellen (Art. 11, 12 DSA): Behörden und Nutzern muss eine zentrale Kontaktstelle beim Anbieter zur schnellen Kommunikation zur Verfügung stehen (ein klassischer Chat-Bot genügt diesen Anforderungen nicht). Zusätzlich zur in der Schweiz geltenden Impressumspflicht (vgl. Art. 3 Abs. 1 lit. s UWG), welche die Angabe der eigenen Identität (Name der Gesellschaft, physische Adresse, E-Mailadresse) verlangt, ist unter dem DSA zusätzlich anzugeben, in welchen Sprachen kommuniziert wird. Es muss mindestens die Sprache am Sitz der Hauptniederlassung oder des gesetzlichen Vertreters sein. Dies gilt es bei der Wahl des gesetzlichen Vertreters (vgl. oben) zu beachten.
• Befolgung von behördlichen Anordnungen (Art. 9 DSA): Vermittlungsdienste müssen die Behörden, welche ihnen eine Anordnung zum Vorgehen gegen illegale Inhalte gegeben haben, über die Umsetzung der Anordnung informieren und angeben, ob und wann sie diese umgesetzt haben. Die betroffenen Nutzer sind sodann vom Vermittlungsdienst über diesen Sachverhalt zu informieren und die getroffenen Massnahmen sind zu begründen.
• Allgemeine Geschäftsbedingungen (Art. 14 DSA): Allgemeine Geschäftsbedingungen (AGB) müssen klar und transparent formuliert und leicht zugänglich für Nutzer sein. Bei Nutzung durch Minderjährige sind die AGB in verständlicher Sprache zu verfassen. Es sind detaillierte Angaben zur Moderation von Inhalten zu machen, unter Berücksichtigung der Meinungs- und Medienfreiheit.
• Transparenzberichtspflicht (Art. 15): Jährlicher Bericht über die Inhaltsmoderation, einschliesslich Anordnungen von Behörden, aktiver Moderation und verwendeter Methoden. Die Berichte müssen leicht verständlich und öffentlich zugänglich sein.

Welche zusätzlichen Pflichten gelten für Hostingdienste?

Die folgenden Pflichten gelten zusätzlich für Hostingdienste:

• Melde- und Abhilfeverfahren (Art. 16): Nutzer sollen rechtswidrige Inhalte einfach melden können, idealerweise über eine Eingabemaske statt einer Emailadresse. Solange der Hostinganbieter keine Kenntnis von rechtswidrigen Inhalten hat, kann er dafür nicht zur Rechenschaft gezogen werden (Haftungsprivileg, Art. 6 DSA). Der Dienst verliert aber sein Haftungsprivileg, sobald er Kenntnis von der Meldung (und somit vom mutmasslich illegalen Inhalt) erhält und dagegen nicht "zügig tätig wird, um den Zugang zu den rechtswidrigen Inhalten zu sperren oder diese zu entfernen" (Art. 6 Abs. 1 lit. b DSA).
• Begründungspflicht (Art. 17): Einschränkungen der Nutzerrechte (Profilsperrungen, Löschung von Inhalten) müssen dem Nutzer gegenüber begründet werden, zum Beispiel, weil Verstösse gegen die Nutzungsbedingungen des Diensts vorliegen oder illegale Inhalte gespeichert werden. Die Begründung muss auch über verfügbare Rechtsbehelfe informieren, wie interne Beschwerdeverfahren oder den rechtlichen Weg an ein Gericht.
• Meldung von Straftaten (Art. 18): Verdächtige kriminelle Aktivitäten, die das Leben und die körperliche Unversehrtheit betreffen (z.B. Morddrohungen oder Aufrufe zum Terrorismus), müssen den zuständigen Strafverfolgungsbehörden gemeldet werden.
• Haftung: Für das Vorhandensein illegaler Inhalte haften Hostingdienstleister, wenn sie von der Rechtswidrigkeit von Inhalten oder Tätigkeiten "tatsächlich Kenntnis haben", aber es unterlassen, zügig tätig zu werden, um den Zugang zu den rechtswidrigen Inhalten zu sperren oder diese zu entfernen. Von der Haftung explizit befreit sind Hostingdienstleister, die keine tatsächliche Kenntnis von einer rechtswidrigen Tätigkeit oder rechtswidrigen Inhalten haben und sich auch keiner Umstände bewusst sind, aus denen eine solche "offensichtlich hervorgeht". Eine Überwachungs- oder Nachforschungspflicht besteht aber explizit nicht (Art. 8). Was als illegale Tätigkeit bzw. illegaler Inhalt gilt, definiert der DSA nicht und verweist auf die jeweiligen nationalen Gesetze. Als Grundsatz gilt, dass auch online alles illegal sein soll, was bereits offline illegal ist. Für Schweizer Hostingdienste ist das nicht wirklich neu.

Welche zusätzlichen Pflichten gelten für Online-Plattformen?

