Digital Services Act (DSA): Dark Patterns und andere aktuelle Fragestellungen

Der DSA ist am 16. November 2022 in Kraft getreten und hat ab dem 17. Februar 2024 allgemeine Geltung. Für von der Kommission nach Art. 33 (4) DSA benannte sehr große Online-Plattformen (Very Large Online Platforms – VLOPs) und sehr große Online-Suchmaschinen (Very Large Online Search Engines -VLOSEs) gilt der DSA schon vier Monate nach der Benennung. Auch sind einige Regelungen schon seit dem 16. November 2022 anwendbar (Art. 93(2) DSA). Noch liegen keine delegierten Rechtsakte der EU-Kommission vor, die den DSA besser handhabbar machen sollen; diese sind frühestens Ende 2023 zu erwarten. Behördliche Praxis ist ebenso noch nicht vorhanden, und erste gerichtliche Entscheidungen sind erst in der Zukunft, verstärkt nach dem allgemeinen Inkrafttreten im Februar 2024, zu erwarten. Bereits jetzt zeichnen sich eine Reihe offener Fragestellungen ab.

Anwendungsbereich für bestimmte Anbieter

Auf wen ist der DSA anwendbar?

Wegen der umfassenden vom DSA auferlegten Pflichten gilt es für alle potenziellen Adressaten, frühzeitig die Anwendbarkeit des DSA auf das eigene Angebot zu klären. Dabei besteht zum einen die Herausforderung, dass der DSA einen potenziell sehr weiten Anwendungsbereich auf unterschiedlichste Angebote und Anbieter hat, zum anderen, dass der DSA auch einzelne Teilaspekte eines Angebots erfassen kann. Dabei sind die Auswirkungen teils weitreichend und erfordern umfassende Vorbereitung, während es zugleich noch kaum Auslegungshilfen für die Rechtsanwendung gibt, auf die zurückgegriffen werden kann.

Vermittlungsdienst

Ausgangspunkt für die Bestimmung des persönlichen Anwendungsbereichs ist Art. 2 (1) und Art 2 (2) DSA, wonach immer ein „Vermittlungsdienst“ vorausgesetzt ist. Vermittlungsdienste werden in Art. 3 lit. g) (i) bis (iii) definiert als „reine Durchleitung“ (i), „Caching“ (ii) oder „Hosting“ (iii). Bei der Auslegung dieser Begriffe kann vorerst auf die aus der E-Commerce Richtlinie (Art. 12-14) bekannte Abgrenzung zwischen Access-, Cache- und Host- Providern zurückgegriffen werden.

Keine Anwendung auf Content Provider

Auf Anbieter eigener Inhalte findet der DAS demnach keine Anwendung, wie z.B. Anbieter von Video- oder Audiocontent oder Games. Das ergibt sich neben dem eindeutigen Wortlaut auch aus Erwägungsgrund 18. Dieser bestimmt, dass die Haftungsprivilegierungen (d.h. die Art. 4 ff. des DSA) nicht für Inhalte von Anbietern gelten, die von diesen selbst bzw. unter ihrer redaktionellen Verantwortung erstellt werden. In diesem Fall ist der Anbieter als Content Provider regelmäßig ohnehin für seine eigenen Inhalte verantwortlich.

Hybride Angebote – Hybride Anwendung – Nebenfunktionen

Dabei gibt es nicht immer ein klares „entweder – oder“ der Anwendbarkeit: So kann ein vom selben Anbieter erbrachter Dienst oder Teil eines Dienstes unter den DSA fallen kann, andere Angebote desselben Anbieters, oder andere Teile eines Dienstes, dagegen nicht. Das ergibt sich aus Erwägungsgrund 15. Umgekehrt gelten dann die Bestimmungen des DSA auch nur insoweit, als die jeweiligen Teile in den Anwendungsbereich des DSA fallen.

Allerdings sieht Art. 3 lit. (i) DSA für Online-Plattformen eine Ausnahme vor. Wenn das Hosting, d.h. die Speicherung von Informationen im Auftrag eines Nutzers, nur eine unbedeutende reine „Nebenfunktion“ eines anderen Dienstes oder unbedeutende Funktion eines „Hauptdienstes“ darstellt, soll unter bestimmten weiteren Voraussetzungen allein deswegen noch keine Online-Plattform vorliegen. Ob diese Ausnahme nur für den beschriebenen Bereich der Online-Plattformen gilt, oder ob im Rahmen des DSA allgemein eine Abgrenzung nach Haupt- und unbedeutenden Nebenfunktionen denkbar ist, muss gegenwärtig noch als offen angesehen werden.

