DSA-Compliance: Wer ist betroffen?

Nach den allgemeinen Ausführungen zum DSA, sollen jetzt die spezifischeren Voraussetzungen adressiert werden. Für die Anwendbarkeit des Digital Services Act (DSA) spielt der Sitz des eigenen Unternehmen nur eine untergeordnete Rolle. Zunächst kommt es auf die angebotenen Dienste  des Unternehmens an und ob sich die Nutzer dieser Dienste in der EU befinden.  

Erst auf einer zweiten Ebene wird eine „wesentliche Verbindung“ des Unternehmens zur EU vorausgesetzt (Art. 3 lit. d DSA). Dies kann sich beispielsweise durch einen Sitz in der EU ergeben. Möglich ist eine solche wesentliche Verbindung auch durch eine Ausrichtung auf den europäischen Markt. Hinweise für eine solche Ausrichtung kann unter anderem die angebotene Währung oder Sprache sein. Zudem könnte bereits eine für die EU ausgerichtete Datenschutzrichtlinie ein solcher Hinweis sein.

Allgemein lässt sich sagen, dass alle Unternehmen vom DSA erfasst sind, die den User Generated Content ihrer Nutzer speichern und übermitteln. Das sind Anbieter von Chat-, Cloud-Diensten, Video-Portalen oder Online-Portale, in denen sich Nutzer über Produkte und Dienstleistungen mittels Kommentaren und Bewertungen austauschen können. Zu denken wäre konkret etwa an die Spielebewertungsplattform Metacritic oder der Community Bereich von Steam. Für den Bereich Musik kommt das Lyrics-Portal Genius in Betracht. Auf diesem tauschen sich Fans zu Ihren Interpretationen und Deutungen von Songtexten aus. Im Kontext von Filmen und Serien ist an die Bewertungen und umfangreichen Rezensionen auf IMDb zu denken. 

Auch innerhalb von Spielen erbrachte Dienste können unter den DSA fallen. Auf einem öffentlichen Minecraft-Server ist nicht nur der serverweite Chat Kandidat für einen Vermittlungsdienst. Auch die Möglichkeit des Bauens verschiedenster Figuren und Gebäude ermöglicht einen potentiell DSA-relevanten Austausch zwischen Nutzern.

Beim Umfang der DSA-Pflichten ist ein abgestufter Regelungsansatz zu erkennen. Die Pflichten für Online-Plattformen (Art. 19-28 DSA) gelten nicht für Klein- oder Kleinstunternehmer. Die Ausnahme greift für wirtschaftlich tätige Unternehmen mit weniger als 50 Mitarbeitern und dessen Jahresumsatz 10 Mio. EUR nicht übersteigt. Eine eindeutige Ausnahme für gemeinnützige Organisation oder Privatpersonen legt der DSA nicht fest, sodass die Kleinunternehmer-Ausnahme im Zweifel nicht greift. Denkbar wäre die Deutung, dass jede Erbringung eines Vermittlungsdienstes mit einer wirtschaftlichen Tätigkeit im Sinne des DSA einhergeht. Dann würden auch nicht unternehmerische Organisationen oder Privatpersonen von den Ausnahmen für Kleinunternehmen profitieren. 

Mit Blick auf den weiten Anwendungsbereich bleiben Unternehmen nur wenige Optionen, um die Anwendbarkeit des DSA zu vermeiden. Eine Möglichkeit für nichteuropäische Unternehmen ohne Sitz in der EU wäre die vollständige Einstellung des Angebots an Nutzer der EU durch den Einsatz von Geoblocking. Einige Unternehmen außerhalb der EU haben dieses Mittel eingesetzt, um damals den Pflichten der DSGVO zu entgehen. Allerdings ist dieser Ansatz für viele Unternehmen mit einer wesentlichen Verbindung zur EU nicht praktikabel. Oft wird bei Vorhandensein einer solchen Verbindung zur EU eine entsprechende Relevanz des europäischen Markts für das jeweilige Unternehmen bestehen. Ein Exit aus dem europäischen Markt wäre in diesem Fall nicht denkbar.
Eine Vermeidung der Anwendbarkeit ist daher keine empfehlenswerte Option. Entsprechend werden wir in den kommenden Beiträgen auf die praktische Umsetzung der abgestuften Pflichtenvorgaben des DSA eingehen.
 

Maximilian Kroker / Kai Bodensiek