Ein Leitfaden zum Digital Services Act: Das neue EU-Gesetz soll den großen Tech-Konzernen Zügel anlegen

Was ist der DSA und warum brauchen wir ihn?

Der Digital Services Act (DSA) ist ein neues Regelwerk, das die großen Internetplattformen wie Facebook oder YouTube dazu verpflichtet, mehr gegen die Verbreitung illegaler Inhalte und andere gesellschaftliche Risiken zu tun, die ihre Dienste in der EU zur Folge haben. Wenn sie dagegen verstoßen, drohen ihnen Bußgelder in Milliardenhöhe. Zusammen mit dem Digital Markets Act, dem Schwestergesetz zum DSA, legt es umfassende Bestimmungen fest, die in der der ganzen EU gelten und möglicherweise einen globalen Standard für die Plattformregulierung setzen werden.

Der DSA soll eine Zeitwende einläuten: Bislang haben die Tech-Konzerne sich im Wesentlichen ungehindert selbst reguliert und ihre eigenen Richtlinien dazu festgelegt, wie sie Inhalte moderieren. In ihren „Transparenzberichten“ erklärten sie zwar, welche Maßnahmen sie ergreifen, um zum Beispiel die Verbreitung von Desinformationen zu verhindern. Für Dritte war es aber nahezu unmöglich, solche Erklärungen zu überprüfen. Der DSA verspricht nun, diesen Zustand zu ändern. Die Plattformen müssen über die Funktionsweise ihrer algorithmischen Systeme Auskunft geben und Verantwortung übernehmen, wenn ihre Dienste eine Gefahr für die Gesellschaft darstellen.

Der Wortlaut des DSA wurde im Oktober 2022 im Amtsblatt der Europäischen Union veröffentlicht, kurz darauf trat der DSA in Kraft. Das Gesetz wird ab Februar 2024 in der gesamten EU gelten. Für die 19 größten in Europa aktiven Plattformen und Suchmaschinen gelten die neuen Regeln aber bereits seit dem 25. August 2023. Die Europäische Kommission hatte im April 2023 offiziell bekannt gegeben, welche der sehr großen Online-Plattformen (Very Large Online Platforms, VLOPs) und der sehr großen Suchmaschinen (Very Large Search Engines, VLOSEs) davon betroffen sind. Die Voraussetzung dafür, als VLOP oder VLOSE eingestuft zu werden, sind 45 Millionen aktive Nutzer*innen in der EU.

Welche Neuerungen bringt der DSA?

Die endgültige Fassung des DSA ist ein mehr als 300 Seiten langes Rechtsdokument, in dem die komplexen neuen rechtlichen Verpflichtungen für Tech-Unternehmen ausgeführt sind. Außerdem beinhaltet es die Verantwortlichkeiten der EU und ihrer Mitgliedstaaten bei der Durchsetzung dieser Rechtsvorgaben. Dazu gehören:

• Klare Regeln für den Umgang mit illegalen Inhalten: Der DSA legt einen neuen Prozess fest, an den sich Anbieter digitaler Dienste halten müssen, um unverzüglich Inhalte zu löschen, die nach nationalem oder EU-Recht illegal sind. Zudem wird darin ein EU-weites Verbot eines allgemeinen „Content Monitoring” bekräftigt, also die systematische und kontinuierliche Suche, Erhebung, Aufbereitung, Analyse, Interpretation und Archivierung von Inhalten. Wenn die Tech-Konzerne gezwungen wären, ihre Plattformen auf diese Weise zu überwachen, würde es das Prinzip der freien Rede beeinträchtigen.
  
• Neue Rechte für Nutzer*innen, um Entscheidungen bei der Moderation von Inhalten anzufechten: Wenn Plattformen Konten sperren oder Inhalte herabstufen bzw. entfernen, müssen sie den entsprechenden Nutzer*innen detaillierte Erklärungen dafür geben. Die Nutzer*innen können nach dem DSA solche Plattformentscheidungen anfechten und nötigenfalls auf außergerichtliche Einigungen drängen.

