Die Bedeutung des Digital Services Act: Neue Herausforderungen für Transaktionen in der Digitalindustrie?

1. Einleitung

Das Gesetz über digitale Dienste (Digital Services Act, DSA)1 gilt für große Online-Plattformen und Online-Suchmaschinen bereits seit dem 16. November 2022. Seit dem 17. Februar 2023 trifft die Betreiber von Online-Plattformen die Pflicht zur Veröffentlichung von Nutzerzahlen. Ab 17. Februar 2024 erlangt der DSA vollständige Geltung und ist dann für jeden Vermittlungsdienst relevant (Art. 92, 93 DSA). Damit ist der DSA von immenser Bedeutung für die Digitalindustrie und wirkt sich auf M&A-Transaktionen aus. Insbesondere im Rahmen der rechtlichen Due Diligence ist eine Prüfung, ob das Zielunternehmen (Target) die durch den DSA begründeten Pflichten erfüllt, also „compliant“ ist, sowie die Klärung möglicher Haftungsfragen unerlässlich. Durch die teilweise immensen Sanktionsmöglichkeiten kann sich eine fehlende Compliance darüber hinaus auch im Unternehmenswert widerspiegeln.

2. Der Digital Services Act „in a nutshell“

Der DSA ist Teil des von der Europäischen Kommission vorgelegten Pakets „Digitale Dienste“, welches auch das Gesetz über digitale Märkte (DMA)2 enthält. Der DMA und seine Konsequenzen für M&A-Transaktionen sollen am Ende dieses Beitrags in einem Exkurs beleuchtet werden.

Das Paket „Digitale Dienste“ hat als erklärtes Ziel, Wettbewerbsbedingungen im EU-Binnenmarkt anzugleichen und so digitalen Unternehmen Wachstum und weltweite Wettbewerbsfähigkeit zu ermöglichen. Derzeit gibt es mehr als 10.000 Plattformen in der EU, wobei diese derzeit 27 verschiedenen nationalen Regelungen entsprechen müssen3, soweit nicht im Einzelfall das Herkunftslandprinzip eingreift. Auch wenn der DSA ein komplexes Regelungspaket enthält und neue Pflichten für digitale Dienste einführt, sind sie für alle Mitgliedstaaten gleich. Als EU-Verordnung gilt der DSA direkt in allen Mitgliedstaaten, ohne dass es einer Umsetzung durch nationale Gesetze bedarf.4 Darüber hinausgehende nationale Regulatorien, welche strengere Regeln für digitale Dienste vorsehen, wären allerdings weiterhin zu beachten.

Der DSA normiert ein Haftungsregime sowie abgestufte Sorgfaltspflichten, die von der Art und Größe des Vermittlungsdienstes abhängen. Ein Großteil der Digitalunternehmen ist hiervon erfasst. Dabei unterscheidet der DSA zwischen verschiedenen Arten von Vermittlungsdiensten. Je nach Einordnung in eine dieser Kategorien gelten für die Anbieter dieser Dienste unterschiedliche Pflichten:

1. Bei einer reinen Durchleitung werden die vom Nutzer bereitgestellten Informationen lediglich übermittelt oder der Zugang zu einem Kommunikationsnetz vermittelt. Beispiele sind etwa VPN und WLAN-Anbieter, Top-Level-Domain- oder E-Mail-Dienste.5

2. Eine Caching-Leistung liegt hingegen bei einer automatischen, zeitlich begrenzten Zwischenspeicherung von Informationen vor, die allein der effizienteren Informationsübermittlung dient
(Art. 3 lit. g sublit. ii DSA). Beispiele dafür sind Web- oder DNS-Caching.

