Neues Digitale-Dienste-Gesetz (DDG): Was bedeutet das für Impressum und Datenschutz auf meiner Webseite

Mithilfe des DSA sollen illegale Inhalte im Netz schneller identifiziert und entfernt werden. Hosting-Dienstleister stehen dabei in besonderer Verantwortung – unabhängig von Unternehmensgröße oder Umsatz bzw. es gibt nur kleinere Einschränkungen (siehe Wer ist betroffen – und wer nicht?)

Eines vorweg: Der Anwendungsbereich der Verordnung ist nach aktuellem Stand relativ weit gefasst und es ist stellenweise nicht eindeutig geregelt, wer die Pflichten in der Praxis tatsächlich in welcher Form umsetzen muss.

Grundsätzlich gilt der DSA für alle Online-Dienstleister, die im Auftrag des Nutzers Inhalte Dritter speichern bzw. bereitstellen - also Anbieter von sogenannten Webhosting- bzw. Vermittlungs-Diensten:

Definition nach DSA Art. 3 i):

i) „Vermittlungsdienst“ eine der folgenden Dienstleistungen der Informationsgesellschaft:

i) eine „reine Durchleitung“, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln oder den Zugang zu einem Kommunikationsnetz zu vermitteln,

ii) eine „Caching“-Leistung, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine  automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten,

iii) „Hosting“-Dienst, der darin besteht, von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern;

Auf einen Blick:

• Alle, die Hosting-Dienste anbieten, darunter klassische Webhosting-Dienstleister, Cloud-Anbieter oder Seiten mit Kommentarfunktionen
• Ausnahmen gelten für Kleinst- und Kleinunternehmen bei bestimmten Berichtspflichten
• Webshops ohne Kommentare/Bewertungen sind unter Umständen von den Pflichten ausgenommen

Es gibt ein paar Argumente, warum Webshops nicht unter diese Definition fallen
(Quelle: https://www.it-recht-kanzlei.de/eu-digital-services-act-webshops-kein-hosting-dienst.html):

Ein Webshop gilt nur dann als Hosting-Dienst im Sinne des DSA, wenn er Inhalte speichert, die ein Nutzer in dessen Auftrag bereitstellt.

• Gespeicherte Daten wie IP-Adressen, Bestell- oder Kontaktdaten werden vom Shop zwar erhoben und verarbeitet – aber nicht im Auftrag des Nutzers, sondern zur Erfüllung eigener Pflichten (z. B. Vertragsabwicklung, Datenschutz, Sicherheit)
• Kommentare oder Bewertungen könnten eher als nutzergenerierter Inhalt gelten – doch auch hier fehlt meist ein individueller Auftrag oder ein Vertrag über die Speicherung.
  → Die Funktion zur Kommentierung ist in der Regel faktisch bereitgestellt, ohne dass zwischen Nutzer und Webshop ein konkretes Rechtsverhältnis über Speicherung und Veröffentlichung besteht

Fazit:
Die reine Datenverarbeitung im Rahmen einer Bestellung erfüllt nicht die Voraussetzungen für einen Hosting-Dienst. Selbst nutzergenerierte Inhalte (z. B. Bewertungen) sind nur dann relevant, wenn ihre Speicherung ausdrücklich im Auftrag des Nutzers erfolgt – was bei den meisten Webshops nicht der Fall ist.

1. Zentrale Kontaktstelle einrichten (Art. 11 & 12 DSA)

   Kontaktstelle für Behörden (Art. 11 DSA)
   Webseitenbetreiber müssen eine zentrale elektronische Kontaktstelle angeben, über die Behörden, die EU-Kommission oder das zuständige Gremium bei Fragen zur Umsetzung des DSA erreichbar sind.
   Bedingungen:
   → Die Kontaktstelle muss öffentlich zugänglich sein und aktuell gehalten werden.
   → Es muss angegeben werden, in welchen Sprachen die Kommunikation möglich ist – mindestens eine davon muss die Amtssprache des Niederlassungsstaats sein (z. B. Deutsch in Deutschland)

   Kontaktstelle für Nutzer (Art. 12 DSA)
   Auch für Nutzer Ihrer Dienste muss eine elektronische Kontaktmöglichkeit bestehen, über die eine direkte Kommunikation möglich ist.
   Bedingungen:
   → Nutzer dürfen nicht ausschließlich mit einem Bot kommunizieren – es muss auch eine nicht automatisierte Option geben
   → Auch hier sollten die Kontaktdaten gut sichtbar und immer aktuell gehalten werden
   
   Tipp/Hinweis in der Praxis:
   Die Kontaktstellen dürfen identisch sein – etwa eine zentrale E-Mail-Adresse wie Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein..
   Eine Platzierung im Impressum wird empfohlen, da diese Seite bereits rechtlich standardisiert auffindbar ist.
   Achten Sie darauf, den Hinweis auf die verfügbaren Sprachen bei der Behörden-Kontaktstelle klar zu benennen, z. B. „Kommunikation möglich in Deutsch und Englisch“.

