DSA seit Februar 2024: Wie die EU-Plattform-Regulierung Foren und Communities erfasst

Mit dem 17. Februar 2024 erlangte die Verordnung (EU) 2022/2065 über einen Binnenmarkt für digitale Dienste – kurz: Digital Services Act, DSA – volle Geltung für sämtliche von ihr erfassten Anbieter. Verabschiedet wurde die Verordnung bereits am 19. Oktober 2022 durch das Europäische Parlament und am 4. Oktober 2022 durch den Rat, in Kraft trat sie am 16. November 2022. Für die als Very Large Online Platforms (VLOPs) klassifizierten Anbieter mit mehr als 45 Millionen aktiven Nutzern in der EU – darunter Facebook, Instagram, X, TikTok, YouTube, Amazon und weitere – galt sie bereits ab dem 25. August 2023. Mit Ablauf der erweiterten Übergangsfrist erfasst sie nun jedoch das gesamte Ökosystem digitaler Vermittlungsdienste, einschließlich klassischer Foren-Betreiber, Hosting-Provider und Community-Plattformen im deutschsprachigen Raum.

Die Architektur: Schichtweise Pflichten nach Anbietertyp

Der DSA folgt einer differenzierten Regulierungsarchitektur. Die Verordnung unterscheidet zwischen vier aufeinander aufbauenden Anbieterklassen: Vermittlungsdienste (intermediary services) als breiteste Kategorie, Hosting-Dienste als Untermenge mit Speicherfunktion, Online-Plattformen als nutzergenerierte Verbreitungsdienste und schließlich die VLOPs als regulatorische Hochzone. Jede Schicht erbt die Pflichten der jeweils breiteren Klasse und ergänzt sie um spezifische Anforderungen. Ein Foren-Betreiber mit nutzergenerierten Beiträgen fällt typischerweise in die dritte Klasse als Online-Plattform, sofern er nicht die Ausnahmen für Kleinst- und Kleinunternehmen nach Artikel 19 DSA in Anspruch nehmen kann.

Die wesentlichen Pflichten lassen sich in vier Bereiche gliedern. Erstens: Notice-and-Action-Mechanismen nach Artikel 16 DSA, die es Nutzern und Dritten ermöglichen müssen, mutmaßlich rechtswidrige Inhalte zu melden, sowie eine Pflicht zur zeitnahen Bearbeitung dieser Meldungen. Zweitens: Begründungspflichten bei Inhalts- oder Account-Maßnahmen nach Artikel 17 DSA, die jede Moderationsentscheidung gegenüber dem Betroffenen schriftlich zu erläutern verlangen. Drittens: Interne Beschwerdesysteme nach Artikel 20 DSA mit mindestens sechsmonatiger Frist für Widersprüche. Viertens: Jährliche Transparenzberichte nach Artikel 15 DSA mit detaillierten Angaben zur Moderationspraxis, zu Inhalts-Entfernungen und zu behördlichen Anfragen.

Die Schwellenwert-Logik: 45 Millionen, 50 Mitarbeiter, 10 Millionen Euro

Die ökonomische Differenzierung der DSA-Pflichten erfolgt über zwei Schwellenwerte. Die VLOP-Klassifizierung greift bei mehr als 45 Millionen monatlich aktiven Nutzern innerhalb der EU – ein Schwellwert, der etwa zehn Prozent der EU-Bevölkerung entspricht. Die Klein- und Kleinstunternehmens-Ausnahme nach Artikel 19 DSA in Verbindung mit der Empfehlung 2003/361/EG der Kommission gilt für Anbieter mit weniger als 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens zehn Millionen Euro. Wer beide Kriterien erfüllt, ist von den meisten Online-Plattform-Pflichten – etwa der Pflicht zum internen Beschwerdesystem und zu jährlichen Transparenzberichten – befreit, bleibt jedoch den Grundpflichten der Vermittlungs- und Hosting-Dienste unterworfen.

Für die deutschsprachige Foren-Landschaft ergebe sich daraus – so referieren einschlägige juristische Fachveröffentlichungen seit Anfang 2024 – ein gestaffeltes Bild. Großforen wie MotorTalk mit weit über einer Million registrierter Mitglieder, betrieben seit der Übernahme 2008 durch die MotorTalk GmbH als Tochter der mobile.de GmbH und damit eingebettet in den Adevinta-Konzern, dürften die Kleinunternehmens-Schwelle deutlich überschreiten und unter die volle Online-Plattform-Regulierung fallen. Eigenständig betriebene Hobby-Foren mit überschaubarem Mitgliederbestand und ohne nennenswerten Umsatz dagegen blieben in der Regel innerhalb der Ausnahme nach Artikel 19.

