Digital Services Act: Datenschutzbehörden sind mit an Bord

X, Musk und Trump, Desinformation und digitale Gewalt. Der DSA der EU ist gerade in aller Munde. Zu Recht, denn: Der Europäische Gesetzgeber hat hiermit ein wichtiges Instrument geschaffen. Betreiber großer Onlineplattformen können mit dem DSA in die Verantwortung genommen werden, um unsere demokratischen Strukturen im digitalen Raum zu schützen. Dieser Artikel zeigt auf, wie die Datenschutzbehörden eingebunden sind und welche wichtige Aufgabe der BfDI zukommt.

Was ist der Digital Services Act?

Der Digtal Services Act (DSA) ist Teil eines Regelungspakets der EU, dem Gesetz über Digitale Märkte (DMA). Er hat zum Ziel, die Grundrechte der Internetnutzer:innen zu schützen und die Entfernung illegaler Inhalte zu erleichtern. Dabei werden besondere Sorgfaltsanforderungen für große Suchmaschinen und Onlineplattformen etabliert.
„Groß“ bedeutet, dass monatlich mindestens 45 Millionen aktive Nutzer:innen erreicht werden. Unter den DSA fällt damit nicht nur X, sondern z. B. auch Meta, Google oder LinkedIn.

Zusammenarbeit von Bundesnetzagentur und Datenschutzaufsicht

Bei der Durchführung von Digitalgesetzen geben sich Bundesnetzagentur und die Datenschutzbehörden immer wieder die Hand. Das zeigt nicht zuletzt die KI-Verordnung, für deren Zwecke in Deutschland beide Seiten Zuständigkeiten haben – wenngleich die Bundesnetzagentur die zentrale Funktion hat. Ähnlich verhält es sich beim Digital Services Act. Denn dieser sieht für die Mitgliedsstaaten einen sog. „Koordinator für Digitale Dienste“ vor. In Deutschland ist das die Bundesnetzagentur, die die Einhaltung des DSA durch die Online-Dienste überwacht. Zur Durchführung des DSA gibt es in Deutschland seit Mai 2024 das Digitale Dienste Gesetz (DDG). Dieses weist auch den Datenschutzbehörden Aufgaben zu. So sieht §19 Abs. 1 DDG vor, dass die Koordinierungsstelle, wenn sie datenschutzrechtliche Vorschriften prüfen muss, zusammen mit der zuständigen Datenschutzaufsichtsbehörde entscheidet.

Zuständigkeit der BfDI bei Werbung nach Profiling

Eine eigene Zuständigkeit hat die Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI). Gemäß §12 Abs. 3 DDG ist sie die zuständige Behörde für die Durchsetzung von Art. 26 Abs. 3 und Art. 28 Abs. 2 und 3 DSA. Diese Vorschriften betreffen Werbung, die auf Profiling beruht. Sie regeln, dass solche Werbung in bestimmten Fällen (namentlich bei der Verwendung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und bei Verwendung der Daten Minderjähriger) verboten ist. Die Wichtigkeit dieser Regelung für den Schutz unserer Demokratie wird bei einem Blick in Art. 9 DSGVO klar. Denn zu den besonderen Kategorien personenbezogener Daten gehören u. a. politische Meinungen und weltanschauliche Überzeugungen. Mit diesen Daten darf also kein Profiling durchgeführt werden, durch das auf Onlineplattformen personalisierte Werbung ausgespielt wird – ein wichtiges Mittel im Kampf gegen sog. „Echochambers“. Das sind digitale Blasen, innerhalb derer kein Meinungspluralismus herrscht, sondern bestimmte, gleichläufige Ansichten ständig reproduziert werden und sich dabei gegenseitig verstärken.

Der Digital Services Act wird uns noch viel beschäftigen

Die Diskussionen der jüngsten Zeit geben einen Vorgeschmack darauf, dass der DSA die Gemüter bewegt. Entscheidend für seine Schlagkraft ist seine effektive Durchsetzung. Die Datenschutzbehörden werden hierbei eine wichtige Rolle einnehmen.