Der Digital Services Act (DSA, umgangssprachlich Digitale-Dienste-Gesetz) ergänzt als EU-weite Regulierung die E-Commerce-Richtlinie, die nach 20 Jahren etwas in die Jahre gekommen ist. Nicht mit dem Digital Services Act zu verwechseln ist der Digital Markets Act (Digitale-Märkte-Gesetz), der einen stärkeren Fokus setzt auf die marktbeherrschende Stellung von Digitalunternehmen und der bereits seit Mai in Gänze gilt.
Für welche Plattformen gilt der DSA?
Für die meisten Unternehmen greifen die Regelungen des DSA erst ab 24. Februar 2024. Denn die grundsätzliche Regulierung findet in den Nationalstaaten statt. Dort jedoch ist noch gar nicht klar, wie genau die Regulierung ablaufen wird. Es ist nicht einmal final entschieden, welche nationale Behörde jeweils die Kontrollen übernimmt.
Anders ist die Lage bei den sehr großen Online-Plattformen, auch bekannt als Very Large Online Platforms (VLOPs). Diese werden direkt von der EU-Kommission kontrolliert. Als sehr große Online-Plattformen und -Suchmaschinen gelten aktuell insgesamt 19 Angebote, darunter allein vier Google-Dienste. Generell ist das entscheidende Kriterium für eine VLOP eine Zahl von monatlich mindestens 45 Millionen aktiven Nutzer*innen.
Zalando, das von der Kommission als VLOP eingeordnet wird, wehrt sich allerdings gerichtlich dagegen und erhält dabei Unterstützung vom E-Commerce-Verband bevh. Dieser befürchtet, dass der DSA den E-Commerce ungleich behandle gegenüber dem stationären Handel (die absatzwirtschaft berichtete). Denn: Nutzende sind nach DSA-Definition sämtliche Besucher*innen der Plattform, auch ohne Login. Gerade für Online-Shops dürfte das durchaus eine Rolle spielen, während bei sozialen Netzwerken eine Nutzung häufig nur mit Login möglich ist. Dennoch sind lediglich wenige sehr große Plattformen betroffen, im Shopping-Bereich neben Zalando nur Amazon, Alibaba und Google Shopping.
Für die VLOPs gelten die Regelungen schon seit Ende August. Wenn sich die Plattformen nicht daran halten, drohen Strafen, die tatsächlich wehtun: Bis zu 6 Prozent des weltweiten Jahresumsatzes sind möglich. Meta hatte 2022 einen Umsatz von 116,6 Milliarden Euro. Es wäre also eine Strafe von fast 7 Milliarden Euro denkbar und dies hat eine andere Dimension als bisherige Strafen. Der Rekord bei der DSGVO beispielsweise liegt bei 1,2 Milliarden Euro Strafzahlung.
Was ist das Ziel des Gesetzes?
Die EU-Kommission will Bürger*innen und deren Grundrechte besser schützen. Um das zu erreichen, enthält der DSA eine Vielzahl konkreter Regelungen. Dazu gehört zum Beispiel, dass Nutzende ein Recht haben, Widerspruch einzulegen, wenn Meldungen von Hassreden nicht erfolgreich waren. Solche Regelungen haben zunächst mal keine unmittelbare Bedeutung für die Markenkommunikation, es sei denn, ein Unternehmen kommuniziert ohnehin fragwürdige Inhalte.
Targeting und Profiling
Für die Werbewirtschaft liegt des Pudels Kern der Reform in den Themen Targeting und Profiling. Kurz gefasst lässt sich sagen, dass der DSA es verbietet, Werbung auf Basis sensibler Persönlichkeitsmerkmale zu schalten. Und bei Minderjährigen ist überhaupt keine Werbung auf Basis von Profiling erlaubt. Versuche, zielgerichtete Werbung insgesamt zu verbieten, sind im Gesetzgebungsverfahren nicht erfolgreich gewesen. Fest steht, dass politische Überzeugungen sowie Aspekte von Sexualität oder Gesundheit, aber auch Informationen zur ethnischen Zugehörigkeit unter die sensiblen Persönlichkeitsmerkmale fallen.
