03/2022 – Fachartikel Swiss Infosec AG
Im Jahr 2021 brachte die Whistleblowerin Frances Haugen das Geschäftsmodell von Facebook (heute: Meta) in die Schlagzeilen. Es ist bekannt, dass Online-Unternehmen Daten ihrer Nutzer sammeln, um sie schliesslich zahlungskräftigen Kunden für massgeschneiderte Werbung zur Verfügung zu stellen. Des Weiteren mussten Online-Netzwerke bereits Kritik einstecken, weil über ihre Plattformen Fake News sowie Hetze betrieben wird, wobei teilweise fragwürdige Überzeugungen geteilt werden, welche das Potenzial haben können, das Verhalten der Nutzer in unerwünschter Weise zu beeinflussen. Frances Haugen forderte deshalb die Politik dazu auf, sich einen besseren Einblick in die Funktionsweise von Online-Netzwerken zu verschaffen, um die Mechanismen dahinter zu verstehen. Die Kritik von Frances Haugen kam den Politikern in Brüssel gerade recht, die bereits seit 2020 an einem neuen Regelwerk, dem EU Digital Services Act (kurz: DSA) arbeiten, um solche Netzwerke zu regulieren. Die ehemalige Facebook-Mitarbeiterin wurde deshalb vor dem Europäischen Parlament angehört, welches sich durch solche Enthüllungen in seiner Arbeit bestätigt fühlte.
Die EU nimmt durch die Regulierung von digitalen Diensten im DSA eine Vorreiterrolle ein. Mit der neuen Verordnung hat die EU eine Generalüberholung der vor über 20 Jahren eingeführten E-Commerce-Richtlinie in die Wege geleitet. Seit der Annahme der E-Commerce-Richtlinie sind zahlreiche neue und innovative digitale Dienste entstanden, die unser tägliches Leben beeinflussen, da sie die Art und Weise verändern, wie wir miteinander kommunizieren, konsumieren und Geschäfte tätigen. Wie das Beispiel von Facebook zeigt, birgt die Nutzung dieser Dienste zugleich Risiken wie Herausforderungen für die Gesellschaft als Ganzes wie auch für den einzelnen Nutzer.
Was bezweckt der EU Digital Services Act und was verändert er?
Es geht um die «Gestaltung der digitalen Zukunft Europas». Die neue EU-Verordnung bezweckt eine umfassende Aktualisierung der Vorschriften sowie die Regulierung von Zuständigkeiten und Pflichten von Anbietern digitaler Dienste, insbesondere von Online-Plattformen. Die digitalen Dienste sollen unter anderem zu mehr Verbraucherschutz und Transparenz verpflichtet werden, insbesondere bei der Verbreitung von illegalen Inhalten, der Auswertung von Daten und der Personalisierung von Werbung.
Sind Schweizer Online-Unternehmen von der neuen EU-Verordnung betroffen?
Die «digitalen Dienste» umfassen Online-Dienste, einfache Webseiten bis hin zu Infrastrukturdiensten und Online-Plattformen. Der DSA betrifft somit alle Online-Unternehmen, unabhängig von ihrer Niederlassung, die ihre Dienstleistungen in der EU anbieten. Der DSA ist somit unmittelbar auch auf Schweizer Unternehmen anwendbar, sofern sie ihre digitalen Dienste in der EU anbieten. Die EU nimmt dabei eine Einteilung in vier Kategorien vor, abhängig von der Rolle, Grösse und Auswirkung des Unternehmens auf dem Online-Markt. Es gibt zudem eine Pflichtenabstufung, wobei bestimmte Erleichterungen für «Kleinst- und Kleinunternehmen» gelten sollen.
Welches sind die neuen Pflichten für digitale Dienste?