3. Ein Hosting-Dienst speichert die durch den Nutzer bereitgestellten Informationen in dessen Auftrag (Art. 3 lit. g sublit. iii DSA). Klassische Beispiele sind Cloud-Computing-Dienste6 sowie das Web-, E-Mail- und Server-Hosting.7

4. Eine besondere Form des Hosting-Dienstes ist die Online-Plattform, ein Hosting-Dienst, der im Auftrag eines Nutzers nicht lediglich die Informationen speichert, sondern auch öffentlich verbreitet
(Art. 3 lit. i DSA). Beispiele für Online-Plattformen sind Social-Media-Plattformen und Online-Marktplätze, das heißt Online-Shops, bei denen auch Drittunternehmer ihre Waren den Verbrauchern anbieten können.8

5. Ab einer durchschnittlich monatlichen Zahl von mindestens 45 Mio. aktiven Nutzern in der EU wird eine Online-Plattform als sehr große Online-Plattform (Very Large Online Plattform, VLOP) qualifiziert (Art. 33 Abs. 1 DSA). Auch Suchmaschinen gelten ab dieser Nutzerzahl als sehr große Online-Suchmaschinen (Very Large Online Search Engine, VLOSE). Die EU-Kommission hat im April 2023 die ersten 17 VLOPs9 und die ersten beiden VLOSEs10 benannt.11

3. Auswirkungen des DSA auf M&A-Transaktionen

Aus dem DSA kann sich eine Reihe rechtlicher Risiken ergeben, die beim Kauf oder Verkauf eines Unternehmens der Digitalindustrie relevant werden können. Eine rechtliche Due Diligence des Targets sollte daher unbedingt auch den Fokus auf die Compliance mit den Vorgaben des DSA legen.

3.1 Haftung von Online-Vermittlungsdiensten nach dem DSA

Der DSA normiert zunächst die Haftung von Online-Vermittlungsdiensten. Dabei handelt es sich genau genommen um Haftungsprivilegien, die größtenteils in ähnlicher Form bereits in der E-Commerce-RL12 enthalten waren.13 Das deutsche Recht hatte diese Vorgaben nahezu identisch bereits in den §§ 7-10 TMG umgesetzt14, so dass diese dem deutschen Rechtsanwender vertraut sind. Der DSA nimmt insoweit insbesondere Präzisierungen und kleinere Korrekturen vor.

Vermittlungsdienste trifft weiterhin keine allgemeine Pflicht zur Überwachung der vermittelten Inhalte, sie müssen auch nicht aktiv nach rechtswidrigen Inhalten forschen (Art. 8 DSA). Diese Haftungsprivilegien gelten dann, wenn die Vermittlungsdienste keine „aktive“ Rolle bezüglich der übermittelten Inhalte einnehmen.15 Wie bereits erwähnt differenziert der DSA nach der Art des Vermittlungsdienstes. Das Haftungsprivileg für Hosting-Dienste etwa erfordert nach Art. 6 Abs. 1 DSA, dass die Diensteanbieter keine tatsächliche Kenntnis von rechtswidrigen Tätigkeiten, Inhalten oder Umständen haben, aus denen solche rechtswidrigen Tätigkeiten oder Inhalte offensichtlich hervorgehen. Sobald Kenntnis erlangt wird, müssen Hosting-Dienste zügig tätig werden, um den Zugang zu den rechtswidrigen Inhalten zu sperren oder diese zu entfernen (sog. notice and takedown bzw. notice and action).16 Der Begriff „zügig“ ist dabei unionsrechtlich auszulegen, sodass § 3 Abs. 2 NetzDG nicht mehr anwendbar ist. Bis zur Konkretisierung des Begriffs durch den EuGH können jedoch die Fristen und Grundsätze der Rechtsprechung zum NetzDG weiterhin eine Orientierung bieten. Danach muss bei offensichtlich rechtswidrigen Inhalten eine Sperrung innerhalb von 24 Stunden, ansonsten „unverzüglich“, das heißt in der Regel innerhalb von sieben Tagen erfolgen.17 Ob ein Target diese Sperrmechanismen bereits effektiv implementiert hat oder insoweit Optimierungsbedarf besteht, wird somit auch weiterhin eine wichtige Rolle in einer Due Diligence spielen. Außerdem ist zu berücksichtigen, dass der DSA das Urheberrecht unberührt lässt. Die vom Europäischen Gerichtshof (EuGH)18 entwickelten und vom Bundesgerichtshof (BGH)19 übernommenen Grundsätze zur Haftung von Plattform-Betreibern für urheberrechtsverletzende Inhalte Dritter haben weiterhin Bestand. Danach gilt insbesondere: Ergreift der Plattform-Betreiber nicht unverzüglich Maßnahmen, um den Zugang zu den urheberrechtswidrigen Inhalten zu sperren oder diese zu entfernen, obwohl er vom Rechteinhaber darauf hingewiesen worden ist, dass ein geschützter Inhalt über seine Plattform rechtswidrig öffentlich zugänglich gemacht worden ist, so haftet er dafür wie der dritte Verursacher. Der Plattform-Betreiber kann – über die Grundsätze der Störerhaftung hinausgehend – nicht nur auf Unterlassung, sondern auch auf Schadensersatz in Anspruch genommen werden.

