Tobias Keber; Teresa Widlok
Der Digital Services Act (DSA) legt zentrale Regeln für die Verantwortlichkeit von Online-Plattformen fest und setzt dafür auf den Regelungen in der e-Commerce-Richtlinie aus dem Jahr 2000 auf. Insbesondere für die neu eingeführte Gruppe der sehr großen Online-Plattformen (Very large Online Platforms, VLOP) und der sehr großen Online-Suchmaschinen (Very Large Search Engines, VLSE) wird ein erweiterter Pflichtenkreis eingeführt. Am 5. Juli 2022 wurde der DSA in seiner finalen Textfassung vom Europäischen Parlament beschlossen. Damit wurde anderthalb Jahre nach der Vorlage des Entwurfs durch die EU-Kommission die letzte größere Hürde genommen. Nachdem auch der Rat seine Zustimmung gegeben hat, soll der DSA 15 Monate nach seinem Inkrafttreten in der EU zur Anwendung kommen. Mit dem DSA wird ein bis dato wenig diskutiertes neues Werkzeug der Plattformregulierung eingeführt.
1. Der neue Crisis Response Mechanism
Erst auf der Zielgeraden der Verhandlungen und unter unmittelbarem Eindruck des völkerrechtswidrigen Angriffs der Russischen Föderation auf die Ukraine wurde ein bemerkenswerter Mechanismus in Bezug auf den Umgang mit Krisensituationen aufgenommen. Es geht um den Crisis Response Mechanism (CRM) nach Artikel 27a DSA, der ein Sonderverfahren für Dringlichkeitsmaßnahmen in Krisensituationen vorsieht, in denen der für den Normalbetrieb maßgebliche Pflichtenkatalog von VLOPs und VLSEs situationsspezifisch angepasst werden kann. Impetus für den neu eingefügten Passus waren die im Zuge des Krieges zu Tage getretenen Herausforderungen des europäischen Mediensystems, mit staatsnahen russischen Medien umgehen zu müssen, die grenzüberschreitend Inhalte verbreiten, die als Kriegspropaganda bezeichnet werden könnten. Im rechtlichen Diskurs wurden die bisher nicht medien-, sondern sanktionsrechtlich begründeten Sperrmaßnahmen der EU gegen Sputnik und Russia Today (und nachfolgend noch weitere Akteure) bisweilen kritisch gesehen (vgl. dazu „Sperren gegen russische Desinformation – Sanktionsrecht auf Abwegen?“ m.w.N.).
a. Begriff der Krise
Auch wenn die Situation in der Ukraine Anlass für die Aufnahme des CRM im DSA war, geht der Anwendungsbereich des neuen Mechanismus zur Regulierung großer Plattformen unter außergewöhnlichen Umständen über militärische Konflikte hinaus. Das zeigt die Definition der Krise in Artikel 27a Absatz 2 DSA. Danach gilt eine Krise als eingetreten, wenn außergewöhnliche Umstände zu einer ernsthaften Bedrohung der öffentlichen Sicherheit oder der öffentlichen Gesundheit in der Union oder in wesentlichen Teilen der Union führen. Insofern unterscheidet sich die Definition auch von der Krisendefinition in Bezug auf die “Krisenprotokolle” des Artikel 37 DSA. Hier ist lediglich eine Situation erforderlich, durch welche öffentliche Sicherheit und öffentliche Gesundheit betroffen sind. Erwägungsgrund 59a DSA illustriert in Bezug auf Artikel 27a dann weitergehend, dass gegenwärtige oder entstehende bewaffnete Konflikte sowie Terroranschläge, Naturkatastrophen wie Erdbeben und Wirbelstürme, aber auch Pandemien und andere ernste grenzüberschreitende Bedrohungen für die öffentliche Gesundheit in Betracht kommen. Folglich sind auch Situationen im Gefahrenvorfeld (entstehende bewaffnete Konflikte) potentiell vom CRM erfasst, soweit sie (bereits) eine grenzüberschreitende Dimension aufweisen.