   Checkliste:

   • E-Mail-Adresse in der Regel ausreichend
   • Für beide Anfragen ist dieselbe Kontaktstelle möglich
   • Angabe der verfügbaren Sprachen
   • Kommunikation darf nicht rein automatisiert sein
   • Leicht auffindbar (z. B. Impressum)

2. Meldeverfahren für rechtswidrige Inhalte

Melde- und Abhilfeverfahren (Art. 16 DSA)

1. Die Hostingdiensteanbieter richten Verfahren ein, nach denen Personen oder Einrichtungen ihnen das Vorhandensein von Einzelinformationen in ihren Diensten melden können, die die betreffende Person oder Einrichtung als rechtswidrige Inhalte ansieht. Diese Verfahren müssen leicht zugänglich und benutzerfreundlich sein und eine Übermittlung von Meldungen ausschließlich auf elektronischem Weg ermöglichen.

2. Mit den in Absatz 1 genannten Verfahren muss das Übermitteln hinreichend genauer und angemessen begründeter Meldungen erleichtert werden. Dazu ergreifen die Hostingdiensteanbieter die erforderlichen Maßnahmen, um die Übermittlung von Meldungen zu ermöglichen und zu erleichtern, die alle folgenden Elemente enthalten:

   1. eine hinreichend begründete Erläuterung, warum die betreffende Person oder Einrichtung die fraglichen Informationen als rechtswidrige Inhalte ansieht;
   2. eine eindeutige Angabe des genauen elektronischen Speicherorts dieser Informationen, etwa die präzise URL-Adresse bzw. die präzisen URL-Adressen, oder, soweit erforderlich, weitere, hinsichtlich der Art der Inhalte und der konkreten Art des Hostingdienstes zweckdienliche Angaben zur Ermittlung der rechtswidrigen Inhalte;
   3. den Namen und die E-Mail-Adresse der meldenden Person oder Einrichtung, es sei denn, es handelt sich um Informationen, bei denen davon ausgegangen wird, dass sie eine in den Artikeln 3 bis 7 der Richtlinie 2011/93/EU genannte Straftat betreffen;
   4. eine Erklärung darüber, dass die meldende Person oder Einrichtung in gutem Glauben davon überzeugt ist, dass die in der Meldung enthaltenen Angaben und Anführungen richtig und vollständig sind.

3. Die im vorliegenden Artikel genannten Meldungen bewirken, dass für die Zwecke des Artikels 6 von einer tatsächlichen Kenntnis oder einem Bewusstsein in Bezug auf die betreffende Einzelinformation ausgegangen wird, wenn sie es einem sorgfältig handelnden Anbieter von Hostingdiensten ermöglichen, ohne eingehende rechtliche Prüfung festzustellen, dass die einschlägige Tätigkeit oder Information rechtswidrig ist.

4. Enthält die Meldung die elektronische Kontaktangabe der meldenden Person oder Einrichtung, so schickt der Hostingdiensteanbieter dieser Person oder Einrichtung unverzüglich eine Empfangsbestätigung.

5. Ferner teilt der Anbieter der betreffenden Person oder Einrichtung unverzüglich seine Entscheidung in Bezug auf die gemeldeten Informationen mit und weist dabei auf die möglichen Rechtsbehelfe gegen diese Entscheidung hin.

6. Die Hostingdiensteanbieter bearbeiten alle Meldungen, die sie im Rahmen der in Absatz 1 genannten Verfahren erhalten, und entscheiden zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen. Wenn sie zu dieser Bearbeitung oder Entscheidungsfindung automatisierte Mittel einsetzen, machen sie in ihrer Mitteilung nach Absatz 5 auch Angaben über den Einsatz dieser Mittel.

Im Klartext: Hosting-Anbieter müssen ein Verfahren einrichten, mit dem Nutzer rechtswidrige Inhalte auf elektronischem Weg melden können.

Anforderungen:

• Leicht zugänglich und benutzerfreundlich (also möglichst wenige Hürden für den Nutzer)
• Nur elektronisch – keine Pflicht für Papierform
• Mindestangaben, die eine Meldung enthalten sollte:
  → Begründung, warum der Inhalt rechtswidrig ist
  → Genaue URL oder Speicherort des Inhalts
  → Wenn jemand rechtswidrige Inhalte meldet, sollte er in der Regel seinen Namen und seine E-Mail-Adresse angeben, aber es besteht keine Pflicht.
  Warum is es keine Pflicht?
  Falls sich die Meldung auf Inhalte bezieht, die im Zusammenhang mit besonders schweren Straftaten nach den Artikeln 3–7 der EU-Richtlinie 2011/93/EU stehen, müssen diese Kontaktdaten nicht angegeben werden.
  Die Artikel 3–7 der Richtlinie betreffen insbesondere Straftaten im Bereich des sexuellen Missbrauchs und der Ausbeutung von Kindern sowie Kinderpornografie.
  Der Gedanke dahinter:
  Opfer, Hinweisgeber oder andere Personen sollen solche Inhalte anonym melden können, ohne ihre Identität preiszugeben – einerseits, um sie zu schützen, und andererseits, um die Meldung zu erleichtern.