3.2 Pflichten von Online-Vermittlungsdiensten nach dem DSA

Der DSA normiert je nach Art des Vermittlungsdiensts abgestufte Sorgfaltspflichten, wobei wiederum zwischen nutzerbezogenen Sorgfaltspflichten und rein öffentlich-rechtlichen Pflichten unterschieden werden kann. Die nutzerbezogenen Sorgfaltspflichten ergänzen und konkretisieren bereits bestehende Vertragsverhältnisse beziehungsweise begründen besondere außervertragliche Schuldverhältnisse.20 Die Verletzung einer solchen Pflicht kann einen Schadensersatzanspruch der Nutzer begründen (Art. 54 DSA).

Bei vorsätzlichem oder fahrlässigem Verstoß gegen bestimmte Pflichten kann die Europäische Kommission gegen Anbieter einer VLOP oder VLOSE Geldbußen von bis zu 6% des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtjahresumsatzes verhängen (Art. 74 Abs. 1 DSA), ansonsten bis zu 1% (Art. 74 Abs. 2 DSA). Darüber hinaus kann sie Zwangsgelder in Höhe von bis zu 5% der im vorangegangenen Geschäftsjahr erzielten durchschnittlichen Tageseinnahmen oder des im vorangegangenen Geschäftsjahr weltweit erzielten durchschnittlichen Jahresumsatzes pro Tag beschließen (Art. 76 Abs. 1 DSA).

Allein wegen der Gefahr hoher Bußgelder und Zwangsgelder, aber auch wegen möglicher Reputationsschäden, sollte die Compliance mit den im DSA normierten Pflichten im Rahmen einer Due Diligence sorgfältig überprüft werden.

Zunächst richten sich die in Art. 11-15 DSA normierten Pflichten an alle Vermittlungsdienste unabhängig von ihrer Art oder Größe.

• Alle Vermittlungsdienste müssen Transparenzberichte erstellen (Art. 15 DSA). Diese Transparenzpflicht ähnelt zwar der des NetzDG, geht aber darüber hinaus, sodass § 2 NetzDG nicht anwendbar ist (Anwendungsvorrang des DSA).21

• Mindestens einmal jährlich müssen Berichte über die vorgenommene Moderation öffentlich zur Verfügung gestellt werden, und zwar in einem maschinenlesbaren Format und auf leicht zugängliche Art und Weise, klar und leicht verständlich (Art. 15 Abs. 1 DSA). Zahlreiche weitere Voraussetzungen an die Transparenzberichte sind in
Art. 15 Abs. 1 lit. a-e DSA aufgeführt. Ausgenommen sind lediglich Kleinst- oder Kleinunternehmen (Art. 15 Abs. 2 DSA). Ein Unternehmen ist Kleinst- oder Kleinunternehmen, wenn es weniger als 50 Beschäftigte und einen Jahresumsatz unter 10 Mio. EUR hat.22

• Zudem muss eine Kontaktstelle für den Kontakt zu Behörden (Art. 11 Abs. 1 DSA) und eine Kontaktstelle für die Kommunikation mit den Nutzern
(Art. 12 Abs. 1 DSA) benannt werden, wobei die Kommunikation rein elektronisch möglich sein muss. Die Informationen zu den jeweiligen Kontaktstellen müssen leicht zugänglich sein und aktuell gehalten werden (Art. 11 Abs. 2, Art. 12 Abs. 2 DSA). Vermittlungsdienste mit Sitz außerhalb der EU müssen zudem einen gesetzlichen Vertreter in der EU benennen (Art. 13 DSA).

• Bei der Kontaktstelle für Nutzer muss die Kommunikation benutzerfreundlich ausgestaltet sein. Den Nutzern muss die Wahl des Kommunikationsmittels überlassen werden. Das Kommunikationsmittel darf nicht ausschließlich auf automatisierten Instrumenten beruhen. Ein Chatbot ist erlaubt, muss den Nutzern jedoch als solcher kommuniziert werden (vgl. Erwägungsgrund 43 S. 2 DSA).