b. Verfahrensbeginn nach Empfehlung des Gremiums für digitale Dienste
Im Krisenfall kann die Europäische Kommission auf Empfehlung (recommendation in der engl. Sprachfassung) des Europäischen Gremiums für digitale Dienste (nachfolgend „Gremium“, „Board“ in der engl. Sprachfassung) eine Entscheidung (decision) erlassen, wonach sehr große Online-Plattformen und sehr große Online Suchmaschinen als Adressaten dieser Entscheidung „spezifische Maßnahmen“ ergreifen müssen. Wie der Wortlaut der Vorschrift klarstellt („may adopt“), hat die Kommission dabei ein Entschließungsermessen, das aber nur eröffnet ist, soweit das Gremium die initiale Empfehlung ausspricht. Ausgangspunkt für Dringlichkeitsmaßnahmen ist also das Gremium, ermächtigt gegenüber Adressaten zu handeln ist die Kommission. Ein originäres Initiativrecht der Kommission, wie es in nicht öffentlichen Vorentwürfen diskutiert worden war, hat sich im finalen Text nicht durchgesetzt. Nach Artikel 47 DSA ist das Gremium eine unabhängige Beratergruppe der Koordinatoren für digitale Dienste (Digital Services Coordinators (DSC) in der engl. Sprachfassung). Die DSC benennen die Mitgliedstaaten jeweils als wichtigste nationale Behörde für die einheitliche Anwendung des DSA (Artikel 38 DSA). Im Gremium hat jeder Mitgliedstaat eine Stimme, Entscheidungen werden mit einfacher Mehrheit angenommen (Artikel 48 DSA).
c. Entscheidung der Kommission und Maßnahmen der Adressaten
Die Entscheidung der Kommission kann zum Gegenstand haben, dass die Adressaten ein krisenspezifisches Risikoassessment durchzuführen haben. Sie müssen dann bewerten, wie weit ihre Dienste mit Blick auf die Krise Eskalationspotential haben (Artikel 27a Absatz 1 lit. a) und wie das Risiko gegebenenfalls adressiert wird (Artikel 27a Absatz 1 lit. b.). Gegenstand der Entscheidung kann auch eine krisenspezifische Berichtspflicht der VLOPS und VLSE sein (Artikel 27a Absatz 1 lit c). Hinsichtlich der von ihnen konkret zu ergreifenden Maßnahmen haben die Adressaten ein weites Auswahlermessen (Artikel 27a Absatz 5 DSA). Sie müssen allerdings sicherstellen, dass die von ihnen getroffenen Maßnahmen verhältnismäßig sind und der Schwere der Krise hinreichend Rechnung tragen (Artikel 27a Absatz 1 a.E.). In Betracht kommen unter anderem die Implementierung von Moderationsverfahren oder das Aufstocken von Ressourcen, die zügige Entfernung oder Sperrung des Zugangs zu illegalen Inhalten, das Anpassen algorithmischer Systeme, Verfahren zur Kennzeichnung manipulierter audiovisueller Inhalte sowie besondere organisatorische Maßnahmen, bspw. die Benennung einer krisenspezifischen Kontaktstelle (Artikel 27a Absatz 1 lit. b i.V.m. Artikel 27 Absatz 1 und 37 Absatz 2 DSA). Es handelt sich bei den zur Verfügung stehenden Maßnahmen einerseits um die bekannten speziellen Maßnahmen im Rahmen der freiwilligen Krisenprotokolle nach Artikel 37 Absatz 2 DSA und andererseits um die bekannten allgemeinen Maßnahmen zur Risikominderung nach Artikel 27 Absatz 1 DSA. Der Text scheint aber auch darüber hinausgehende Maßnahmen der Diensteanbieter zuzulassen, die in deren Auswahlermessen stehen.
