Digital Services Act & AI: Regulierung, Verantwortung und digitale Zukunft

Was darf Künstliche Intelligenz – und wer trägt für sie die Verantwortung? Der Digital Services Act (DSA) stellt zusammen mit dem AI Act einen Meilenstein in der europäischen Digitalregulierung dar. Der DSA schafft neue Standards für Online-Plattformen und schützt Nutzerrechte, während er klare Richtlinien für den Einsatz von KI definiert. Wir erklären die komplexen Wechselwirkungen zwischen dem DSA und KI-Systemen und untersuchen deren Auswirkungen auf Unternehmenstypen im digitalen Ökosystem.

Inhaltsverzeichnis:

• Die Grundpfeiler des Digital Services Acts

• Kernverpflichtungen unter dem Digital Service Act EU

• Digital Services Act und AI: Eine komplexe Schnittstelle

• Anwendungsbereich des DSA und betroffene Unternehmen

• Auswirkungen auf verschiedene Unternehmenstypen

• Compliance und Durchsetzung des DSA EU

• Eine neue digitale Verantwortungskultur

Die Grundpfeiler des Digital Services Acts

Der Digital Services Act (DSA) ist seit dem 17. Februar 2024 vollständig in Kraft getreten und bildet einen zentralen Baustein der EU-Digitalstrategie "Europa fit für das digitale Zeitalter". Als umfassender Rechtsrahmen folgt der DSA dem Grundsatz: "Was offline illegal ist, muss auch online illegal sein".

Ziel des DSA ist es, das Internet sicherer, transparenter und fairer zu gestalten. Dabei richtet sich das Regelwerk an alle digitalen Dienste, die zwischen Nutzern und Angeboten vermitteln – vom kleinen Onlineshop bis hin zu globalen Plattformriesen. Besonders im Fokus stehen allerdings sehr große Online-Plattformen und Suchmaschinen, für die strengere Anforderungen gelten.

Die zentralen Ziele des DSA auf einen Blick:

• Stärkung der digitalen Grundrechte

• Transparenz und Rechenschaft

• Förderung von Innovation, Wachstum und Wettbewerb

Der DSA ist Teil eines größeren digitalen Regulierungspakets, zu dem auch der Digital Markets Act (DMA) gehört, der seit Mai 2023 unmittelbar anwendbar ist und sich auf marktbeherrschende "Gatekeeper" konzentriert.

Nationale Umsetzung durch das Digitale-Dienste-Gesetz (DDG)

In Deutschland wird der Digital Services Act durch das Digitale-Dienste-Gesetz (DDG) umgesetzt – ein zentrales Element der deutschen Digitalpolitik, das am 14. Mai 2024 in Kraft getreten ist. Es ersetzt das bisherige Netzwerkdurchsetzungsgesetz (NetzDG) und bündelt gleich drei europäische Richtlinien in einem modernen Rechtsrahmen:

• Richtlinie über den elektronischen Geschäftsverkehr

• Audiovisuelle Mediendienste-Richtlinie

• Urheberrechtsrichtlinie im digitalen Binnenmarkt

Kernbestandteile des DDG umfassen:

• Verschärfte Impressumspflichten für digitale Dienste

• Standardisierte Meldeverfahren für Rechtsverletzungen

• Einrichtung der Koordinierungsstelle für digitale Dienste bei der Bundesnetzagentur

Die Bundesnetzagentur agiert hierfür als Digital Services Coordinator (DSC) mit mehreren spezialisierten Stellen. Ihre Aufgaben reichen von der Überwachung der DSA-Compliance bei nationalen Plattformen über die Zertifizierung von Trusted Flaggern (zuverlässige Meldestellen für illegale Online-Inhalte) bis hin zur Zusammenarbeit mit anderen EU-Mitgliedstaaten im Rahmen des neuen European Board of Digital Services.

Kernverpflichtungen unter dem Digital Service Act EU

Transparenz statt Undurchsichtigkeit, Verantwortung statt Verstecken hinter Algorithmen: Der DSA verpflichtet Plattformen zu konkretem Handeln – abgestimmt auf ihre Rolle im digitalen Raum.

Transparenz und Berichterstattung

Alle Anbieter von Vermittlungsdiensten müssen Transparenzberichte über ihre Inhaltsmoderation veröffentlichen. Die EU-Kommission hatte bereits am 4. November 2024 eine Durchführungsverordnung angenommen, die verbindliche Templates für diese Berichte festlegt. Die Berichte müssen:

• Pro Service veröffentlicht werden

• Spätestens zwei Monate nach Ende des Berichtszeitraums erscheinen

• Über fünf Jahre öffentlich zugänglich bleiben

Risikoanalyse und -management

Sehr große Online-Plattformen müssen systemische Risiken in ihren Diensten analysieren und Maßnahmen zu deren Eindämmung ergreifen. Im Rahmen des DSA wurden im August 2023 erste Risikoberichte eingereicht, die jedoch von Experten als "oberflächlich und vage" bewertet wurden.