• Die Ausführung von Anordnungen durch nationale Behörden zum Vorgehen gegen rechtswidrige Inhalte muss diesen unverzüglich mitgeteilt werden (Art. 9 DSA).

• Zudem müssen sämtliche Vermittlungsdienste Anpassungen an ihren Allgemeinen Geschäftsbedingungen (AGB) vornehmen. So sind sie etwa dazu verpflichtet, in ihren AGB in klarer, verständlicher und benutzerfreundlicher Sprache anzugeben, wie sie Nutzerinhalte beschränken und welche Moderationsmaßnahmen gelten (Art. 14 Abs. 1 S. 1 DSA). Sie müssen die Nutzer zudem über etwaige wesentliche Änderungen der AGB informieren (Art. 14 Abs. 2 DSA). Wenn sich die Vermittlungsdienste an Minderjährige richten oder diese ihre Dienste überwiegend nutzen, müssen AGB so verfasst sein, dass auch diese sie verstehen können (Art. 14 Abs. 3 DSA).

Hosting-Diensteanbieter und Online-Plattformen treffen weitere Pflichten.

• Sie müssen etwa nach Art. 16 DSA ein elektronisches und benutzerfreundliches Melde- und Abhilfeverfahren bei rechtswidrigen Inhalten einrichten (Hinweismanagementsystem)23.

• Nutzern, die rechtswidrige oder den Nutzungsbedingungen widersprechende Inhalte veröffentlich haben, muss eine klare und spezifische Begründung für die vorgenommenen Beschränkungen gegeben werden (Art. 17 DSA).

• Bei Verdacht einer Straftat, die eine Gefahr für Leben oder Sicherheit einer Person begründet, besteht die Pflicht zur Meldung an die zuständigen Behörden und zur Bereitstellung aller erforderlicher Informationen (Art. 18 DSA).

Online-Plattformen haben – mit Ausnahme von Kleinst- und Kleinunternehmen – weitergehende Pflichten
(Art. 19 Abs. 4 DSA), unter anderem:

• Sie müssen ein internes Beschwerdemanagementsystem errichten, das eine elektronische und kostenlose Einreichung von Beschwerden gegen die Entscheidung des Anbieters ermöglicht
(Art. 20 DSA).

• Nutzer, die von einer Beschränkung/Sperrung von Inhalten betroffen sind, müssen auch Zugang zu einer zertifizierten außergerichtlichen Streitbeilegungsstelle erhalten (Art. 21 DSA). Maßnahmen und Schutz vor missbräuchlicher Verwendung
(Art. 23) müssen gewährleistet werden. Dazu gehört insbesondere die temporäre (Art. 23 Abs. 1 DSA) und dauerhafte (Art. 23 Abs. 2 DSA) Aussetzung von Nutzern, die häufig und offensichtlich rechtswidrige Inhalte bereitstellen.

• Die Transparenzberichte der Online-Plattformen müssen außerdem um weitere Informationen zu den außergerichtlichen Streitigkeiten und Aussetzungen ergänzt werden (Art. 24 DSA).

• Die Gestaltung und Organisation der Online-Schnittstellen darf nicht mit manipulativen Designs erfolgen, durch die die Nutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit zur freien Entscheidungsfindung maßgeblich behindert werden (Art. 25 DSA).

• Online-Werbung muss transparent, das heißt ihre Natur als Werbung und der Werbende erkennbar sein (Art. 26 Abs. 1 DSA). Zudem müssen die Parameter und ein möglicher Einfluss darauf deutlich werden. Anbieter von Online-Plattformen dürfen keine personalisierte Werbung zeigen, die unter einer automatisierten Verarbeitung bestimmter sensibler personenbezogener Daten erfolgt. Dadurch wird die DSGVO verschärft.

• Auch Empfehlungssysteme sind transparent zu halten: Nutzer müssen in den AGB über die wichtigsten Parameter, die den Empfehlungssystemen zugrunde liegen, sowie Wahlmöglichkeit aufgeklärt werden (Art. 27 DSA).

