Der Digital Services Act

Der DSA ist der erster Teil des Legislativpakets Digitale Dienste der Europäischen Kommission und soll illegale und schädliche Online-Inhalte bekämpfen.

Der DSA, der auch oft als das „Grundgesetz des Internets“ bezeichnet wird, gilt für Online-Vermittlungsdienste gem. Artikel 3 Buchstabe g DSA und sieht Regelungen insbesondere für Online-Plattformen vor, beispielsweise soziale Netzwerke. Der DSA verpflichtet diese unter anderem zu deutlich mehr Transparenz und verbraucherfreundlicherer Gestaltung ihrer Dienste. Aus datenschutzrechtlicher Perspektive sind insbesondere die Regelungen über spezifische Verbote zur Anzeige von Online-Werbung aufgrund von Profiling von großer Bedeutung. 

Profiling ist gemäß Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten (das heißt: Verarbeitung durch z.B. Computer, Smartphones, Tablets, etc.), bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Dabei geht es insbesondere darum, Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Diese Art von Vorhersage oder Profilbildung wird häufig dazu genutzt, Werbung gezielt an die Nutzenden digitaler Dienste auszuspielen. 

Koordinierungsstelle für Digitale Dienste

Mit Inkrafttreten des Digitale Dienste Gesetzes (DDG), der deutschen Umsetzung des DSA, wird eine nationale Koordinierungsstelle für Digitale Dienste eingerichtet, welche die Aufsicht über die Anbieter digitaler Dienste und die Koordination von Beschwerden nach DSA übernimmt. Diese Aufgabe des DSC fällt in Deutschland der BNetzA zu.

Gemäß § 12 Abs. 3 DDG, ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die zuständige Behörde für die Durchsetzung der in Art. 26 Abs. 3 und 28 Abs. 2 DSA enthaltenen Werbeverbote: Das Verbot, profilbasierte Werbung gegenüber Minderjährigen auszuspielen und das Verbot, Werbung auch gegenüber Erwachsenen auszuspielen, wenn für die Profilbildung sogenannte besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verwendet wurden. Beschwerden, die die Zuständigkeit der BfDI betreffen, werden von der zentralen Beschwerdestelle der BNetzA koordiniert an die BfDI übergeben.

Artikel 26 Absatz 3 DSA: Werbung aufgrund von Artikel 9 Daten

Nach Artikel 26 Absatz 3 DSA ist es Anbietern von Online-Plattformen untersagt, „Nutzenden Werbung anzuzeigen, die auf Profiling gemäß Artikel 4 Nummer 4 der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO beruht.“ Dieses Verbot gilt nicht nur gegenüber Minderjährigen, sondern auch gegenüber Erwachsenen.

Welche personenbezogenen Daten fallen unter Artikel 9?

• die rassische und ethnische Herkunft;
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen,
• die Gewerkschaftszugehörigkeit,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
• Gesundheitsdaten,
• Daten zum Sexualleben oder der sexuellen Orientierung.

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln. Dies betrifft beispielsweise die Einnahme von Medikamenten, die körperliche oder geistige Verfassung oder den regelmäßigen Besuch einer bestimmten Kirche.

Hinweis zum Begriff "rassisch": Die DSGVO verwendet das Wort „rassische Herkunft“ im Verordnungstext, stellt aber in Erwägungsgrund 51 Satz 2 klar, dass die Verwendung des Begriffs nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt.

Artikel 28 Absatz 2 DSA: Werbung gegenüber Minderjährigen

Nach Artikel 28 Absatz 2 DSA ist es Anbietern von Online-Plattformen untersagt, „auf ihrer Schnittstelle Werbung auf der Grundlage von Profiling gemäß Artikel 4 Absatz 4 DSGVO unter Verwendung personenbezogener Daten des Nutzers darzustellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.“

Verpflichtet Artikel 28 DSA Online-Plattformen zum Einsatz von Methoden der Altersprüfungen?

