Was der Digital Services Act
für dein Unternehmen bedeutet

Der DSA gilt nicht nur für große Tech-Konzerne wie Google oder Amazon, sondern für alle Anbieter von Vermittlungsdiensten, die in der EU Dienstleistungen erbringen. Dabei ist es unerlässlich zu verstehen, ob dein Unternehmen Sitz in Österreich hat oder ob du deine digitalen Dienste gezielt auf den österreichischen oder europäischen Markt ausrichtest. Die Verordnung unterscheidet vier Hauptkategorien von Diensten:

• Reine Durchleitungsdienste (Mere Conduit), wie Internet-Anbieter.
• Caching-Dienste, die Daten zwischenspeichern.
• Hosting-Dienste, die Daten im Auftrag von Nutzern speichern.
• Online-Plattformen, die Informationen nicht nur speichern, sondern auch öffentlich verbreiten.

Wenn du also eine Webseite mit einer Kommentarfunktion, einen Online-Marktplatz oder ein eigenes Branchenverzeichnis betreibst, bist du von den neuen Regelungen betroffen.

Wichtige Abgrenzung: klassischer Webshop

Betreibst du einen eigenen Online-Shop, in dem du ausschließlich deine eigenen Waren oder Dienstleistungen anbietest und der nicht in einen Marktplatz oder eine Online-Plattform eingebunden ist, fällt dieser Shop nach der gängigen Auslegung in Österreich in der Regel nicht unter die DSA-Pflichten für Online-Plattformen. Der DSA richtet sich an Anbieter, die als Vermittler zwischen Nutzern und Dritten tätig sind – nicht an jeden E-Commerce-Auftritt.

DSA-relevant wird es typischerweise, wenn du z. B. einen Marktplatz mit fremden Verkäufern betreibst, ein Branchenverzeichnis mit öffentlichen Einträgen Dritter führst oder Nutzerinhalte öffentlich zugänglich machst (etwa Kommentare, Bewertungen oder Foren). Dann kann aus dem Shop oder der Website ein Hosting-Dienst oder eine Online-Plattform im Sinne des DSA werden. Für reine Unternehmenswebsites ohne solche Funktionen sind die DSA-Anforderungen meist nicht einschlägig – andere Vorschriften (z. B. Impressum, Datenschutz, Verbraucherschutz) gelten unabhängig davon weiter.

Der DSA folgt einem asymmetrischen Regulierungsansatz. Das bedeutet: Je größer dein digitaler Dienst und je höher das Risiko für die Gesellschaft ist, desto strenger sind die Auflagen:

• Am härtesten reguliert sind sehr große Online-Plattformen (Very Large Online Platforms, VLOPs)
• Sehr große Online-Suchmaschinen (Very Large Online Search Engines, VLOSEs) mit mehr als 45 Millionen aktiven Nutzern in der EU.
• Für dich als KMU oder größeres nationales Unternehmen in Österreich greifen meist die Stufen der Hosting-Dienste oder der klassischen Online-Plattformen.
• Wichtig zu wissen ist, dass Kleinst- und Kleinunternehmen (unter 50 Mitarbeiter und weniger als 10 Millionen Euro Jahresumsatz) von bestimmten, besonders bürokratischen Pflichten für Online-Plattformen ausgenommen sind. Die Grundpflichten zur Transparenz und zum Umgang mit illegalen Inhalten treffen dich jedoch trotzdem.

Praxisbeispiel 1: Der klassische B2B-Online-Marktplatz

Betreibst du einen digitalen Marktplatz in Wien, über den österreichische Handwerker ihre Dienstleistungen oder Produkte an Endkunden verkaufen können? In diesem Fall stuft dich der DSA als Online-Plattform ein. Du speicherst nicht nur die Daten der Händler, sondern machst sie der Öffentlichkeit zugänglich. Nach dem DSA musst du nun sicherstellen, dass du die Identität dieser gewerblichen Verkäufer überprüfst (Know Your Business Customer). Du musst vorab Name, Adresse und Bankverbindung abfragen, um zu verhindern, dass anonym illegale Waren oder Dienstleistungen angeboten werden. Zudem musst du deine Plattform so gestalten, dass Verbraucher leicht erkennen können, wer der tatsächliche Vertragspartner ist.