1. Pflichten für alle Vermittlungsdienste / Online-Intermediäre
(z.B. Internetanbieter und Anbieter für Domain-Namen-Registrierungen)
- Gegen illegale Inhalte vorgehen/Herausgabe vorhandener Informationen
- Einrichtung einer zentralen Kontaktstelle in der EU/Ernennung eines Rechtsvertreters in der EU
- Transparenzpflichten in den AGB (z.B. Information über die Algorithmen für die Entscheidungsfindung)
- Jährliche Berichterstattung
2. Zusätzliche Pflichten
a. Hosting Provider (inkl. Online-Plattformen) (z.B. Cloud- und Webhosting-Dienste)
- Einrichtung eines Melde- und Abhilfeverfahrens zur Meldung «illegaler Inhalte»
- Pflicht zur Begründung bei Entfernung von Inhalten oder Zugangssperrung
b. Online-Plattformen (nicht für Kleinst- und Kleinunternehmen) (z.B. Online-Marktplätze, App-Stores, Social Media-Plattformen)
- Einrichtung eines Beschwerdemanagementsystems innerhalb des Unternehmens
- Benennung aussergerichtlicher Streitbeilegungsstellen für Streitigkeiten mit Nutzern
- Meldung an Behörden bei Verdacht auf Straftat mit Gefahr für das Leben/die Sicherheit von Personen
- Transparenzpflichten in Bezug auf Online-Werbung, mit Informationen darüber, in wessen Namen die Werbung angezeigt wird sowie die wichtigsten Parameter aufgrund welcher den Nutzern die Werbung angezeigt wird
c. «Sehr grosse» Online-Plattformen (mit monatlich mehr als 45 Millionen Nutzern in der EU)
- Jährliche Risikobewertung von systemischen Risiken und Massnahmen dagegen
- Jährliche, unabhängige Prüfung
- Aufforderung, bei «Empfehlungssystemen» die Parameter offenzulegen; die Option, diese zu ändern oder das Profiling gänzlich abzuschalten
- Pflicht, dem «Koordinator für digitale Dienste» (von jedem Mitgliedstaat zu ernennen – ist zuständig für alle Fragen betreffend Anwendung und Durchsetzung der DSA) am Niederlassungsort oder der Kommission Zugang zu den Daten, die für die Überwachung und Bewertung der Einhaltung des DSA erforderlich sind, zu gewähren
Änderungen im DSA durch das EU-Parlament im Januar 2022: (i) Einschränkung des Targeting von Minderjährigen sowie aufgrund besonders schützenswerter Daten, (ii) Einschränkung des Einsatzes von «dark patterns» zur Beeinflussung des Nutzerverhaltens und (iii) Option, Dienste anonym nutzen/bezahlen zu können.
Welche Sanktionen sind möglich?
Bei Pflichtverletzungen drohen Sanktionen von bis zu 6% der Jahreseinnahmen oder des Jahresumsatzes. Darüber hinaus können im Falle der Fortsetzung von Verstössen «Zwangsgelder» von bis zu 5% des durchschnittlichen Tagesumsatzes im vorangegangenen Geschäftsjahr verhängt werden.
Frist und Ausblick
Das EU-Parlament bestätigte im Januar 2022 seine Position zum DSA. Nun stehen die Trilog-Verhandlungen mit dem EU-Rat und der EU-Kommission an. Der DSA soll spätestens im Jahr 2023 in Kraft treten. Derzeit wird noch darüber verhandelt, ob eine Übergangsfrist von lediglich drei oder sechs Monaten ab Inkrafttreten in der EU gelten soll. Es bleibt abzuwarten, welche Regelungen im Endeffekt in der neuen EU-Verordnung verankert werden.
Gerne beantworten wir Ihre Fragen, unterstützen Sie bei der Anpassung Ihrer Allgemeinen Geschäftsbedingungen oder helfen Ihnen bei der Umsetzung interner Prozesse für die Einhaltung des neuen EU Digital Services Act.
Swiss Infosec AG; 02.03.2022
Kompetenzzentrum Datenschutz