Digital Services Act und TCO-Verordnung: Welche Pflichten gelten für Anbieter von Hosting-Diensten?

Digital Services Act und TCO-Verordnung: Welche Pflichten gelten für Anbieter von Hosting-Diensten?

12. Februar 2024-

Um gegen rechtswidrige Online-Inhalte effektiver vorgehen zu können, verpflichtet die EU Anbieter von Hosting-Diensten (Hosting-Service-Provider, HSP) im Rahmen des Digital Services Acts ab dem 17.02.2024 zur Umsetzung umfangreicher Maßnahmen.

Inhaltlich in vielen Punkten ähnlich ausgestaltet, sieht die bereits im Juni 2022 in Kraft getretene europäische Verordnung zur Bekämpfung der Verbreitung terroristischer Online-Inhalte (TCO-VO) weitere Maßnahmen für HSP vor, die sich jedoch speziell auf terroristische Online-Inhalte beziehen.

Betroffen sind sämtliche Hosting-Anbieter, die ihre Leistungen gegenüber Nutzern mit Niederlassungsort oder Sitz in der EU anbieten. 

Welche wesentlichen Maßnahmen HSP konkret treffen müssen, um den Anforderungen des DSA und der TCO-VO zu entsprechen, stellen wir im folgenden Überblick dar.

1. Pflichten für Hosting-Service-Provider nach TCO-VO

Die TCO-VO schafft einen weitestgehend einheitlichen Rechtsrahmen zur Bekämpfung des Missbrauchs von Hosting-Diensten zur öffentlichen Verbreitung terroristischer Online-Inhalte.

Als “terroristisch” gelten Inhalte dann, wenn sie terroristische Straftaten ermöglichen, unterstützen oder erleichtern oder wenn sie eine Drohung zur Begehung einer terroristischen Straftat enthalten.

a) Zentrale Kontaktstelle zum Erhalt behördlicher Entfernungsanordnungen einrichten und veröffentlichen

Kernpunkt der TCO-VO ist die Einrichtung einer zentralen Kontaktstelle, über die zuständige Behörden des jeweiligen EU-Mitgliedstaats dem HSP in elektronischer Form Entfernungsanordnungen zustellen können. Die Kontaktstelle muss dabei so eingerichtet und technisch bzw. personell ausgestattet sein, dass die Entfernungsanordnung ohne Verzögerung bearbeitet werden kann. Die TCO-VO sieht dementsprechend vor, dass der HSP den betreffenden Online-Inhalt schnellstmöglich, in jedem Fall jedoch innerhalb einer Stunde nach Erhalt der Entfernungsanordnung entfernt oder den Zugang hierzu sperrt.

Aufgrund der sehr kurzen Reaktionszeit empfiehlt es sich, für die Kontaktstelle eine separate E-Mail-Adresse einzurichten und sich über den Eingang von E-Mails unter dieser Adresse unmittelbar benachrichtigen zu lassen. Die E-Mail-Adresse der Kontaktstelle muss zudem leicht auffindbar sein, was mit der Hinterlegung der E-Mail-Adresse im Impressum sichergestellt werden kann. Zudem müssen in diesem Zusammenhang Angaben gemacht werden, in welchen Sprachen eine Kommunikation über die Kontaktstelle möglich ist.

b) Strategie zur Bekämpfung der Verbreitung terroristischer Inhalte darlegen

Eine weitere zentrale Pflicht ist die Darlegung der vom HSP verfolgten Strategie zur Bekämpfung der Verbreitung terroristischer Inhalte in seinen Nutzungsbedingungen oder AGB. 

Die Bestimmungen in den Nutzungsbedingungen sollten mindestens folgende Punkte enthalten:

  • Definition von terroristischen Online-Inhalten im Sinne der TCO-VO;
  • Beschreibung der Möglichkeiten zur Meldung terroristischer Inhalte;
  • Darlegung der Maßnahmen, die der HSP gegen die Verbreitung terroristischer Inhalte ergreifen kann;
  • Aufklärung über das Beschwerderecht des betroffenen Nutzers gegen die vom HSP getroffenen Maßnahmen und Erläuterung des Beschwerdeverfahrens.
c) Beschwerdesystem einrichten

Die TCO-VO sieht weiterhin vor, dass der HSP einen wirksamen und zugänglichen Mechanismus einrichtet, der es seinen Kunden ermöglicht, gegen die Entfernung oder Sperrung ihrer Inhalte Beschwerde einzulegen und Wiederherstellung oder Entsperrung der Inhalte zu verlangen.