d. Verhältnismäßigkeitsgebot und Prozeduralisierung
Nach Artikel 27a Absatz 3 DSA hat die Kommission bei ihrer Entscheidung an die Adressaten sicherzustellen, dass die darin enthaltenen Vorgaben verhältnismäßig sind, dass den Adressaten ein situationsadäquater zeitlicher Rahmen für die Implementierung der Maßnahmen eingeräumt wird und dass die auf Grundlage der Kommissionsentscheidung angenommenen Maßnahmen nicht länger als drei Monate aufrechterhalten werden. Diese Verhältnismäßigkeitskontrolle soll wohl neben die oben angesprochene maßnahmenspezifische Verhältnismäßigkeitsprüfung der Adressaten (Artikel 27a Absatz 1 a.E.) treten und bezieht sich wohl (nur) auf den durch die Kommission in ihrer Entscheidung gesetzten äußeren Rahmen. Ganz klar wird der Prüfungsumfang der Kommission an dieser Stelle aber nicht. Aus Sicht der Diensteanbieter dürfte es gegebenenfalls zielführend sein, in den durch Artikel 27a Absatz 6 vorgesehenen Dialog mit der Kommission zu treten, in dem die Verhältnismäßigkeit der Maßnahmen diskutiert werden kann.
e. Maßnahmen- und Krisenmonitoring
Artikel 27a Absatz 7 DSA betrifft das Monitoring der providerseitig ergriffenen Maßnahmen durch die Kommission, vor allem auf Grundlage der Berichte, die von den Entscheidungsadressaten vorzulegen sind. Ihrerseits ist die Kommission hinsichtlich des Monitorings dem Gremium für digitale Dienste gegenüber berichtspflichtig. Gelangt die Kommission im Rahmen ihrer Aufsicht zu der Einschätzung, dass Maßnahmen eines Providers unzureichend oder unverhältnismäßig sind, kann sie mittels einer weiteren Entscheidung dem Provider aufgeben, seine Maßnahmen zu überprüfen. Vor dieser (zweiten) Entscheidung muss die Kommission das Gremium konsultieren. Auch in diesem Fall gibt es aber keine Ersetzungsbefugnis zu Gunsten der Kommission, d.h. sie kann auch jetzt keine konkreten Maßnahmen anordnen, sondern dem Entscheidungsadressaten nur aufgeben, unter Berücksichtigung ihrer Rechtsauffassung neu zu entscheiden.
Artikel 27a Absatz 8 DSA trägt der potentiell dynamischen Entwicklung einer Krise Rechnung. Die Kommission, erneut (nur) auf Empfehlung des Gremiums, kann ihre Entscheidungen der Krisenentwicklung anpassen, also beispielsweise bei Entspannung der Lage den Entscheidungsadressaten aufgeben, von ihnen vorgenommene einschränkende Maßnahmen (bspw. Sperrung oder Auslistung bestimmter Inhalte) wieder aufzuheben oder bei Fortbestehen der Krise Maßnahmen (befristet) zu verlängern.
2. Weitere Anknüpfungspunkte für Krisenmaßnahmen im DSA
Systematisch ist die Verpflichtung, ein neues Risikoassessment durchführen zu müssen, wenn sich die Umstände signifikant ändern, bereits in Artikel 26 Absatz 1 Satz 2 DSA angelegt. Er legt fest, mit welcher Regelmäßigkeit Risikoassessments als allgemeine due diligence Verpflichtungen vorgenommen werden müssen. Demnach muss ein neues Assessment auch bspw. vor dem Ausrollen neuer Funktionalitäten durchgeführt werden, die einen kritischen Einfluss auf die bereits bekannten systemischen Risiken des Angebots haben können. In Krisensituationen, in denen VLOPs und VLSEs ohnehin aufgrund einer besseren Operationalisierbarkeit der eigenen Nutzungsbedingungen angepasste Verfahren anwenden würden, um schneller reagieren zu können, wäre also die Verpflichtung zu einem neuen Risikoassessment nach Artikel 26 DSA in einigen Fällen unabhängig vom CRM schon gegeben.