Praxisbeispiel 2: Ein SaaS-Anbieter mit Cloud-Speicher für Kunden

Nehmen wir an, dein Unternehmen bietet eine Software-as-a-Service (SaaS) Lösung für die Personalabteilung an, bei der Kunden Dokumente, Lebensläufe oder Verträge hochladen und teilen können. Hier agierst du primär als Hosting-Dienstleister. Du machst diese Daten im Regelfall nicht der breiten Öffentlichkeit zugänglich, speicherst sie aber im Auftrag des Nutzers. Deine Pflichten unter dem DSA konzentrieren sich hier darauf, klare Prozesse zu etablieren, falls dir rechtswidrige Inhalte gemeldet werden. Du musst einen leicht zugänglichen elektronischen Kontaktpunkt für Behörden und Nutzer bereitstellen und in deinen AGB transparent erklären, unter welchen Bedingungen du Inhalte sperrst oder Konten kündigst.

Praxisbeispiel 3: Online-Shop nur mit eigenen Produkten

Du verkaufst über deine Website ausschließlich eigene Produkte, ohne dass andere Händler über deinen Shop verkaufen und ohne öffentliche Nutzerforen. In diesem Fall bist du typischerweise kein DSA-Online-Plattform-Betreiber. Sobald du jedoch z. B. Marktplatz-Funktionen, öffentliche Bewertungen Dritter oder ein Community-Forum einführst, solltest du dein Modell neu einordnen.

Eine der Kernpflichten für Hosting-Dienste und Online-Plattformen ist die Einrichtung eines Melde- und Abhilfeverfahrens, bekannt als Notice-and-Action. Nutzer müssen in der Lage sein, rechtswidrige Inhalte auf deiner Plattform unkompliziert zu melden. Wenn du eine solche Meldung erhältst, darfst du sie nicht ignorieren. Du musst unverzüglich prüfen, ob der Inhalt tatsächlich gegen geltendes Recht verstößt, und ihn gegebenenfalls entfernen oder den Zugang sperren. Das Verfahren muss präzise, transparent und frei von Diskriminierung ablaufen.

Der DSA verlangt von dir keine allgemeine Überwachungspflicht aller Inhalte im Vorfeld. Du musst erst aktiv werden, sobald du konkrete Kenntnis von einer Rechtsverletzung erlangt hast.

Transparenz ist das oberste Gebot des DSA. Als betroffenes Unternehmen musst du deine Allgemeinen Geschäftsbedingungen so anpassen, dass sie für deine Nutzer leicht verständlich sind. Du musst darin genau festlegen, welche Beschränkungen bezüglich der von den Nutzern bereitgestellten Informationen gelten. Darüber hinaus sind viele Plattformen verpflichtet, mindestens einmal jährlich einen Transparenzbericht zu veröffentlichen. In diesem Bericht musst du offenlegen, wie viele Meldungen über illegale Inhalte du erhalten hast, die Dauer der Bearbeitung, welche Maßnahmen (Sperrung, Löschung) du ergriffen hast und wie oft automatisierte Systeme zur Moderation eingesetzt wurden.

Der DSA verbietet Dark Patterns. Das sind manipulative Designs von Benutzeroberflächen, die Nutzer dazu verleiten sollen, Entscheidungen zu treffen, die sie eigentlich nicht wollen – beispielsweise die versteckte Einwilligung in Abonnements oder die absichtlich erschwerte Kündigung eines Dienstes.

Wenn du Online-Werbung auf deiner Plattform ausspielst, kommen weitere Pflichten auf dich zu. Du musst für jeden Nutzer in Echtzeit Werbung erkennbar machen, wer der Werbetreibende ist und anhand welcher Hauptkriterien diese spezifische Werbung für den Nutzer ausgewählt wurde.