Der HSP ist verpflichtet, jede Beschwerde unverzüglich zu prüfen und den betroffenen Inhalt wiederherzustellen, falls die Entfernung bzw. Sperrung nicht rechtmäßig war. Über das Ergebnis der Beschwerde ist der Kunde innerhalb von zwei Wochen nach Eingang der Beschwerde zu informieren. Kommt der HSP im Rahmen der Beschwerde zu dem Ergebnis, dass die Entfernung bzw. Sperrung rechtmäßig war, teilt er dem Kunden die Gründe hierfür mit.

d) Transparenzberichte erstellen

Sofern der HSP Maßnahmen gegen die Verbreitung terroristischer Inhalte ergriffen oder behördliche Entfernungsanordnungen erhalten hat, muss er hierüber in einem jährlichen Transparenzbericht informieren. Dieser Transparenzbericht ist vor dem 1. März des jeweiligen Folgejahres öffentlich zugänglich zu machen, z.B. über die Website des HSP.

Die geforderten Mindestinhalte des Transparenzberichts sind in Art. 7 Abs. 3 TCO-VO aufgeführt. Gerne unterstützen wir Sie bei der korrekten Formulierung des Transparenzberichts.

2. Pflichten für Hosting-Service-Provider nach DSA

Die Pflichten, die dem HSP durch den DSA auferlegt werden, ähneln in vielerlei Hinsicht den oben genannten Pflichten nach der TCO-VO. Der sachliche Anwendungsbereich des DSA ist jedoch ein anderer. Geht es dem Gesetzgeber bei der TCO-VO speziell um terroristische Inhalte, hat der DSA das Vorgehen gegen die Verbreitung illegaler Inhalte allgemein im Blick.

a) Zentrale Kontaktstelle einrichten und veröffentlichen

Auch der DSA verpflichtet den HSP zur Einrichtung und Veröffentlichung einer zentralen elektronischen Kontaktstelle, über die ihm vermeintlich illegale Inhalte gemeldet werden können, die unter Nutzung seiner Dienste abrufbar gemacht werden.

Die Verordnung fordert eine Kontaktstelle für Behörden der Mitgliedstaaten und eine Kontaktstelle für Dritte, z.B. Nutzer der über die Dienste des HSP zur Verfügung gestellten Websites.

Es ist zulässig, für beide Kontaktstellen eine einheitliche E-Mail-Adresse einzurichten und zu veröffentlichen. Hierzu bietet sich wiederum eine Platzierung im Impressum der Website des HSP an. Zusätzlich sind auch bei der Kontaktstelle für Behörden Angaben zu machen, in welchen Sprachen eine Kommunikation über die Kontaktstelle möglich ist. Hier müssen jedoch mindestens zwei Sprachen genannt werden: Zusätzlich zur einer Amtssprache des Mitgliedstaats, in dem der HSP seine Hauptniederlassung hat oder sein gesetzlicher Vertreter ansässig oder niedergelassen ist, muss eine Sprache angegeben werden, die von möglichst vielen Unionsbürgerinnen und Unionsbürgern verstanden wird (z.B. Englisch).

b) Regelungen zur Moderation von Inhalten darlegen

Dem Gesetzgeber geht es im Rahmen des DSA vor allem um ein eigenverantwortliches Vorgehen der HSP gegen rechtswidrige Inhalte, die über deren Dienst öffentlich zugänglich gemacht werden. Insofern enthält der DSA die Verpflichtung, Angaben zum Vorgehen bei einer solchen Moderation von Inhalten in den Nutzungsbedingungen bzw. AGB des HSP zu machen. 

Der HSP muss erläutern, 

  • welche Leitlinien für die Beschränkung rechtswidriger Inhalte gelten; 
  • wie das Verfahren von der Meldung vermeintlich rechtswidriger Inhalte bis zu deren Sperrung bzw. Entfernung gestaltet ist;
  • welche Maßnahmen zur Unterbindung der Verbreitung rechtswidriger Inhalte vorgenommen werden können;
  • welche Werkzeuge, einschließlich algorithmischer Entscheidungsfindung, zur Moderation von Inhalten verwendet werden sowie
  • wie das interne Beschwerdemanagement gestaltet ist.
c) Melde- und Abhilfeverfahren für rechtswidrige Inhalte einrichten

Zusätzlich zur zentralen Kontaktstelle muss der HSP für die Meldung vermeintlich rechtswidriger Inhalte ein separates Meldeverfahren einrichten. Im Rahmen dieses Verfahrens muss es dem Dritten, der vermeintlich rechtswidrige Inhalte melden möchte, möglich sein, folgende Angaben zu machen:

  • eine hinreichend begründete Erläuterung, warum der Meldende die fraglichen Inhalte als rechtswidrig ansieht;
  • eine eindeutige Angabe des genauen elektronischen Speicherorts dieser Informationen, etwa der URL-Adresse oder, soweit erforderlich, weitere zweckdienliche Angaben zur Ermittlung der rechtswidrigen Inhalte;
  • Name und die E-Mail-Adresse des Meldenden sowie
  • eine Erklärung darüber, dass der Meldende in gutem Glauben davon überzeugt ist, dass die in der Meldung enthaltenen Angaben und Ausführungen richtig und vollständig sind.