• Online-Plattformen müssen zudem einen höchstmöglichen Schutz für Minderjährige gewährleisten. Zum Beispiel darf Werbung nicht auf der Grundlage von Profiling erfolgen (Art. 28 DSA).

Für Online-Marktplätze, bei denen dritte Unternehmen Verbrauchern ihre Dienstleistungen und Waren anbieten können, gelten einige Sondervorschriften (Art. 29-32 DSA).

• Solche Online-Plattformen müssen die Nachverfolgbarkeit von Unternehmen sicherstellen (Art. 30 DSA).

• Zudem müssen sie durch Technikgestaltung die Unionsrechtskonformität der anbietenden Unternehmen ermöglichen (Art. 31 DSA).

• Zuletzt müssen sie Verbraucher, die ein rechtswidriges Produkt oder eine rechtswidrige Dienstleistung über ihre Dienste erworben haben, umfassend über diesem Umstand und Abhilfemöglichkeiten informieren (Art. 32 DSA).

VLOP und VLOSEs (monatlich mindestens 45 Mio. aktive Nutzer innerhalb der EU) werden besonders in die Verantwortung genommen.

• Doch insbesondere bei der Frage nach der Bemessung der Nutzeranzahl sind viele Fragen noch ungeklärt, wie nicht zuletzt ein aktuell beim EuG anhängiges Verfahren zeigt: Zalando erhob gegen die Benennung als sehr große Online-Plattform am 27. Juni 2023 Klage. Das Unternehmen geht dagegen vor, wie die Anzahl aktiver Nutzer für die Qualifizierung als VLOP nach Art. 33 DSA bestimmt wird. Zalando bemängelt, dass sämtliche Kunden des Dienstes gezählt würden – wozu im Übrigen auch reine „Betrachter“ der Website gehören24 –, obwohl ein Großteil des Geschäftsmodells Einzelhandelscharakter habe. Das Unternehmen beanstandet auch die Ungleichbehandlung, die sich aus dem Fehlen einer klaren und kohärenten Methodik zur Beurteilung der Frage ergebe, ob ein Unternehmen eine VLOP sei. Darüber hinaus gehe von ihrer Plattform kein „systemisches Risiko“ aus, schädliche oder illegale Inhalte von Dritten zu verbreiten.25

• Für VLOP und VLOSEs gelten insbesondere folgende verschärfte Anforderungen an ein Compliance- und Risikomanagementsystem:

•Sie müssen eine von der operativen Tätigkeit unabhängige Compliance-Abteilung errichten (Art. 41 DSA). Zudem sind sie in besonderer Weise verpflichtet, Risikomanagement zu betreiben (Art. 34, 35 DSA) und sogenannte Krisenreaktionsmechanismen zu gewährleisten (Art. 36 DSA), die im Fall eines systemischen Risikos26 greifen. Die Anforderungen an die Transparenzberichte sind verschärft (Art. 42 DSA).

•Die Plattformen werden mindestens einmal jährlich auf eigene Kosten unabhängig geprüft (Art. 37 DSA). Außerdem erhebt die Kommission eine jährliche Aufsichtsgebühr (Art. 43 DSA). Deren Gesamtbetrag, welcher sich anhand der Delegierten Verordnung (EU) 2023/1127 der Kommission ermitteln lässt, darf den maximalen Gesamtgrenzwert von 0,05% des weltweiten Gewinns aus dem vorangegangenen Geschäftsjahr des Anbieters nicht überschreiten.

4. Exkurs: Die Bedeutung des Digital Markets Act für M&A-Transaktionen

Auch der zweite Teil des Pakets „Digitale Dienste“, der seit dem 2. Mai 2023 geltende Digital Markets Act (DMA), kann für M&A-Transaktionen insbesondere mit Blick auf die Frage einer „Gatekeeper-Stellung“ relevant werden. Die Digitalwirtschaft bildet bereits seit einiger Zeit den Schwerpunkt der Arbeit des Bundeskartellamts und ist damit besonders im Visier der Kartellbehörden.27

Der DMA gilt für zentrale Plattformdienste, die von Torwächtern (sog. Gatekeeper) bereitgestellt oder angeboten werden, und begründet weitere Compliance-Pflichten.