• Mehr Transparenz bei Empfehlungssystemen und Online-Werbung: Die Plattformen müssen in ihren Nutzungsbedingungen genau darlegen, wie sie ihre Inhalte moderieren und wie ihre algorithmischen Empfehlungssysteme funktionieren. Sie müssen ihren Nutzer*innen zudem mindestens eine Empfehlungssystem- oder Feed-Alternative bereitstellen, die nicht auf „Profiling“ basiert, also einem gezielten Marketing durch die Auswertung von Kundenprofilen. Darüber hinaus müssen die Nutzer*innen genaue Informationen darüber erhalten, warum ihnen eine bestimmte Werbung angezeigt wird und wie sie die Parameter der zielgerichteten Werbung ändern können.
  
• Beschränkungen bei zielgerichteter Werbung und irreführenden Designs: Der DSA führt ein Verbot von Werbeanzeigen ein, die auf Kinder ausgerichtet sind. Auch wird das Erstellen von Profilen auf der Grundlage von „sensiblen“ Merkmalen wie der religiösen Überzeugung oder der sexuellen Orientierung verboten. Der DSA führt ebenso Beschränkungen beim Plattformdesign ein. Untersagt sind Designs, die Nutzer*innen irreführen oder manipulieren. Darunter fallen zum Beispiel „Dark Patterns“, Designmuster, die darauf ausgelegt sind, Nutzer*innen zu Handlungen zu verleiten, die nicht in ihrem Interesse sind.
  
• Allgemeine Transparenz- und Berichtanforderungen: Die Plattformen müssen jährlich darüber Berichte erstellen, wie sie Inhalte moderieren. Sie müssen darin die Anzahl der von den Mitgliedstaaten oder „Trusted Flaggers“ (vertrauenswürdigen Hinweisgeber*innen) angeordneten Löschungen von illegalen Inhalten angeben, außerdem den Umfang der Beschwerden von Nutzer*innen. In den Berichten müssen die Plattformen außerdem schildern, welche Maßnahmen sie daraufhin ergriffen haben. Die Transparenzberichte müssen Angaben über alle automatisierten Systeme machen, die dazu eingesetzt wurden, Inhalte zu moderieren. In diesen Angaben muss offengelegt werden, wie genau diese Systeme Inhalte identifizieren konnten und wie hoch die mögliche Fehlerrate ist.

• Auflagen für die größten Plattformen, um systemische Risiken einzudämmen: Die EU-Gesetzgeber*innen haben die größten Plattformen als potenziell größte Risikoquelle für die Gesellschaft identifiziert – die von ihnen ausgehenden Risiken umfassen genderspezifische Gewalt und einen negativen Einfluss auf die Grundrechte, den zivilen Diskurs, Wahlen und die öffentliche Gesundheit. Aus diesem Grund verpflichtet der DSA Plattformen mit über 45 Million Nutzer*innen in der EU (YouTube, TikTok und Instagram) dazu, nach formalen Vorgaben zu prüfen, wie ihre Produkte (wozu auch algorithmische Systeme gehören) diese gesellschaftlichen Risiken verschärfen. Daraufhin müssen sie messbare Maßnahmen ergreifen, um diese Risiken einzudämmem.

• Gesetzlich zugesicherter Datenzugang für externe Prüfungsinstanzen: Den Tech-Konzernen ist es nicht länger selbst überlassen, ihre Plattformdienste und die damit einhergehenden Risiken zu beurteilen – sie müssen ihre internen Daten nunmehr mit unabhängigen Auditoren teilen, Behörden der EU und ihrer Mitgliedstaaten. Zudem erhalten Forschende aus der Wissenschaft und der Zivilgesellschaft die Möglichkeit, die Erkenntnisse der Behörden zu überprüfen, um systemische Risiken ausfindig zu machen und die Plattformen dazu zu verpflichten, sie zu beseitigen.