Über das Werbeverbot des Artikel 28 Absatz 2 DSA hinaus verpflichtet Absatz 1 der Norm Anbieter von Online-Plattformen, grundsätzlich verhältnismäßige Maßnahmen für den Kinderschutz zu ergreifen. Artikel 28 Absatz 3 DSA stellt klar, dass Anbieter von Online-Plattformen zur Einhaltung der Verpflichtungen des Artikel 28 DSA nicht verpflichtet sind, zusätzliche personenbezogene Daten zu verarbeiten, um festzustellen, ob Nutzende minderjährig sind. Eine rechtliche Verpflichtung, die gemäß Artikel 6 Absatz 1 Buchstabe c DSGVO zu einer Verarbeitung personenbezogener Daten berechtigen würde, kann nach Ansicht der BfDI aus Artikel 28 DSA daher nicht abgeleitet werden. 

Auf Initiative der BfDI hin haben BMFSFJ, BzKJ, BNetzA, die Landesanstalt für Medien NRW und BfDI am 16. Mai 2024 einen Workshop für eine gemeinsame Positionierung zum Thema Altersprüfungen ausgerichtet in dem wir ein gemeinsames Positionspapier erarbeitet haben.

Das Papier enthält neun grundlegende Punkte zu Methoden der Altersprüfung, die die gemeinsame Position der beteiligten Behörden widerspiegeln. Es ist im Rahmen der von der Europäischen Kommission eingerichteten Task Force 'Altersverifikation' entstanden.

Ferner wurde ein Verbot von sogenannten „Deceptive Design Patterns“ im DSA aufgenommen. Deceptive Design Patters sind Designelemente die eingesetzt werden, um Nutzende dazu zu bewegen Dinge zu tun, die sie eigentlich nicht möchten. Dazu gehört z. B. durch absichtlich missverständliche Sprache oder durch fehlleitende visuelle Reize, Nutzende zu einer Einwilligung zu drängen. Hierdurch kann verhindert werden, dass Nutzende durch die Gestaltung von Apps und Websites manipuliert werden und so unter Umständen Daten preisgeben, die sie bei einer anderen Gestaltung des Angebots nicht weitergegeben hätten. Gewisse manipulative Praktiken sind zwar bereits nach der DSGVO untersagt, durch die Regelungen im DSA wird dieser Schutz aber noch erweitert.

Die neuen Regelungen des Digital Services Act und des Digitale Dienste Gesetzes tragen zu einem sichereren Online-Umfeld für alle Nutzenden bei. Die Aufgaben der BfDI werden für die Durchsetzung dieser Regelungen zentral sein.

Datenzugang für Forschende

Der Digital Services Act ermöglicht Forschungseinrichtungen Zugang zu Daten sehr großer Online-Plattformen (VLOPs) und sehr großer Online-Suchmaschinen (VLOSEs), um die Algorithmen analysieren zu können, die dafür verantwortlich sind, welche Inhalte den Nutzenden angezeigt werden (Art. 40 DSA). So ist es nun erstmals möglich zu erkennen, wie bestimmte zum Teil für die Gesellschaft schädliche Vorgänge in sozialen Netzwerken funktionieren, um diese ggf. zu unterbinden.

Zuständig für Anträge auf Datenzugang nach Artikel 40 DSA sind die Koordinatoren für digitale Dienste am Niederlassungsort oder die EU-Kommission. Weitere Informationen finden Sie auf der Webseite des DSC. Forschungseinrichtungen können ab dem 23. Oktober 2025 einen Antrag zentral über das Data Access Portal bei einem nationalen DSC stellen.

Der deutsche DSC bindet bei der Bearbeitung von Anträgen die Datenschutzbeauftragten der Länder und die BDI hinsichtlich des Schutzes personenbezogener Daten ein. Die Datenschutzbeauftragten stellen für die zu prüfenden Tatbestandsvoraussetzungen eine Checkliste zur Verfügung.

Die BfDI ist zuständig für die Prüfung der Einhaltung datenschutzrechtlicher Anforderungen bei Anträgen von Forschungseinrichtungen, die öffentliche Stellen des Bundes sind.