Die Trusted-Flagger-Mechanik nach Artikel 22

Eine der strukturell bedeutsamsten Neuerungen des DSA ist das System der Trusted Flaggers nach Artikel 22. Anerkannte Stellen – im deutschen Recht zuständig: der Digital Services Coordinator bei der Bundesnetzagentur, der mit Wirkung des deutschen Digitale-Dienste-Gesetzes vom 14. Mai 2024 etabliert wurde – erhalten privilegierten Zugang zu den Meldekanälen der Plattformen. Ihre Meldungen sind prioritär zu bearbeiten, was im Ergebnis einer faktischen Bevorzugung bestimmter Drittakteure entspricht. Die Anerkennung sei – so kritisieren etwa Stimmen aus der Netzpolitik-Community – mit erheblichen Risiken einer Übergriffigkeit verbunden, da die Schwellenwerte für die Trusted-Flagger-Anerkennung und die Kontrolle ihrer Tätigkeit interpretationsoffen blieben.

Im deutschen Kontext wurde im Oktober 2024 die Trusted-Flagger-Funktion der Meldestelle „Respect!” der Jugendstiftung Baden-Württemberg zum Gegenstand einer öffentlichen Kontroverse, in der die Frage nach der demokratischen Legitimation dieser Strukturen prominent diskutiert wurde. Die Auseinandersetzung verdeutlichte ein strukturelles Problem: Der DSA verlagert Teile der Inhalts-Governance von hoheitlich-gerichtlicher Kontrolle in ein Dreieck aus Plattform, Trusted Flagger und Aufsichtsbehörde, dessen rechtsstaatliche Einhegung noch in der Konkretisierung begriffen ist.

Die Schnittstelle zum NetzDG: Übergang und Verdrängung

Das deutsche Netzwerkdurchsetzungsgesetz (NetzDG), in Kraft seit dem 1. Oktober 2017 und maßgeblich getrieben durch die damalige Bundesregierung unter Justizminister Heiko Maas, war einer der internationalen Vorläufer für eine plattformbezogene Inhalts-Regulierung. Es verpflichtete soziale Netzwerke mit mehr als zwei Millionen registrierten Nutzern zur Löschung „offensichtlich rechtswidriger” Inhalte binnen 24 Stunden und sonstiger rechtswidriger Inhalte binnen sieben Tagen. Mit dem Inkrafttreten des DSA wurden die NetzDG-Pflichten in weiten Teilen verdrängt; das deutsche Digitale-Dienste-Gesetz vom Mai 2024 hob die zentralen NetzDG-Vorschriften – die §§ 1 bis 6 NetzDG – mit Wirkung zum 17. Februar 2024 auf.

Der Übergang vollzog sich nicht ohne Reibung. Bestimmte spezifisch deutsche Konzepte – etwa die Meldepflicht an das Bundeskriminalamt nach § 3a NetzDG für schwere Straftaten – wurden in das parallel verabschiedete Bundesdatenschutzanpassungsgesetz und sektorale Spezialgesetze überführt. Die Komplexität dieser Übergangslage erschwere – so legen es Stellungnahmen aus der anwaltlichen Beratungspraxis nahe – die Compliance kleinerer Anbieter, die ohne eigene Rechtsabteilung kaum überblicken könnten, welche Pflichten aus welchem Regelwerk fortgelten.

Das Verhältnis zur DSGVO: Doppelte Compliance

Eine eigenständige Komplexitätsdimension ergibt sich aus dem Zusammenspiel mit der Datenschutz-Grundverordnung, die seit dem 25. Mai 2018 unmittelbar anwendbar ist. DSGVO und DSA überlappen sich in mehreren Bereichen: Bei der Pflicht zur Information über automatisierte Entscheidungen (Artikel 22 DSGVO und Artikel 27 DSA), bei den Auskunftsrechten der Betroffenen über Inhalts-Moderationsmaßnahmen, bei der Speicherbegrenzung von Moderationsdaten. Beide Regelwerke fordern Transparenz, Begründbarkeit und Beschwerdemöglichkeiten – jedoch mit unterschiedlichen Adressaten, Schwellenwerten und Sanktionsregimen.

Foren-Betreiber müssen daher in der Praxis einen integrierten Compliance-Ansatz wählen, der DSGVO-Auskunftsanfragen, DSA-Beschwerden gegen Moderationsentscheidungen und – im deutschen Kontext – die Anforderungen des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG, in Kraft seit dem 1. Dezember 2021) zusammenführt. Die Bußgeldrisiken sind erheblich. Die DSGVO ermöglicht Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes; der DSA sieht für VLOPs Sanktionen bis zu sechs Prozent des weltweiten Jahresumsatzes vor.

Die strukturelle Frage: Ist ein Hobby-Forum eine „Plattform”?

Die für die deutschsprachige Foren-Welt entscheidende Auslegungsfrage betrifft den Begriff der Online-Plattform nach Artikel 3 lit. i DSA. Die Verordnung definiert ihn als „Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet, sofern diese Tätigkeit nicht eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder eine unbedeutende Funktionalität des Hauptdienstes ist”. Die Auslegung des Kriteriums der „unbedeutenden Nebenfunktion” ist in der ersten Praxisphase noch nicht abschließend geklärt. Ein Vereinsforum etwa, das eine kleinere Diskussionsfunktion zu einer ansonsten klassischen Vereinswebsite anbietet, dürfte als unbedeutende Nebenfunktion gelten und damit nicht als Online-Plattform im DSA-Sinne klassifizieren. Ein eigenständiges Hobby-Forum dagegen, dessen primärer Daseinszweck im nutzergenerierten Austausch besteht, fällt unzweifelhaft unter die Online-Plattform-Definition.