Ebenso unabhängig neben dem besonderen Anwendungsbereich des Artikel 27a DSA stehen die sogenannten Krisenprotokolle (“crisis protocols”) in Artikel 37 DSA. Das Gremium kann demnach der Kommission vorschlagen, dass diese die Ausarbeitung freiwilliger Krisenprotokolle durch Diensteanbieter anregt, um allgemeine Krisensituationen zu adressieren. Eine solche Anregung kann nicht nur gegenüber VLOPs und VLSEs ausgesprochen werden, sondern, wo es angemessen ist, auch gegenüber anderen Online-Plattformen oder Online-Suchmaschinen. Der mögliche Adressatenkreis einer solchen im Gegensatz zum CRM überwiegend auf Freiwilligkeit setzenden Anregung ist also weiter als der Adressatenkreis einer Entscheidung der Kommission im Rahmen des CRM.
3. Kritik am CRM und einem intransparenten Verfahren
Im Gegensatz zu den Krisenprotokollen in Artikel 37 DSA, die sich schon im ursprünglichen Kommissions-Entwurf vom 15. Dezember 2020 befanden, wurde der CRM zu einem Zeitpunkt in den DSA integriert, der eine öffentliche Debatte über den neuen Mechanismus, der in der Theorie weitreichende Eingriffe in den Prozess der Informationsvermittlung ermöglicht, nicht mehr zuließ. Insbesondere Alternativvorschläge oder Änderungsanträge zum Krisenmechanismus, die seitens der Kommission, des Europäischen Parlaments und der Mitgliedstaaten (im Rat) eingebracht und lediglich „in camera“ diskutiert wurden, können nicht öffentlich nachvollzogen werden. Die Kritik an der Intransparenz des Verfahrens an dieser Stelle ist berechtigt. Insbesondere weil der DSA beim Krisenmechanismus und an anderer Stelle von der Regelungstechnik auf den Schutz betroffener Grundrechte durch Transparenz und rechtsstaatliche Verfahren setzt.
Die Zielsetzung des CRM, eine effiziente und zugleich grundrechtssensible Reaktion auf außergewöhnliche Krisen zu ermöglichen, passt mit dem in Artikel 27a in den Absätzen 1-11 geregelten, sehr formalisierten Verfahren nicht recht zusammen. Wenn eine Anregung (Gremium) zu einer Entscheidung (Kommission) führt, die nur eine Zielrichtung vorgibt, aber die gewählten Dringlichkeitsmaßnahmen in das Ermessen der Adressaten (Diensteanbieter) stellt, muss man sich fragen, ob es zu wirksamen und schnellen Maßnahmen kommen kann. Die Kommission überlässt die Auswahl der Maßnahmen zur Krisenadressierung den Diensteanbietern und kann selbst nur in geringem Umfang nachsteuern. Selbst beim Nachschärfen von Maßnahmen infolge des Monitorings der Anbieter gibt es keine echte Anordnungsbefugnis, die zur Ersetzung der providerseitig gewählten Maßnahmen führen würde.
Fazit: Organisierte Verantwortungskonfusion
Die letztlich entscheidende Frage, wer genau die Verantwortung dafür trägt, dass die Maßnahmen wirksam und verhältnismäßig sind, verschwimmt in einem überkomplexen Prozess, der derart auf Abstimmung und Zurückhaltung bedacht ist, dass letztlich keinem Akteur Verantwortung für eine gegebenenfalls rechtswidrige Informationsblockade zugewiesen werden kann [vgl. das Schaubild hier]. Anstatt Verantwortung abschließend zuzuweisen, herrscht organisierte Verantwortungskonfusion zwischen einem den CRM bloß anregenden Gremium, einer lediglich einen Entscheidungsrahmen vorgebenden Kommission und den Plattformen, denen man ein weites Auswahlermessen einräumt. In der Praxis werden die Anbieter mit Maßnahmen auf freiwilliger Basis außerhalb des CRM also in der Regel schneller reagieren und das in der Theorie grundrechtssensible CRM Verfahren wird praktisch leerlaufen. Damit hat die EU aufgrund einer mutlosen Schaufensternorm die Möglichkeit verspielt, echte Leitplanken für Krisen festzulegen.