Die folgenden zusätzlichen Pflichten gelten für Online-Plattformen:

• Internes Beschwerdemanagementsystem (Art. 20): Plattformen müssen ein leicht zugängliches, benutzerfreundliches und kostenloses Beschwerdemanagementsystem für Nutzer bereitstellen, bei dem Beschwerden zeitnah, diskriminierungsfrei und sorgfältig bearbeitet werden müssen. Wenn ausreichende Gründe vorgebracht werden, muss die Plattform die Entscheidung unverzüglich rückgängig machen und dem Beschwerdeführer eine Begründung mitteilen.
• Aussergerichtliche Streitbeilegung (Art. 21): Nutzer, die von Entscheidungen betroffen sind, haben das Recht, eine unabhängige, sachkundige und transparente Streitbeilegungsstelle zu wählen. Diese Stellen müssen über ihre Tätigkeiten berichten und ihre Entscheidungen innerhalb einer bestimmten Frist treffen. Die Kosten trägt der Anbieter der Online-Plattform, es sei denn, der Nutzer handelt böswillig.
• Vertrauenswürdige Hinweisgeber (Art. 22): Meldungen von vertrauenswürdigen Hinweisgebern wie Amtsstellen müssen priorisiert behandelt werden. Jährliche Berichte über diese Meldungen müssen veröffentlicht werden. Bei Missbrauch kann der Status des Hinweisgebers vorübergehend aufgehoben werden.
• Massnahmen und Schutz vor missbräuchlicher Verwendung (Art. 23): Nutzer, die wiederholt rechtswidrige Inhalte bereitstellen, werden nach einer Warnung vorübergehend gesperrt. Die Bearbeitung von Meldungen und Beschwerden von Personen, die häufig unbegründete Meldungen einreichen, kann vorübergehend ausgesetzt werden.
• Transparenzberichtspflichten (Art. 24): Online-Plattformen müssen alle sechs Monate Informationen über die Anzahl ihrer aktiven Nutzer veröffentlichen. Diese Informationen werden dem nationalen Koordinator für digitale Dienste und der Kommission auf Verlangen mitgeteilt.
• Gestaltung und Organisation der Online-Schnittstelle (Art. 25): Die Online-Schnittstellen dürfen Nutzer nicht täuschen, manipulieren oder in ihrer Entscheidungsfreiheit beeinträchtigen. Die Kommission kann Leitlinien für die Anwendung herausgeben.
• Werbung auf Online-Plattformen (Art. 26): Werbung muss klar als solche erkennbar sein und Informationen über den Werbenden und die wichtigsten Anzeigeparameter enthalten, insbesondere Angaben über die Person, in deren Namen die Werbung geschaltet wird und die Person, welche für die Werbung bezahlt hat. Nutzer müssen angeben können, ob ihr Inhalt kommerzielle Kommunikation ist, und Plattformen müssen transparente Kennzeichnungen bereitstellen. Werbung basierend auf sensiblen personenbezogenen Daten ist nicht erlaubt.
• Transparenz von Empfehlungssystemen (Art. 27): Plattformen müssen in ihren AGB die Schlüsselparameter der Empfehlungssysteme klar und verständlich darlegen und den Nutzern die Möglichkeit geben, diese Parameter zu beeinflussen.
• Online-Schutz Minderjähriger (Art. 28): Plattformen müssen angemessene Massnahmen für Datenschutz und Sicherheit von Minderjährigen ergreifen. Werbung basierend auf Profiling mit persönlichen Daten von Minderjährigen ist grundsätzlich untersagt. Zusätzliche personenbezogene Daten zur Altersüberprüfung sind nicht erforderlich.

Welche zusätzlichen Pflichten gelten für Marktplätze?

Die folgenden zusätzlichen Pflichten gelten für Marktplätze:

• KYC (Art. 30): Marktplätze müssen Kontaktdaten, Zahlungsinformationen und Identitätsnachweise von Unternehmern, welche auf der Plattform ihre Dienste anbieten, sammeln und überprüfen (KYC). Liefern Unternehmer diese Angaben nicht, sind sie zu sperren.
• Transparenz (Art. 30 Abs. 7, Art. 31, Art. 32): Name, Anschrift, Telefonnummer und E-Mail-Adresse des Unternehmers, Unternehmensidentifikationsnummer sowie eine Selbstdeklaration des Unternehmers sind den Nutzern zur Verfügung zu stellen. Das Plattform-Design muss gewährleisten, dass Unternehmer vor Vertragsschluss erforderliche Informationen für Verbraucher bereitstellen, z.B. Produktinformationen zur Sicherheit. Stellt der Plattformbetreiber fest, dass rechtswidrige Produkte/Dienstleistungen über die Plattform angeboten werden, so informiert die Online-Plattform die Verbraucher. Marktplätze sollten weiter nicht den Eindruck erwecken, selbst Vertragspartner zu sein (dies sind die Unternehmen auf der Plattform), um von Haftungsprivilegien bei von Nutzern bereitgestellten Inhalten zu profitieren.

Gibt es eine KMU-Ausnahme?

Ja, aber nur beschränkt. Unternehmen mit weniger als 50 Beschäftigten und weniger als 10 Millionen Jahresumsatz müssen die zusätzlichen Pflichten für Online-Plattformen und Marktplätze nicht einhalten. Jedoch müssen sie auf Verlangen der EU-Kommission oder der zuständigen Behörde Informationen über die durchschnittliche Anzahl ihrer aktiven Nutzer in der EU informieren. Von den übrigen Pflichten unter dem DSA sind sie nicht befreit.

Welche Sanktionen drohen Anbietern bei Verstössen gegen den DSA?

Nutzerinnen und Nutzer von Vermittlungsdiensten können Anspruch auf Schadenersatz für Schäden oder Verluste geltend machen, welche aufgrund eines Verstosses gegen den DSA entstanden sind. Diese richten sich nach nationalem Recht der Mitgliedsstaaten.

Vermittlungsdiensten, die gegen den DSA verstossen, drohen Bussen in der Höhe von maximal sechs Prozent des globalen Jahresumsatzes. Bei fehlerhaften, unvollständigen oder irreführenden Informationen sind Bussen von maximal einem Prozent des globalen Jahresumsatzes möglich. Zudem kann gegen diese Unternehmen ein Tätigkeitsverbot im EU-Binnenmarkt ausgesprochen werden.