Das Verhältnis des DSA zu anderen EU-Regelungen

Vielzahl von Regelungsbereichen betroffen

Da der DSA eine Fülle verschiedener Regelungsbereiche berührt und - sehr weitreichend - für unterschiedlichste Arten rechtswidriger Inhalte gilt, stellt sich die Frage nach der Abgrenzung zu anderen Gesetzen. Dazu bestimmt zunächst Art. 2 (3) DSA, dass der DSA „keine Auswirkungen“ auf die E-Commerce-Richtline hat. Das ist allerdings nur zum Teil richtig, denn nach Art. 89 (1) DSA werden die Haftungsregelungen der E-Commerce-Richtlinie aufgehoben und faktisch durch die Art 4 ff. DSA ersetzt. Entsprechend gelten Bezugnahmen in der E-Commerce-Richtlinie auf deren Art. 12-15 als Bezugnahme auf Art. 4, 5, 6 und 8 des DSA (Art 89 (2) DSA). Im deutschen Recht dürften entsprechend die Haftungsregelungen der §§ 7-10 TMG aufzuheben sein.

Abgrenzung

Nach Art 2 (4) DSA sollen wiederum solche EU-Regelungen „unberührt bleiben“, die andere Aspekte der Erbringung von Vermittlungsdiensten im Binnenmarkt regeln oder die den DSA „präzisieren und ergänzen“. Genannt sind insbesondere die EU-Regelungen zum Urheberrecht, die Verbraucherschutz- und Produktsicherheitsregelungen und das Datenschutzrecht, insbesondere die DSGVO und die e-Privacy-Richtlinie. In den Erwägungsgründen sind insbesondere auch die Richtline über Audiovisuelle Mediendienste (AVMD-Richtlinie), die Platform-to-Business-VO, die VO zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, die UGP-Richtlinie, die Verbraucherrechte-Richtline, die Klausel-Richtlinie, zudem im Urheberrecht die InfoSoc-Richtlinie, die Enforcement-Richtlinie und die DSM-Urheberrechtsrichtlinie, darüber hinaus die Europäischen Regelungen des internationalen Privatrechts und des Internationalen Zivilverfahrensrechts genannt. Solche Regelungen werden den Bestimmungen des DSA dann – wohl im Sinne eines „lex specialis“ – vorgehen.

Wann jedoch solche „anderen Aspekte“ geregelt werden. d.h. wann der DSA durch andere Gesetze präzisiert oder ergänzt wird, sagt der DSA nicht. Die Abgrenzung ist von nicht zu unterschätzender Tragweite, weil sich auch die Sanktionen der jeweiligen Regelungen unterscheiden. Als Beispiel sind die „Diensteanbieter für das Teilen von Online-Inhalten“ („OCSSP`s“) nach der DSM-Urheberrechtsrichtlinie zu nennen. Diese sind zwar in der Regel Hosting-Provider im Sinne des Art. 6 DSA; trotzdem nehmen sie nach Art. 17 der DSM-Urheberrechtsrichtlinie eine eigene Handlung der öffentlichen Zugänglichmachung vor und können sich unter den Voraussetzungen der DSM-Urheberrechtsrichtline von dieser Verantwortlichkeit „befreien“. Damit stellt sich die Frage, ob (und wenn ja in welchem Umfang) die Haftungsprivilegierung nach Art. 6 DSA bei den in Art 17 DSM-Urheberrechtsrichtline geregelten Fälle zur Anwendung kommen kann; außerhalb ihres Anwendungsbereichs kann dagegen Raum für den DSA bleiben. Schon dieses Beispiel zeigt, dass eine sehr genaue Abgrenzung im Einzelfall vorzunehmen ist. Je genauere Regelungen die Spezialgesetze für bestimmte Bereiche vorsehen, desto eher werden sie dadurch den DSA verdrängen.

Bestehende nationale Gesetze

Gleichzeitig werden bestimmte nationale Gesetze durch den DSA verdrängt. So wird - neben den bereits genannten Regelungen im TMG - davon ausgegangen, dass das NetzDG, das ebenfalls den Umgang von Plattformen mit illegalen Inhalten regelt und sich in wichtigen Teilen mit dem DSA überschneidet, aufzuheben sein wird. Dem Vernehmen nach plant die Bundesregierung, im ersten Halbjahr 2023 ein entsprechendes Gesetz vorzulegen.

Verbot von „Dark Patterns“

Nur scheinbar rechtliches Neuland betritt des DSA mit dem Verbot sog. „Dark Patterns“ in Art. 25 (und Art. 31) DSA.