• Die Europäische Kommission und nationale Behörden erhalten neue Kompetenzen und Durchsetzungsbefugnisse: Um sicherzustellen, dass das neue Gesetz umgesetzt wird, werden sich neue nationale und EU-Körperschaften koordinieren. Die Kommission erhält eine direkte Beaufsichtigungs- und Durchsetzungsbefugnis über die größten Plattformen und Suchmaschinen. Sie kann Bußgelder im Umfang von bis zu sechs Prozent des globalen Umsatzes der Plattformen verhängen und Beaufsichtigungsgebühren erheben, um damit die Erfüllung ihrer Aufgaben zu finanzieren.

Was jetzt aus dem DSA folgt: Auflagen für VLOPs und VLOSEs

Am 25. August 2023 mussten VLOPs und VLOSEs der Europäischen Kommission und unabhängigen Prüfer*innen ihre ersten Risikobewertungen übermitteln. Darin haben sie zu analysieren, welche systemischen Risiken für die EU sich aus dem Design, der Funktionsweise oder der Nutzung ihrer Dienste ergeben. Außerdem mussten sie bis zu diesem Datum die neuen Regelungen zur Moderation von Inhalten umsetzen. Die sich daraus ergebenden neuen Features sollten für ihre Nutzer*innen also bald sichtbar bzw. verfügbar sein, etwa die Option, sich Empfehlungen als Feed in umgekehrter chronologischer Reihenfolge anzeigen zu lassen, statt einen algorithmisch erstellten Feed mit empfohlenen Inhalten, wie es bislang üblich gewesen ist.

Die besagten Risikobewertungen gehören zu den wichtigsten Maßnahmen des DSA. Damit soll eine Rechenschaftspflicht für VLOPs und VLOSEs eingeführt werden. Die Bewertungen sind allerdings nicht öffentlich einsehbar. Social-Media-Plattformen könnten bei ihren Risikobewertungen also Metriken oder eine Methodik anwenden, die eher ihrem Profitstreben als dem öffentlichen Interesse dienen. Aus diesem Grund hat AlgorithmWatch sich dafür eingesetzt, dass Prüfer*innen, die das öffentliche Interesse vertreten, ein sinnvoller Datenzugang gewährleistet wird, und dass ein formaler Beratungsmechanismus für zivilgesellschaftliche Organisationen eingerichtet wird, damit sie mit ihrer unabhängigen Expertise eine sachgemäße Durchführung von Prüfungen sicherstellen können.

• Was werden die Risikobewertungen bringen? Der DSA klärt erstaunlicherweise nicht darüber auf, wie VLOPs und VLOSEs ihre Risikobewertungen durchführen sollen und was in dieser Hinsicht rechtlich von ihnen verlangt wird.  Unklar bleibt auch, wie und wann sich die Kommission über deren Inhalte äußern wird. Der Zeitplan des DSA sieht bloß vor, dass die Öffentlichkeit erstmals im Dezember 2024 die offiziellen Prüfungsberichte einsehen kann. Es ist zu erwarten, dass die Plattformen diese Berichte vor der Veröffentlichung stark bearbeiten werden. Da bislang zum Ablauf der Risikobewertungen ein formaler Leitfaden fehlt, hat AlgorithmWatch ein Paper veröffentlicht, in dem ausgeführt ist, welche Art von Instrumentarium nötig ist, um Risiken für die Redefreiheit und Medienvielfalt zu erkennen, die von Plattformen ausgehen. Wir möchten damit veranschaulichen, was die verschiedenen Interessensgruppen von den Risikobewertungen erwarten können und sollten, und Anregungen dazu geben, wie die Risikobewertungen praktisch umgesetzt werden könnten.
• Mehr Transparenz und neue Kontrollmöglichkeiten für Nutzer*innen: Wenn VLOPs und VLOSEs den Vorgaben des DSA nachkommen, sollten Nutzer*innen bereits auf den größten Social-Media-Plattformen und bei den größten Suchmaschinen Veränderungen bemerken. Es sollte zum Beispiel ein Feature vorhanden sein, mit dem sich illegal Inhalte leichter markieren lassen. Außerdem sollten die allgemeinen Geschäftsbedingungen so angepasst werden, dass sie für alle Nutzer*innen – also auch für Minderjährige – klar und verständlich sind. Meta hat zum Beispiel im Juni einen Transparenzbericht veröffentlicht, in dem das Unternehmen sein Ranking-System für Inhalte, neue Möglichkeiten für Nutzer*innen, die Feed-Einstellungen zu ändern, und Tools für die Forschung im öffentlichen Interesse vorgestellt hat. Dieser Bericht hat zwar ein paar Mängel, aber trotzdem signalisiert Meta mit diesem Schritt, dass das Unternehmen die Transparenzanforderungen des DSA ernst nimmt.