Die Kommission benennt ein Unternehmen nach Art. 3 Abs. 4 DMA als Gatekeeper, wenn es die folgenden drei Voraussetzungen kumulativ erfüllt: Es muss einen erheblichen Einfluss auf den EU-Binnenmarkt haben, einen zentralen Plattformdienst bereitstellen, der gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dient, und hinsichtlich seiner Tätigkeiten eine gefestigte und dauerhafte Position innehaben oder absehbar in naher Zukunft erlangen (Art. 3 Abs. 1 DMA). Der erhebliche Einfluss wird anhand des Umsatzes oder der Marktkapitalisierung bestimmt. Die Einordnung als wichtiges Zugangstor erfolgt anhand der Nutzerzahlen.

Dabei nennt Art. 3 Abs. 2 DMA quantitative Schwellenwerte hinsichtlich Umsatz, Marktkapitalisierung und Nutzerzahl28, bei deren Überschreitung die Erfüllung der Voraussetzungen widerleglich vermutet29 wird. Erreicht ein Unternehmen sämtliche dieser Schwellenwerte, muss es diesen Umstand der Kommission unverzüglich mitteilen, spätestens innerhalb von zwei Monaten (Art. 3 Abs. 3 DMA).

Die Qualifizierung als Gatekeeper begründet eine Reihe von Pflichten. So besteht etwa die Pflicht zur Einrichtung einer Compliance-Funktion im Unternehmen, die aus mindestens einem Compliance-Beauftragten besteht (Art. 28 DMA). Darüber hinaus bestehen zahlreiche weitere Pflichten, unter anderem gegenüber Wettbewerbern oder in Form von Publizitätspflichten, die auf die Ermöglichung eines fairen Wettbewerbs gerichtet sind.

Bei vorsätzlichem oder fahrlässigem Verstoß gegen bestimmte Pflichten kann die Kommission einen Nichteinhaltungsbeschluss mit Geldbußen von bis zu 10% des im vorausgegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes verhängen (Art. 30 Abs. 1 DMA). Bei wiederholten Verstößen sind weitere Geldbußen in Höhe von bis zu 20% möglich (Art. 30 Abs. 2 DMA). Auch hier kann die Kommission tägliche Zwangsgelder von bis zu 5% verhängen, die sich am weltweit erzielten Tagesumsatz des vorausgegangenen Geschäftsjahrs orientieren (Art. 31 DMA).

Daher ist die Einhaltung dieser neuen Pflichten nach dem DMA essenziell. Ist das Target insoweit nicht „compliant“, kann dieser Umstand eine „red flag“ in einer Due Diligence begründen.

5. Exkurs: Die Bedeutung des Data Act für M&A-Transaktionen

Ein weiteres europäisches Gesetz, das für die Geschäftsmodelle nicht nur von Digitalunternehmen von hoher Relevanz werden wird, ist der Data Act. Nach Abschluss der Trilog-Verhandlungen liegt er seit dem 26. Juni 2023 im (englischsprachigen) Entwurf vor und wird voraussichtlich im November 2023 nach förmlicher Bestätigung durch das EU-Parlament und den Rat der Europäischen Union in Kraft treten. Dann läuft eine Umsetzungsfrist von circa 20 bis 24 Monaten. Insbesondere für Hersteller von physischen „connected products“ ist er aber aufgrund der Produktentwicklungszyklen schon jetzt von hoher Relevanz – darunter können Flugzeuge ebenso fallen wie Aufzüge, Smart-Home-Produkte ebenso wie Industrieanlagen mit Sensoren.

Der Data Act sieht EU-weit harmonisierte Regeln für den „fairen Zugang“ und die Nutzung von Daten vor. Er geht weit über eine Regulierung des Internets der Dinge (IoT) hinaus. Vor allem für sogenannte „connected products“ und Cloud-Dienste wird er bedeutende Änderungen bringen, die ein Re-Design bestehender Produkte erfordern und bei der Entwicklung von Produkten und digitalen Geschäftsmodellen künftig berücksichtigt werden müssen.

