Das Digitale Dienste Gesetz (DDG)

Der DSA ist der erster Teil des Legislativpakets Digitale Dienste der Europäischen Kommission und soll illegale und schädliche Online-Inhalte bekämpfen.

Die Regelungen des DSA, der auch oft als das „Grundgesetz des Internets“ bezeichnet wird, gelten insbesondere für große Online-Plattformen, beispielsweise große soziale Netzwerke. Sie verpflichten diese unter anderem zu deutlich mehr Transparenz und verbraucherfreundlicherer Gestaltung ihrer Dienste. Aus datenschutzrechtlicher Perspektive sind insbesondere die Regelungen zur Datennutzung für Tracking und Profiling im Rahmen der Online-Werbung von großer Bedeutung. 

Profiling ist gemäß Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten (das heißt: Verarbeitung durch z.B. Computer, Smartphones, Tablets, etc.), bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Dabei geht es insbesondere darum, Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Diese Art von Vorhersage oder Profilbildung wird häufig dazu genutzt, Werbung gezielt an die Nutzenden digitaler Dienste auszuspielen. 

Koordinierungsstelle für Digitale Dienste

Mit Inkrafttreten des Digitale Dienste Gesetzes (DDG), der deutschen Umsetzung des DSA, wird eine nationale Koordinierungsstelle für Digitale Dienste eingerichtet, welche die Aufsicht über die Anbieter digitaler Dienste und die Koordination von Beschwerden nach DSA übernimmt. Diese Aufgabe fällt in Deutschland der BNetzA zu.

Gemäß § 12 Abs. 3 DDG, ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die zuständige Behörde für die Durchsetzung der in Art. 26 Abs. 3 und 28 Abs. 2 DSA enthaltenen Werbeverbote: Das Verbot, profilbasierte Werbung gegenüber Minderjährigen auszuspielen und das Verbot, Werbung auch gegenüber Erwachsenen auszuspielen, wenn für die Profilbildung sogenannte besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verwendet wurden. Beschwerden, die die Zuständigkeit der BfDI betreffen, werden von der zentralen Beschwerdestelle der BNetzA koordiniert an die BfDI übergeben.

Artikel 26 Absatz 3 DSA: Werbung aufgrund von Artikel 9 Daten

Nach Artikel 26 Absatz 3 DSA ist es Anbietern von Online-Plattformen untersagt, „Nutzenden Werbung anzuzeigen, die auf Profiling gemäß Artikel 4 Nummer 4 der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO beruht.“ Dieses Verbot gilt nicht nur gegenüber Minderjährigen, sondern auch gegenüber Erwachsenen.

Welche personenbezogenen Daten fallen unter Artikel 9?

• die rassische und ethnische Herkunft;
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen,
• die Gewerkschaftszugehörigkeit,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
• Gesundheitsdaten,
• Daten zum Sexualleben oder der sexuellen Orientierung.

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln. Dies betrifft beispielsweise die Einnahme von Medikamenten, die körperliche oder geistige Verfassung oder den regelmäßigen Besuch einer bestimmten Kirche.

Artikel 28 Absatz 2 DSA: Werbung gegenüber Minderjährigen

Nach Artikel 28 Absatz 2 DSA ist es Anbietern von Online-Plattformen untersagt, „auf ihrer Schnittstelle Werbung auf der Grundlage von Profiling gemäß Artikel 4 Absatz 4 DSGVO unter Verwendung personenbezogener Daten des Nutzers darzustellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.“

Verpflichtet Artikel 28 DSA Online-Plattformen zum Einsatz von Methoden der Altersprüfungen?

Über das Werbeverbot des Artikel 28 Absatz 2 DSA hinaus verpflichtet Absatz 1 der Norm Anbieter von Online-Plattformen, grundsätzlich verhältnismäßige Maßnahmen für den Kinderschutz zu ergreifen. Artikel 28 Absatz 3 DSA stellt klar, dass Anbieter von Online-Plattformen zur Einhaltung der Verpflichtungen des Artikel 28 DSA nicht verpflichtet sind, zusätzliche personenbezogene Daten zu verarbeiten, um festzustellen, ob Nutzende minderjährig sind. Eine rechtliche Verpflichtung, die gemäß Artikel 6 Absatz 1 Buchstabe c DSGVO zu einer Verarbeitung personenbezogener Daten berechtigen würde, kann nach Ansicht der BfDI aus Artikel 28 DSA daher nicht abgeleitet werden. 

Auf Initiative der BfDI hin haben BMFSFJ, BzKJ, BNetzA, die Landesanstalt für Medien NRW und BfDI am 16. Mai 2024 einen Workshop für eine gemeinsame Positionierung zum Thema Altersprüfungen ausgerichtet in dem wir ein gemeinsames Positionspapier erarbeitet haben.

Das Papier enthält neun grundlegende Punkte zu Methoden der Altersprüfung, die die gemeinsame Position der beteiligten Behörden widerspiegeln. Es ist im Rahmen der von der Europäischen Kommission eingerichteten Task Force 'Altersverifikation' entstanden.

Ferner wurde ein Verbot von sogenannten „Deceptive Design Patterns“ im DSA aufgenommen. Deceptive Design Patters sind Designelemente die eingesetzt werden, um Nutzende dazu zu bewegen Dinge zu tun, die sie eigentlich nicht möchten. Dazu gehört z. B. durch absichtlich missverständliche Sprache oder durch fehlleitende visuelle Reize, Nutzende zu einer Einwilligung zu drängen. Hierdurch kann verhindert werden, dass Nutzende durch die Gestaltung von Apps und Websites manipuliert werden und so unter Umständen Daten preisgeben, die sie bei einer anderen Gestaltung des Angebots nicht weitergegeben hätten. Gewisse manipulative Praktiken sind zwar bereits nach der DSGVO untersagt, durch die Regelungen im DSA wird dieser Schutz aber noch erweitert.

Zudem ermöglicht der DSA Forschungseinrichtungen Zugang zu Daten großer Online-Plattformen, um die Algorithmen analysieren zu können, die dafür verantwortlich sind, welche Inhalte den Nutzenden angezeigt werden. So ist es nun erstmals möglich zu erkennen, wie bestimmte zum Teil für die Gesellschaft schädliche Vorgänge in sozialen Netzwerken funktionieren, um diese ggf. zu unterbinden. 

Die neuen Regelungen des Digital Services Act und des Digitale Dienste Gesetzes für den Datenschutz, insbesondere im Bereich Profiling, tragen zu einem sichereren Online-Umfeld für alle Nutzenden bei. Die Aufgaben der BfDI werden für die Durchsetzung dieser Regelungen zentral sein.