Definition von „Dark Patterns“

Der regelnde Teil des DSA selbst enthält keine Definition für „Dark Patterns“. Hierfür müssen vielmehr die Erwägungsgründe herangezogen werden. Laut Erwägungsgrund 67 sind „Dark Patterns“ Praktiken, die darauf abzielen, dass Nutzer keine autonome und informierte Auswahl oder Entscheidung treffen. Dabei geht es weniger um den Inhalt von (z.B. Werbe-) Aussagen, sondern in erster Linie um den „Aufbau, die Gestaltung oder die Funktionen“ von Online-Schnittstellen (d.h. vor allem Websites oder Apps), etwa weil die Auswahlmöglichkeiten nicht in einer neutralen Weise präsentiert werden, indem bestimmte Auswahlmöglichkeiten „durch visuelle, akustische oder sonstige Elemente stärker hervorgehoben werden“ - eine Thematik, die zuletzt vor allem von den Datenschutz-Aufsichtsbehörden im Zusammenhang mit Cookie-Bannern diskutiert wurde. Genannt wird auch die Praxis, einen Nutzer wiederholt aufzufordern, eine bereits getroffene Auswahl neu zu treffen, oder die Erschwerung der Kündigung im Vergleich zur Anmeldung, schwer zu ändernde Standardeinstellungen, sowie die Irreführung von Nutzern dadurch, dass diese zu bestimmten Transaktionen verleitet werden. Entscheidendes Kriterium ist dabei, dass die Entscheidungsfreiheit der Nutzer beeinträchtigt oder behindert wird (s. Art. 25 (1) DSA).

Rechtliche Gemengelage: DSA, UGP-Richtlinie, DSGVO, Verbraucherrechte-Richtlinie

Rechtlich besteht eine Gemengelage, da „Dark Patterns“ nicht nur vom DSA adressiert werden. Insoweit wird abzugrenzen sein, ob der DSA oder andere Regelungen vorrangig anzuwenden sind. „Dark Patterns“ können vor allem auch von der Richtline über unlauter Geschäftspraktiken (UGP-Richtlinie) wie auch von der DSGVO erfasst werden. Unter der UGP-Richtline kommt vor allem ein Verstoß gegen das allgemeine Verbot unlauterer Geschäftspraktiken (Art. 5), das Verbot der Irreführung (Art. 6-7 UGP-Richtlinie) oder einer aggressiven Praxis (Art. 8-9 UGP-Richtlinie) in Betracht, zudem ein Verstoß gegen bestimmte Regelbeispiele der „schwarzen Liste“ der UGP-Richtline (Anhang I, v.a. Ziffern 5, 6, 7, 18, 19, 31, 20 und 26). Beispiele sind unterschiedlich gut sichtbare Schaltflächen, Fangfragen, irreführende kostenlose Proben und Abo-Fallen oder „con-firmshaming“. Zahlreiche Beispiele dazu finden sich in den Leitlinien der Kommission zur Auslegung und Anwendung der UGP-Richtlinie (2021/C 526/01) .

Dark Patterns können darüber hinaus auch einen Verstoß gegen die DSGVO darstellen, vor allem gegen Prinzipien des Art. 5 DSGVO, gegen die Anforderungen an die Einwilligung, die freiwillig, spezifisch und informiert erteilt werden muss (Art. 4 Nr. 11, Art. 7 DSGVO), gegen Transparenzanforderungen, und gegen den Grundsatz von „Privacy by design“ (Art. 25 DSGVO). Eine Reihe von Beispielen finden sich in den Guidelines 3/2022 zu „Dark patterns in social media platform interfaces“ des EDSA vom 14.03.2022. Zu beachten ist dabei, dass die UGP-Richtlinie und die DSGVO dem DSA vorgehen (Art. 25 (2) DSA).

Im Bereich des Cookie Consent Management können Dark Patterns schließlich ebenfalls einer wirksamen Einwilligung im Sinne des Art. 5 (3) der e-Privacy-Richtlinie (in Deutschland: § 25 TTDSG) entgegenstehen. Ausführungen dazu finden sich vor allem in den Stellungnahmen der die Datenschutz- Aufsichtsbehörden unter dem Stichwort des unzulässigen „Nudging“ (s. DSK, OH Telemedien v. 1. Dezember 2021, Stand Dezember 2022; LfD Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, Stand September 2022).

Standardmäßige Voreinstellungen im Falle bereits aktivierter Auswahlkästchen, die Zusatzentgelte für Nebenleistungen betreffen, sind zudem auch nach Art. 22 der Verbraucherrechterichtline unzulässig.

Genannt werden „Dark Patterns“ auch in der Entschließung des Europäischen Parlaments vom 18. Januar 2023 zu Verbraucherschutz in Videospielen (Consumer Protection in online video games: a European single market approach, 2022/2024/(INI)) als einer der Bereiche, der gegebenenfalls noch einer weitere rechtlichen Regelung bedarf.

Die Frage, welche Regelung einschlägig und welche vorrangig ist, wird bei „Dark Patterns“ daher in Zukunft noch intensiv diskutiert werden.