Besonders praxisrelevant auch bei M&A-Transaktionen sind schon jetzt die Regelungen zum Data Sharing, der gemeinsamen Nutzung von Daten. „Connected products“ und damit im Zusammenhang stehende Dienste müssen den Regulatorien des Data Act entsprechend gestaltet werden (Access by Design). Beispielsweise muss Nutzern jederzeit und unentgeltlich Zugang zu den Daten gewährt werden, die im Endgerät generiert oder gelesen werden. Was vom Gesetzgeber als Stärkung der Rechte des Nutzers im Verhältnis zum sogenannten „data holder“, das heißt dem Hersteller oder Plattform-Betreiber, der über die Daten verfügt, intendiert ist, bedeutet für die betroffenen Unternehmen und deren Produkte eine mit Aufwand und Kosten verbundene Neukonzeption von Produkten und Geschäftsmodellen. Dies kann sich auf den Wert eines Unternehmens der Digitalindustrie auswirken und damit auf den Kaufpreis. Der Compliance mit den Vorgaben des Data Act wird man in einer Due Diligence künftig besondere Aufmerksamkeit widmen müssen, wenn das Target den Pflichten nach dem Data Act unterliegt.

Die neuen Vorgaben des Data Act zum Datentransfer, der Portabilität von Daten zwischen Cloudanbietern30 und der Interoperabilität von Cloud-Diensten werden Cloudanbieter vor besondere Herausforderungen stellen. Der Data Act sieht dazu einen detaillierten Maßnahmenkatalog vor, wie unter anderem technische und organisatorische Maßnahmen (z.B. Schnittstellen zum Export von Daten) und Höchstgrenzen für Kündigungsfristen, um den Nutzern einen schnellen Anbieterwechsel zu ermöglichen. Auch wenn dies aktuell noch „Zukunftsmusik“ ist, werden sich Cloudanbieter nach Inkrafttreten des Data Act schnell auf diese neuen Marktbedingungen einstellen müssen, die auch mit Anpassungen des Geschäftsmodells verbunden sein können. Käufer und Investoren eines Cloudanbieters werden diesen in einer Due Diligence auch auf Compliance mit den neuen Anforderungen nach dem Data Act prüfen.

6. Fazit

Der Digital Services Act wird bei Transaktionen in der Digitalindustrie dazu führen, dass das Target in der Legal Due Diligence auf die Compliance mit den neuen Pflichten nach dem DSA überprüft werden muss. Mangelnde Compliance wird sich sicherlich auch auf die Bewertung des Targets und seinen Kaufpreis auswirken. Das für den Käufer daraus resultierende Risiko sollte durch entsprechende Garantien oder Freistellungen abgesichert werden. Für die Zukunft sollten die erforderlichen Mechanismen dann zeitnah umgesetzt werden, um DSA-Compliance wiederherzustellen.

Risiken aufgrund mangelnder Compliance des Targets mit dem DSA, DMA und dem Data Act können im Kaufvertrag über eine Garantie oder Freistellung abgesichert werden. In diesem Zusammenhang sollte man auch an eine W&I (Warranty & Indemnity)-Versicherung denken, die greift, sollten sich im Kaufvertrag abgegebene Garantieversprechen als falsch herausstellen. Beide Seiten, Käufer und Verkäufer, könnten sich so gegen unkalkulierbare Risiken absichern. Ob sich dies auch für Risiken aus den Compliance-Anforderungen von DSA und DMA bewähren wird, bleibt abzuwarten. Die neuen Digital-Gesetze der EU werden die Akteure in M&A-Transaktionen jedenfalls vor neue, jedoch nicht unlösbare Herausforderungen stellen. 

1 Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste).

2 Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte).

3 https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment/europe-fit-digital-age-new-online-rules-businesses_de.

4 Das derzeit im Referentenentwurf vorliegende Digital Dienste Gesetz (DDG) wird somit ein reines Durchführungsgesetz, das Zuständigkeiten regelt und voraussichtlich das TMG und NetzDG ablöst.

5 Spindler/Schmitz: Telemediengesetz. 2. Aufl., München, 2018, § 8 Rn. 40, 50; Erwägungsgrund 29 DSA.

6 Erwägungsgrund 29 DSA.

7 Auer-Reinsdorff. In: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht. 3. Aufl. 2019, § 21 Rn. 37.

8 Vgl. Erwägungsgrund 13 DSA.

9 Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube und Zalando.

10 Bing und Google Search.

11 https://ec.europa.eu/commission/presscorner/detail/de/IP_23_2413

12 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“).