Wo aber nun genau die Grenze liegt, ist in der Praxis nicht immer klar. Isabell Conrad, Fachanwältin für IT-Recht und Partnerin bei CSW Rechtsanwälte, ist seit vielen Jahren aktiv als Lead Expert für den Deutschen Anwaltverein in der „EU Expert Group on Cloud Computing Contracts“ der EU-Kommission. Sie verweist auf ein Urteil des Europäischen Gerichtshofs aus dem Juli. Dort wurde in einem Verfahren zwischen Facebook und dem Bundeskartellamt die DSGVO so ausgelegt, dass schon das Öffnen einer Gesundheits-App unter bestimmten Voraussetzungen als Gesundheitsdatum gelten kann. Wie streng die Regelungen tatsächlich ausfallen, wird wohl erst in einigen Jahren klar. Conrad sagt: „Die sehr großen Plattformen müssen jetzt schon etwas umstellen. Doch bis für alle anderen Unternehmen Rechtssicherheit herrscht, werden Jahre vergehen und Urteile gesprochen werden müssen. Allein das Inkrafttreten der Verordnung richtet noch nicht viel aus.“
Es braucht mehr Budget
Trotzdem sind direkte Auswirkungen auf das Anzeigengeschäft zu erwarten. Gut möglich, dass die Plattformen entstehende Kosten einpreisen und sie an die Werbekunden weitergeben. Gleichzeitig ist aber ein weiterer Effekt möglich, so Conrad: „Denkbar ist, dass die Werbebudgets von den Werbetreibenden weniger zielgerichtet und mit schlechterer Effizienz eingesetzt werden, wenn das Profiling schlechter wird und die Streuverluste höher.“ Dann müssten die Tausenderkontaktpreise eigentlich sinken, weil die Datenbasis schlechter ist. Um jedoch die gleiche Qualität an Nutzenden zu erreichen, braucht es mehr Budget. Die konkreten Auswirkungen auf die Preise lassen sich also kaum absehen, hängen sie doch noch von einer Vielzahl weiterer Faktoren ab.
Neben den direkten Preiseffekten kann für Unternehmen gerade längerfristig auch der Effekt von möglichen Aufsichtsverfahren am Werbemarkt spürbar sein. „Es ist gut möglich, dass künftig nicht nur die Plattformen, sondern alle Werbetreibenden berücksichtigen müssen, welche Praktiken nach DSA verboten sind“, sagt Conrad. „Denn was für Plattformanbieter verboten ist, kann auch bei anderen Beteiligten der Werbewirtschaft negativ ins Gewicht fallen.“ Wenn dann Rechtskosten entstehen sollten, kann dadurch erneut Werbebudget fehlen.
Die Effekte für die Wirtschaft in der Breite haben wiederum Auswirkungen auf die Big Player. Zwar seien die Geldstrafen durchaus relevant, aber die Effekte auf dem Werbemarkt seien viel entscheidender. „Die EU-Kommission hat schon verstanden, dass man auch die Geschäftsmodelle der Plattformen angehen muss“, so die Rechtsexpertin.
Kann man Dark Patterns verbannen?
Verboten werden mit dem Gesetz auch sogenannte Dark Patterns, also Webdesign-Elemente, die Nutzende zugunsten des Anbieters beeinflussen sollen. Von versteckten Kündigungsmöglichkeiten bis zum Aufdrängen von Produkten im Warenkorb sind die Varianten sehr vielfältig und nicht selten ein relevanter Umsatztreiber. Während Dark Patterns bei Cookie-Bannern aufgrund strengerer Regeln schon länger auf dem Rückzug sind, soll ihnen der DSA nun komplett den Stecker ziehen.
Dass das gelingt, dürfte aber mehr als fragwürdig sein. So gibt es häufig großen Interpretationsspielraum, wo ein Dark Pattern anfängt. Die Ansichten von Verbraucherschützern und Händlern dürften dabei weit auseinandergehen. „Wir haben einmal ein Beispiel in Ampelfarben umgesetzt, das wir eigentlich harmlos fanden. Das wurde dann als Negativbeispiel in einem Datenschutzblog genutzt“, sagt IT-Fachanwältin Conrad im Hinblick auf ein Cookie-Banner. Was nun also tatsächlich verboten ist, klärt sich erst mit der Zeit: „Im Zweifel werden am Ende die Verbraucherschutzzentralen Verfahren anstrengen, aber es wird weiter Dark Patterns geben.“ Bekannte eindeutige Dark Patterns jedoch werden im DSA explizit erwähnt, hier ist die Gesetzeslage also klar.