Zudem ist zielgerichtete Werbung auf Basis sensibler personenbezogener Daten (wie Religion oder politische Orientierung) sowie jegliches Profiling bei Minderjährigen strikt untersagt.

In Österreich sind für den Digital Services Act mehrere Stellen zuständig – mit unterschiedlichen Aufgaben:

KommAustria als Koordinator für digitale Dienste (KDD)

Die unabhängige Medienbehörde KommAustria wurde im Koordinator-für-digitale-Dienste-Gesetz (KDD-G) gemäß Art. 49 Abs. 2 DSA als Koordinator für digitale Dienste (englisch: Digital Services Coordinator, DSC) benannt. Sie ist die zentrale österreichische Aufsichtsbehörde für die Überwachung und Durchsetzung des DSA bei in Österreich niedergelassenen Anbietern digitaler Dienste. An sie wendest du dich bei regulatorischen Fragen, bei der Zusammenarbeit mit der EU-Ebene und im Zusammenhang mit der nationalen Durchsetzung des DSA. Seit dem 17. Februar 2024 gelten für diese Anbieter die Bestimmungen des KDD-G.

RTR als außergerichtliche Streitbeilegungsstelle

Die Rundfunk und Telekom Regulierungs-GmbH (RTR), Fachbereich Medien, ist nach § 2 Abs. 4 KDD-G nicht der Koordinator, sondern die in Österreich vorgesehene außergerichtliche Streitbeilegungsstelle nach Art. 21 DSA. Sie kommt vor allem dann ins Spiel, wenn gewerbliche oder private Nutzer mit Entscheidungen einer Online-Plattform unzufrieden sind – etwa bei Entfernung oder Sperrung von Inhalten, Einschränkung der Anzeige, Aussetzung des Dienstes oder Schließung eines Kontos – und das interne Beschwerdeverfahren der Plattform nicht ausreicht. Die Befassung ist für Nutzer in der Regel kostenlos.

EU-Kommission bei sehr großen Plattformen

Sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs) mit mindestens 45 Millionen aktiven Nutzern in der EU unterliegen der primären Aufsicht der Europäischen Kommission, nicht der nationalen Koordinatoren.

Weiterführende offizielle Informationen findest du in der Übersicht der WKO sowie im Wortlaut der Verordnung auf Eur-Lex.

Die Einhaltung des DSA ist kein Kavaliersdelikt. Bei schwerwiegenden oder anhaltenden Verstößen gegen die Auflagen der Verordnung drohen empfindliche finanzielle Sanktionen. Die nationalen Behörden können Bußgelder von bis zu 6 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Bei unrichtigen, unvollständigen oder irreführenden Angaben im Rahmen von Auskunftsersuchen können Strafen von bis zu 1 Prozent des Jahresumsatzes fällig werden.

Neben den direkten Bußgeldern droht deinem Unternehmen bei Missachtungen ein erheblicher Reputationsschaden, der das Vertrauen deiner Kunden nachhaltig beschädigen kann.

Um dein Unternehmen rechtssicher aufzustellen, kannst du diese Checkliste abarbeiten:

• Analysiere dein digitales Geschäftsmodell und bestimme deine genaue Rolle (Hosting-Dienst oder Online-Plattform) sowie deine Unternehmensgröße nach EU-Definition.
• Richte leicht auffindbare, elektronische Kontaktpunkte für Nutzer und Behörden auf deiner Webseite ein.
• Implementiere ein funktionierendes Meldesystem für illegale Inhalte.
• Überarbeite deine AGB und Datenschutzerklärungen und formuliere die Regeln zur Inhaltsmoderation verständlich aus.
• Prüfe dein Webdesign auf unzulässige Dark Patterns und stelle sicher, dass Werbeplatzierungen den Transparenzanforderungen genügen.