Datenschutz

Neue Entwicklungen im Recht der digitalen Dienste: Der Entwurf zum Digitale-Dienste-Gesetz

Ab dem 17. Februar 2024 wird die Verordnung (EU) 2022/2065, besser bekannt als Digital Services Act („DSA“, in der offiziellen deutschen Übersetzung „Gesetz über Digitale Dienste“), in allen Mitgliedsstaaten der EU vollständig anwendbar sein (für besonders große Anbieter von Vermittlungsdiensten wie Facebook und TikTok gelten viele Pflichten bereits seit August 2023).

Obwohl der DSA die Erbringung sog. Vermittlungsdienste bereits selbst umfassend regelt (Beitrag vom 27. Oktober 2022), besteht nach wie vor Spielraum sowie auch eine Notwendigkeit für Umsetzungsregelungen auf Ebene der Mitgliedstaaten. Die deutsche Regierung hat dazu kürzlich einen Referentenentwurf zum Digitalen-Dienste-Gesetz („DDG-E“) vorgelegt.

Jenseits der unglücklichen Ähnlichkeit des Gesetzestitels mit dem deutschen Namen des DSA enthält der Entwurf einige bemerkenswerte Punkte:

Bundesnetzagentur als wesentliche zuständige Behörde

Gemäß § 12 Abs. 1 DDG-E soll die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen die wesentliche für die Durchsetzung des DSA zuständige Behörde i.S.d. Art. 49 Abs. 1 DSA werden. Dies macht einerseits den Stellenwert einer sicheren Online-Umgebung deutlich, deren Angebot damit eine ähnliche Bedeutung einnimmt wie das Angebot der traditionellen Versorgungsnetze. Im Vergleich zur föderal zersplitterten Datenschutzaufsicht dürfte diese Zentralisierung auf Bundesebene für eine relativ schlagkräftige Aufsicht und hoffentlich für ein höheres Maß an Rechtssicherheit sorgen.

Im Hinblick auf bestimmte Regelungen weist § 12 Abs. 2, 3 DDG-E zudem der Bundeszentrale für Kinder- und Jugendmedienschutz und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Zuständigkeiten zu.

Differenzierte Bußgeldtatbestände und -höhen

Im Rahmen der durch den DSA festgeschriebenen Maximalhöhen sieht § 25 DDG-E ein differenziertes Konzept vor:

  • Eine Geldbuße bis zu EUR 50.000 droht bei der rechtswidrigen Verschleierung/Verheimlichung des kommerziellen Charakters einer Nachricht und der Verletzung bestimmter Informations- und Auskunftspflichten, etwa der Impressumspflicht (zukünftig § 5 DDG) und der Auskunftspflicht gegenüber der Behörde (§ 25 Abs. 1, 2, 5 Nr. 3 DDG-E).
  • Bis zu EUR 100.000 können fällig werden bei bestimmten Verstößen gegen die Verordnung (EU) 2019/1150 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Vermittlungsdiensten sowie bei Verstößen gegen bestimmte Transparenz- und Informationspflichten des DSA (z.B. zur Benennung einer Kontaktstelle). Beträgt der Jahresumsatz des Unternehmens, das gegen diese Pflichten aus dem DSA verstoßen hat, mehr als EUR 10 Millionen, kann die Geldbuße auch bis zu 1% des weltweiten Umsatzes im Jahr vor der Behördenentscheidung betragen.
  • Bis zu EUR 300.000 kann eine Geldbuße bei anderen Verstößen gegen die o.g. Verordnung (EU) 2019/1150 und den DSA betragen. Im Hinblick auf den DSA kommen hier insbesondere Pflichtverstöße im Zusammenhang mit dem nach dem DSA einzurichtenden Melde- und Abhilfeverfahren sowie Beschwerdemanagementsystem in Betracht sowie Verstößen gegen das Verbot personalisierter Werbung auf Grundlage sensibler personenbezogener Daten. Bei Unternehmen mit einem Jahresumsatzüber EUR 5 Millionen beträgt die Höchstgrenze stattdessen 6% des weltweiten Vorjahresumsatzes.

Die explizite Regelung, dass für die Bußgeldberechnung der Zeitraum vor Entscheidung der Behörde maßgeblich ist (nicht etwa der Zeitraum vor dem Verstoß), kann insbesondere bei Investitionen in Start-Ups relevant werden, die in ihrer „wilden“ Ursprungsphase u.U. noch Verstöße begehen. Selbst wenn diese in der Wachstumsphase (z.B. auf Druck des Investors hin) abgestellt werden, könnte die Behörde im Nachhinein Bußgelder verhängen, die dann auf Grundlage des Umsatzes berechnet werden, die das „erwachsene“ Start-Up erzielt, nachdem es durch die Investition „groß gemacht“ wurde.

Aufhebung des NetzDG sowie des TMG/Impressum

Zum 17. Februar 2024 sollen das Telemediengesetz (TMG) sowie das Netzwerkdurchsetzungsgesetz (NetzDG) außer Kraft gesetzt werden (vgl. Artikel 37 DDG-E). Die bislang in § 5 TMG enthaltenen allgemeinen Informationspflichten (sog. „Impressumspflicht“) führt § 5 DDG-E fort. Auch wenn sich die Vorschriften inhaltlich nicht voneinander unterscheiden, werden viele die Vorschrift zitierende Webseiten diesbezüglich anzupassen sein.

Einvernehmensregelung mit Datenschutzaufsichtsbehörden

§ 20 DDG-E legt fest, dass die für die Umsetzung des DSA zuständige Behörde Entscheidungen im Einvernehmen mit der zuständigen Datenschutzaufsichtsbehörde zu treffen hat, soweit ihre Aufgabenwahrnehmung die Prüfung der Einhaltung der Datenschutzgrundverordnung sowie sonstiger Vorschriften über den Datenschutz berührt. Hiermit soll sichergestellt werden, dass die Datenschutzaufsichtsbehörden weiterhin eine wichtige Rolle bei der Überwachung der Einhaltung von Datenschutzvorschriften spielen. Eine ähnlich vage Kooperationspflicht hatte der EuGH kürzlich bei der Prüfung datenschutzrechtlich relevanter Vorgänge durch das Bundeskartellamt statuiert (Urt. v. 4. Juli 2023 – C-252/21).

Nächste Schritte

Der Entwurf muss nun noch das Gesetzgebungsverfahren durchlaufen. Ein Inkrafttreten bis zum 17. Februar ist zwar ambitioniert, aber nicht unmöglich.

Parallel zu den Bemühungen des Gesetzgebers sollten Unternehmen, die Vermittlungsdienstleistungen in der EU anbieten, spätestens jetzt damit beginnen, sich auf die neuen Regelungen des DSA sowie des DDG vorzubereiten, um Bußgelder und Schadensersatzansprüche zu vermeiden.

 

Weiterleiten