• Erklärung, dass die Angaben nach bestem Wissen korrekt sind

Ablauf nach Eingang:

• Empfangsbestätigung (wenn E-Mail-Kontakt angegeben)
• Prüfung der Meldung sollte zeitnah, sachlich und objektiv erfolgen
• Mitteilung der Entscheidung inkl. Begründung und Hinweis auf Rechtsmittel
• Falls automatisierte Tools genutzt wurden, muss darauf hingewiesen werden

Reicht eine E-Mail-Adresse statt eines Formulars?
Nach Art. 16 des Digital Services Act (DSA) wird kein spezielles Online-Formular direkt vorgeschrieben.
Im Umkehrschluss kann auch eine E-Mail-Adresse verwendet werden, wenn die gesetzlichen Anforderungen erfüllt werden:

• elektronisch erreichbar und leicht auffindbar (z. B. im Impressum oder Kontaktbereich)
• nicht ausschließlich automatisiert bzw. eine reale Person muss involviert sein
• alle genannten Mindestangaben sind möglich (z. B. URL, Grund der Meldung etc.)
• Versand einer Empfangsbestätigung (wenn es sich nicht um einen anonymen Absender handelt) und eine Rückmeldung mit Entscheidung

In der Praxis heißt das:

Wenn Sie nur eine E-Mail-Adresse als Meldeweg anbieten, muss es technisch und praktisch möglich sein, diese auch ohne Angabe des Absenders zu nutzen, z. B. mithilfe einer anonymen Adresse (ProtonMail, Tutanota, temporäre Maildienste).
Auch wenn die Meldung anonym ist, ist man verpflichtet, sie zu prüfen, sofern sie die anderen Pflichtangaben enthält (z. B. URL des Inhalts, Begründung etc.).
Ein Online-Formular ist zwar aufwendiger, kann aber Meldungen strukturierter gestalten und alle Pflichtangaben abfragen.
Für kleine Anbieter reicht jedoch oft eine E-Mail-Lösung, wenn sie gut betreut wird.

3. Transparenz in AGB / Verträgen

In Ihren Allgemeinen Geschäftsbedingungen (AGB) oder Nutzungsbedingungen müssen Sie darlegen, wie Sie mit Meldungen zu rechtswidrigen Inhalten umgehen. Die Verfahren sollten für alle Beteiligten nachvollziehbar dokumentiert sein.

Hinweise zur Inhaltsmoderation in den AGB (Art. 14 DSA)
Es muss öffentlich zugänglich sein und Sie sollten in klarer, verständlicher und maschinenlesbarer Sprache erklären, wie mit rechtswidrigen Inhalten umgegangen wird. Auch automatische Systeme (z. B. Algorithmen) müssen erwähnt werden.

Jährlicher Transparenzbericht (Art. 15 DSA)
Webhosting-Unternehmen müssen jährlich einen Bericht online veröffentlichen, in dem die von ihnen getroffenen Maßnahmen hinsichtlich der Inhalts-Moderationen aufgeführt sind.
Der Inhalt bezieht sich auf die Anzahl der Meldungen, Maßnahmen und Bearbeitungszeiten.

Die Pflicht gilt nur für größere Unternehmen. Ausgeschlossen sind:

• Kleinstunternehmen = Zahl der Beschäftigten (bis 9 Mitarbeiter) + Umsatz/Jahr bis 2 Mio. EUR oder Bilanzsumme/Jahr bis 2 Mio. €
• Kleine Unternehmen = Zahl der Beschäftigten (bis 49 Mitarbeiter) + Umsatz/Jahr bis 10 Mio. EUR oder Bilanzsumme/Jahr bis 10 Mio. €

Begründungspflicht bei Maßnahmen (Art. 17 DSA)
Im Fall der Sperrung oder Einschränkung von Inhalten oder Nutzern muss eine klare und nachvollziehbare Begründung abgegeben sowie Angaben zu Rechtsgrundlagen, eingesetzten Tools und Rechtsbehelfen gemacht werden. 

Meldung schwerer Straftaten (Art. 18 DSA)
Wenn Inhalte auf Straftaten hinweisen, die Leben oder Sicherheit gefährden, besteht die Pflicht zur sofortigen Meldung an Behörden oder Europol.

Sanktionen bei Verstößen

Es sind Bußgelder bis zu 6 % des globalen Jahresumsatzes möglich. Bei unterlassener Meldung drohen auch strafrechtliche Folgen, Abmahnungen oder zivilrechtliche Schadensersatzforderungen.