Die Europäische Kommission und die nationalen Digital Services Coordinators veröffentlichten ab Mitte 2024 schrittweise Leitlinien zur Auslegung, doch eine vollständige Konkretisierung steht aus. Die Aussage über die praktische Reichweite der Pflichten für Klein-Foren bleibe – so legen es laufende Stellungnahmen aus der Rechtswissenschaft nahe – mit Vorsicht zu treffen.

Die strukturelle Lehre: Plattform-Regulierung als Daueraufgabe

Der DSA markiert einen historischen Bruch in der europäischen Plattform-Regulierung. Erstmals existiert ein supranationaler, sektorenübergreifender und horizontaler Rechtsrahmen, der die ältere E-Commerce-Richtlinie 2000/31/EG mit ihrem schmalen Haftungsregime ablöst. Die Wirkung wird sich erst über Jahre vollständig entfalten, getrieben durch erste Gerichtsentscheidungen, Auslegungspraxis der Coordinators und unvermeidliche Nachjustierungen durch delegierte Rechtsakte und Leitlinien.

Für die DACH-Foren-Welt bedeutet dies eine dauerhafte Verschiebung des Betriebsrahmens. Die Zeit, in der ein deutschsprachiges Hobby-Forum allein mit Impressum, AGB und Forenregeln rechtskonform zu betreiben war, ist vorbei. Die regulatorische Komplexität ist nicht prohibitiv, aber sie verschiebt die Eintrittsbarrieren spürbar nach oben. Ob diese Verschiebung zur strukturellen Konsolidierung – also zur Verdrängung kleiner unabhängiger Foren zugunsten weniger großer Plattform-Betreiber – führen wird, gehört zu den offenen Fragen der nächsten Jahre. Die Beobachtung des realen Marktverhaltens, jenseits programmatischer Selbstdarstellungen sowohl der Regulierungsbefürworter als auch der Plattform-Lobby, bleibt eine zentrale Aufgabe der nächsten Berichtsperiode.

Die Risikobewertungs-Pflicht: Artikel 34 und die VLOP-Sonderzone

Eine eigene, für die strukturelle Plattform-Ökonomie hochwirksame Schicht des DSA bildet die in den Artikeln 34 und 35 geregelte Pflicht zur jährlichen Risikobewertung systemischer Gefahren. Adressiert sind ausschließlich die VLOPs, also die als „Very Large Online Platforms” benannten Anbieter mit mehr als 45 Millionen monatlich aktiven Nutzern in der EU. Die erste Kommissions-Liste vom 25. April 2023 benannte 17 VLOPs und zwei Very Large Online Search Engines (VLOSEs, namentlich Google Search und Bing). In den folgenden Monaten wurden weitere Anbieter ergänzt, darunter Pornhub, Stripchat und XVideos im Dezember 2023. Die Risikobewertungs-Pflicht erfasse – so referieren einschlägige Veröffentlichungen der Kommission – vier Kategorien systemischer Gefahren: die Verbreitung rechtswidriger Inhalte, negative Auswirkungen auf Grundrechte einschließlich Meinungsfreiheit und Diskriminierungsschutz, Auswirkungen auf öffentliche Sicherheit und demokratische Prozesse sowie geschlechtsspezifische Gewalt, Minderjährigenschutz und psychische beziehungsweise physische Gesundheit. Die methodische Substanz dieser Risikobewertungen bleibt – so deuten es erste Auswertungen der publizierten Berichte etwa von Meta, TikTok und X an – inhomogen und stellenweise von strategischer Selbstdarstellung geprägt.

Die Schnittstelle zum DMA: Plattform-Regulierung als Doppelregime

Parallel zum DSA trat am 1. November 2022 die Verordnung (EU) 2022/1925 über bestreitbare und faire Märkte im digitalen Sektor – der Digital Markets Act (DMA) – in Kraft. Die Designation der ersten sechs „Gatekeeper” durch die Kommission erfolgte am 6. September 2023: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Die Compliance-Verpflichtungen wurden zum 7. März 2024 vollständig wirksam. Während der DSA primär Inhaltsregulierung und Plattform-Sorgfaltspflichten adressiert, zielt der DMA auf Marktmacht-Bekämpfung in den sogenannten Core Platform Services. Für klassische DACH-Foren-Betreiber ist der DMA in der Regel nicht unmittelbar einschlägig, ihre Geschäftsmodelle bewegen sich strukturell unterhalb der Gatekeeper-Schwellen. Mittelbar wirkt der DMA jedoch auf das Foren-Ökosystem ein: Die Verpflichtungen zur Interoperabilität von Messenger-Diensten (Artikel 7 DMA) etwa eröffnen perspektivisch neue Migrationspfade aus geschlossenen Plattform-Silos. Das Verhältnis zwischen DSA und DMA sei – so legen es einschlägige rechtswissenschaftliche Veröffentlichungen nahe – ein eigenständiges Forschungsfeld, dessen praktische Durchdringung erst am Anfang stehe.