Auch wenn der DSA für das Meldeverfahren keine bestimmte technische Gestaltung vorsieht, ist die Einrichtung eines Kontaktformulars zu empfehlen, über das der Meldende die genannten Informationen übermitteln kann. Die einzelnen Felder dürfen jedoch nicht als Pflichtfelder ausgestaltet sein.

Der HSP hat dem Meldenden den Eingang der Meldung unverzüglich zu bestätigen, sofern die elektronischen Kontaktdaten enthalten sind. Nach Bearbeitung der Meldung informiert der HSP den Meldenden zeitnah über seine Entscheidung und weist auf etwaige Rechtsbehelfe gegen die Entscheidung hin.

d) Transparenzberichte erstellen

Der DSA sieht ebenso wie die TCO-VO die jährliche Veröffentlichung von Transparenzberichten durch den HSP vor. Diese Pflicht gilt jedoch nicht für “Kleinstunternehmen” (nicht mehr als 9 Beschäftigte und nicht mehr als 2 Mio. EUR Jahresumsatz bzw. Bilanzsumme) und “kleine Unternehmen” (nicht mehr als 49 Beschäftigte und nicht mehr als 10 Mio. EUR Jahresumsatz bzw. Bilanzsumme).

Der Transparenzbericht weist aus, welche Maßnahmen der Moderation von Inhalten der HSP im betreffenden Kalenderjahr vorgenommen hat. Zudem sind Angaben zu erhaltenen behördlichen Anordnungen in Bezug auf rechtswidrige Inhalte anzugeben. Die vollständige Liste der geforderten Mindestinhalte des Transparenzberichts ist in Art. 15 Abs. 1 DSA aufgeführt. Gerne unterstützen wir Sie bei der korrekten Formulierung des Transparenzberichts.

3. Welche Sanktionen drohen bei Verstößen gegen DSA und/oder TCO-VO?

Die Sanktionierung von Verstößen gegen die Bestimmungen des DSA oder der TCO-VO wird durch die jeweiligen Mitgliedsstaaten geregelt. 

Das nationale Gesetz zur Umsetzung des DSA für Deutschland in Form des “Digitale-Dienste-Gesetz” befindet sich aktuell noch im Gesetzgebungsverfahren. Mit einem Inkrafttreten wird im April 2024 gerechnet.

Der Gesetzesentwurf des Digitale-Dienste-Gesetzes sieht verschiedene Bußgeld-Stufen vor, die von der konkret verletzten Rechtsnorm des DSA bzw. vom Jahresumsatz des HSP abhängig sind. Bereits die niedrigste Stufe ermächtigt die zuständige Behörde zur Feststetzung eines Bußgelds von bis zu 50.000 EUR.

Die Sanktionierung von Verstößen gegen die TCO-VO ist im “Terroristische-Online-Inhalte-Bekämpfungs-Gesetz“ (TerrOIBG) geregelt. Auch hier findet sich eine Abstufung des Bußgeldes anhand der konkret verletzten Rechtsnorm bzw. des Jahresumsatzes. Die niedrigste Bußgeldstufe beträgt auch hier bis zu 50.000 EUR.

4. Fazit

Sowohl der DSA als auch die TCO-VO enthalten umfangreiche Pflichten für Anbieter von Hosting-Diensten. Die Bundesnetzagentur kontrolliert aktuell verstärkt die korrekte Umsetzung der TCO-VO und geht bei Unstimmigkeiten aktiv auf die Hosting-Anbieter zu. Ein weiteres Abwarten mit der Umsetzung der Pflichten gemäß TCO-VO stellt damit ein nicht unerhebliches Risiko dar. Sofern nicht schon geschehen, sollten sich Hosting-Anbieter also schnellstens mit der Thematik befassen. Kommen Sie wegen einer konkreten rechtlichen Beratung gerne auf uns zu.

Ihr Ansprechpartner

Stefan Kutzner
Rechtsanwalt
info@hb-ecommerce.eu

Nach oben