Mehr Transparenz
Ein wichtiges Ziel des Gesetzeswerks ist zudem, mehr Transparenz zu schaffen. Für die großen Netzwerke bedeutet das zum Beispiel: Nutzende dürfen erfahren, was warum in ihrem Feed landet. Meta hat daher angekündigt, nun einzuführen, was es bei Instagram ohnehin lange gibt: einen chronologischen Feed.
Diese Transparenz beinhaltet aber auch, dass für Nutzende transparent sein muss, wer eine Werbung im Netzwerk finanziert und für wen sie ist. Conrad vermutet: „Gut möglich, dass hier bereits das nächste Dark Pattern wartet. Ich bin gespannt, wie bei Google oder Meta diese Information direkt bei Ausspielung der Anzeige ersichtlich wird.“ Nicht unwahrscheinlich, dass sich Nutzende erst ein Stück weit durchklicken müssen, bevor sie bei der Information landen. Ähnlich sieht es nämlich bei den Datenschutzerklärungen und Cookie-Informationen jetzt schon aus. Die Plattformen müssen Datenverarbeitungen eigentlich bereits transparent machen und tatsächlich können Nutzende erfahren, welche Daten erhoben werden. „Doch im Moment versinken diese Informationen teilweise in so einer großen Informationsmenge, dass die Transparenz de facto nicht hergestellt wird. Der DSA könnte hier einen echten Unterschied machen“, so Conrad.
Bessere Marktzugänge für alle Player
Neben diesen Transparenzregeln fordert der DSA aber auch mehr algorithmische Transparenz von den VLOPs. Conrad sieht das sogar als einen der wichtigsten Punkte des Gesetzes. Insbesondere darin könnte für alle anderen Unternehmen großes Potenzial stecken. Denn für die EU-Kommission ist es ein zentrales Ziel des DSA, für alle Player den Zugang zu Märkten zu ermöglichen. Und obgleich man auf den ersten Blick denken könnte, dass dieses Ziel vor allem vom Digital Markets Act erfüllt wird, ist auch im DSA Musik drin: „Gerade in Kombination mit dem Data Act gibt es da durchaus Chancen für kleinere Player.“ Gegen die Googles und Metas anzukommen, könnte für andere Marktteilnehmer also zumindest etwas leichter werden.
Teil der Wahrheit ist aber auch: Zu wirklicher Transparenz und echter Klarheit trägt der DSA noch nicht wirklich bei, zumindest noch nicht. Das liegt auch an der Vielfalt von Regelungen, die nebeneinander bestehen. Denn diese gehen nicht immer Hand in Hand, teilweise sogar im Gegenteil, so Conrad: „So kann man sich nach DSGVO eine Einwilligung für die Verarbeitung besonders sensibler Persönlichkeitsmerkmale wie der sexuellen Orientierung oder biometrischer Merkmale für das Profiling einer Person einholen – auch wenn dies eine Herausforderung ist –, nach DSA dürfen sie das aber eigentlich gar nicht.“
Allgemein ist die Komplexität der EU-Gesetzgebung extrem hoch: „Wir haben mittlerweile einen Punkt erreicht, wo selbst Menschen, die sich fast ihr ganzes Leben lang mit den Themen IT-Recht und Digitalisierung beschäftigen, nicht mehr alle einschlägigen Gesetze überblicken.“ Der Wunsch nach einer EU-Regulierungsbehörde, die einheitliche Regelungen anwenden kann, wird aber wohl trotzdem keine Realität werden. Für Unternehmen heißt das, in der Kommunikation bedacht vorzugehen – und die in den kommenden Jahren folgenden Urteile genau im Auge zu behalten.
(fms, Jahrgang 1993) ist UX-Berater, Medien- und Wirtschaftsjournalist und Medien-Junkie. Er arbeitet als Content-Stratege für den Public Sector bei der Digitalagentur Digitas Pixelpark. Als freier Autor schreibt er über Medien und Marken und sehr unregelmäßig auch in seinem Blog weicher-tobak.de. Er hat Wirtschafts- und Technikjournalismus studiert, seinen dualen Bachelor im Verlag der F.A.Z. absolviert und seit mindestens 2011 keine 20-Uhr-Tagesschau verpasst.