Was jetzt aus dem DSA folgt: Ernennung von DSA-Bevollmächtigten und Umsetzung des Gesetzes

Am 17. Februar 2024 tritt der DSA in der gesamten EU vollständig in Kraft. Alle EU-Mitgliedstaaten müssen bis dahin DSA-Bevollmächtigte (Digital Services Coordinator, DSC) ernennen – unabhängige Aufsichtsbehörden, die für die Umsetzung des Gesetzes auf kleineren in ihrem Heimatland etablierten Plattformen verantwortlich sind. Damit der DSA in Europa einheitlich umgesetzt wird, stimmen sich die einzelnen nationalen DSC untereinander und mit der Kommission ab. Bis dahin müssen die EU-Länder und die EU-Kommission die zur Umsetzung des Gesetzes notwendigen Kapazitäten aufbauen und entsprechendes Personal finden. Die Kommission hat im Zuge dessen bereits ein Europäisches Zentrum für algorithmische Transparenz eröffnet.

Bei diesem Prozess sind Schwierigkeiten zu erwarten. Die Turbulenzen rund um die Twitter-Übernahme durch Elon Musk könnten die DSA-Wachinstanzen der EU schon früh auf die Probe stellen. Nach der planlosen Einführung der kostenpflichtigen Verifikation wurde die Plattform zum Beispiel mit Desinformationen überflutet, die reale Schäden zur Folge hatten. Wenn Twitter bereits als VLOP eingestuft worden wäre, hätte das wahrscheinlich eine Untersuchung nach sich gezogen. Möglicherweise hätte Twitter dann hohe Bußgelder zahlen müssen. Laut DSA ist es VLOPs nämlich untersagt, große Änderungen am Geschäftsmodell einzuführen, ohne zuvor eine Risikoprüfung durchgeführt zu haben.

Da mit dem DSA für die gesamte EU einheitliche Plattformregulierungen eingeführt werden, überprüfen die nationalen Aufsichtsbehörden gerade, wie in ihren Ländern bestehende Gesetze überarbeitet oder angepasst werden müssen. In Deutschland bildete bis dato das Netzwerkdurchsetzungsgesetz (das vor allem Social-Media-Plattformen abdeckte) die rechtliche Grundlage zur Plattformregulierung. Es wird wahrscheinlich durch das neue Digitale-Dienste-Gesetz ersetzt werden. Dieses Gesetz wird zwar noch erarbeitet, aber es zeichnet sich bereits ab, dass die Bundesnetzagentur Deutschlands DSC wird. Der gegenwärtige Gesetzentwurf sieht außerdem ein Forschungsbudget und die Ernennung eines Beirats vor, der bei Forschungsfragen und bei der Durchsetzung rechtlicher Vorgaben mit dem DSC zusammenarbeiten wird.

Über offene Fragen hinaus, die die Durchsetzung des DSA betreffen, sind im DSA noch sehr viele delegierte Rechtsakte, Durchführungsbestimmungen, potentielle Verhaltenskodizes und freiwillige Standards aufgeführt, deren Ausformulierung noch aussteht. Erst wenn das geschehen ist, können bestimmte Aspekte des Gesetzes geklärt werden, etwa die Frage, welche technischen Bedingungen für das Teilen von Daten zwischen Plattformen und externen Forschenden erfüllt sein müssen, damit sie die Risikobewertungen und Prüfungsberichte kontrollieren können.

Lesen Sie mehr zu unserer Policy & Advocacy Arbeit zum DSA.