13 Raue/Heesen, Der Digital Services Act. In: Neue Juristische Wochenschrift (NJW) 2022, 3537-3543, 3538.

14 Spindler. In: Spindler/Schmitz: Telemediengesetz. 2. Aufl. 2018, Vorbemerkung, Rn. 4.

15 Raue/Heesen, Der Digital Services Act. In: Neue Juristische Wochenschrift (NJW) 2022, 3537-3543, 3538.

16 Martini: BeckOK Informations- und Medienrecht, Gersdorf/Paal, 40. Aufl. 2022, § 2 Rn. 9b; Raue/Heesen, Der Digital Services Act. In: Neue Juristische Wochenschrift (NJW) 2022, 3537-3543, 3537.

17 Dregelies, Digital Services Act. In: Zeitschrift für IT-Recht und Recht der Digitalisierung (MMR) 2022, 1033-1038, 1035.

18 EuGH, Urteil v. 22.6.2021 – C-682/18 und C-683/18 „YouTube und Cyando“, Zeitschrift für IT-Recht und Recht der Digitalisierung (MMR) 2021, 705.

19 BGH, Urteil vom 2.6.2022 – I ZR 140/15 „YouTube II“, Zeitschrift für IT-Recht und Recht der Digitalisierung (MMR) 2022, 870.

20 Raue/Heesen, Der Digital Services Act. In: Neue Juristische Wochenschrift (NJW) 2022, 3537-3543, 3539.

21 Dregelies, Digital Services Act, Zeitschrift für IT-Recht und Recht der Digitalisierung (MMR) 2022, 1033-1038, 1036.

22 Vgl. Art. 2 Anhang der Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2003/361/EG).

23 Härting: Internetrecht, 7. Aufl. 2023, Rn. 2165.

24 Ziff. 5 Fragen und Antworten zur Identifizierung und Zählung aktiver Nutzer im Rahmen des Gesetzes über digitale Dienste (DSA), https://digital-strategy.ec.europa.eu/de/library/dsa-guidance-requirement-publish-user-numbers.

25 Zum Ganzen: https://corporate.zalando.com/en/company/zalando-files-legal-action-against-european-commission-contest-its-designation-very-large.

26 Zu den systemischen Risiken gehören nach Art. 34 DSA die Verbreitung rechtswidriger Inhalte über ihre Dienste, nachteilige Auswirkungen auf die Ausübung von Grundrechten, auf die gesellschaftliche Debatte/Wahlprozesse/die öffentliche Sicherheit sowie in Bezug auf geschlechtsspezifische Gewalt, den Schutz der öffentlichen Gesundheit und von Minderjährigen sowie schwerwiegende nachteilige Folgen für das körperliche und geistige Wohlbefinden einer Person.

27 www.bundeskartellamt.de/DE/Wirtschaftsbereiche/Digitale_Wirtschaft/digitale_wirtschaft_node.html.

28 Der erhebliche Einfluss wird bei einem Erreichen eines Jahresumsatzes in der Union von mindestens 7,5 Mrd. EUR in den vergangenen drei Geschäftsjahren oder einer durchschnittlichen Marktkapitalisierung bzw. einem entsprechenden Marktwert im vergangenen Geschäftsjahr von mindestens 75 Mrd. EUR vermutet. Wichtiges Zugangstor ist eine zentrale Plattform dann, wenn sie mindestens 45 Mio. in der Union niedergelassene oder aufhältige monatlich aktive Endnutzer oder 10.000 in der Union niedergelassene jährlich aktive gewerbliche Nutzer aufweist (Art. 3 Abs. 2 lit. b DMA). Werden diese Schwellenwerte in jedem der vergangenen drei Geschäftsjahre erreicht, wird von einer gefestigten und dauerhaften Position ausgegangen (Art. 3 Abs. 2 lit. c DMA).

29 Podszun/Bongartz/Kirk: Digital Markets Act – Neue Regeln für Fairness in der Plattformökonomie. In: Neue Juristische Wochenschrift (NJW) 2022, 3249-3254, 3250.

30 Als sog. „data processing services“ sind u.a. Software as a Service (SaaS), Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) von den neuen Anforderungen des Data Act an die Portabilität von Daten erfasst.