Verbot von Dark Patterns

Der DSA verbietet sogenannte "Dark Patterns" – wiederkehrende Muster in Webseiten-Designs, die Nutzer zu ungewolltem Verhalten verleiten sollen. Ein klassisches Beispiel sind Cookie-Banner, die das Akzeptieren aller Cookies einfach, das Ablehnen hingegen unnötig kompliziert gestalten.

Werberichtlinien

Der DSA verbietet gezielte Werbung auf Online-Plattformen basierend auf Profiling bei Minderjährigen oder besonderen Datenkategorien. Plattformen müssen zudem an Kinder gerichtete Werbung einschränken und Nutzern die Möglichkeit geben, keine Empfehlungen zu erhalten, die auf Profilerstellung basieren.

Digital Services Act und AI: Eine komplexe Schnittstelle

Obwohl der Begriff „Künstliche Intelligenz“ im Wortlaut des Digital Services Act (DSA) nicht explizit auftaucht, spielt KI in der praktischen Umsetzung der Verordnung eine zentrale Rolle. Parallel zum DSA hat die EU mit dem AI Act das weltweit erste umfassende Regelwerk für Künstliche Intelligenz geschaffen. Der AI Act, dem das EU-Parlament am 13. März 2024 zugestimmt hat, verfolgt einen risikobasierten Ansatz mit vier Stufen:

• KI-Systeme mit inakzeptablem Risiko – etwa Social Scoring – werden vollständig verboten.

• KI-Systeme mit hohem Risiko, wie z. B. autonome Fahrzeuge, unterliegen strengen technischen und organisatorischen Anforderungen.

• Anwendungen mit begrenztem Risiko müssen spezifische Transparenzpflichten erfüllen.

• KI-Systeme mit minimalem Risiko, etwa Spamfilter, bringen keine zusätzlichen rechtlichen Verpflichtungen mit sich.

Der AI Act trat am 1. August 2024 in Kraft und wird seitdem schrittweise umgesetzt.

Transparenzpflichten für generative KI und synthetische Inhalte

Besondere Aufmerksamkeit gilt derzeit Anbietern generativer KI-Systeme – also Technologien, die selbstständig synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen können. Die EU-Kommission hat formelle Auskunftsersuchen an grosse Plattformen geschickt, mit Fokus auf folgende Themen:

• den Einfluss generativer KI auf demokratische Prozesse und Wahlkämpfe

• die Verbreitung illegaler Inhalte durch KI-gestützte Systeme

• den Schutz von Grundrechten, etwa Meinungsfreiheit und Privatsphäre

• geschlechtsspezifische Gewalt und den Schutz von Minderjährigen

• das psychische Wohlbefinden der Nutzer

Besonderes Augenmerk liegt dabei auf Risiken wie KI-Halluzinationen (Inhalte, die plausibel klingen, aber falsch sind), der viralen Verbreitung von Deepfakes und automatisierten Manipulationen – vor allem im Hinblick auf anstehende Wahlen und gesellschaftlich sensible Debatten.

Anwendungsbereich des DSA und betroffene Unternehmen

Wer gestaltet unsere digitale Wirklichkeit – und wer trägt Verantwortung für die daraus entstehenden Risiken? Der DSA nimmt jene Akteure ins Visier, die den größten Einfluss auf unser Online-Erlebnis haben. Die EU-Kommission hat dementsprechend mehrere sehr große Online-Plattformen (VLOPs: Very Large Online Platforms) und zwei sehr große Online-Suchmaschinen (VLOSEs: Very Large Online Search Engines) identifiziert, die aufgrund ihrer Reichweite von mindestens 45 Millionen monatlich aktiven Nutzern in der EU besonderen Verpflichtungen unterliegen. Zu diesen Unternehmen zählen unter anderen:

• Online-Plattformen: Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Shopping, TikTok, Wikipedia, YouTube und Zalando

• Online-Suchmaschinen: Bing und Google Search

Der DSA differenziert jedoch zwischen verschiedenen Kategorien von Diensteanbietern und legt abgestufte Verpflichtungen fest. Auch kleinere Unternehmen fallen unter den Anwendungsbereich, wobei ihre Verpflichtungen proportional zu ihrer Größe und Kapazität gestaltet sind.

Auswirkungen auf verschiedene Unternehmenstypen

Nicht alle Unternehmen stehen nun vor denselben Herausforderungen – der Digital Services Act (DSA) differenziert bewusst zwischen Plattformgrößen, Geschäftsmodellen und Risikopotenzialen. Diese abgestufte Regulierung soll den digitalen Raum nicht nur sicherer, sondern auch innovationsfreundlich gestalten. 

Tech-Giganten und große Plattformen

Für die als VLOPs und VLOSEs eingestuften Unternehmen gelten die strengsten Anforderungen. Ihre enorme Reichweite bringt ein besonderes Maß an Verantwortung mit sich – ebenso wie klare Konsequenzen bei Verstößen:

• Externe und unabhängige Prüfungen

• Ein umfangreiches Risikomanagement

• Austausch von Daten mit Behörden und Forschern 

• Annehmen eines Verhaltenskodex 

Bei Nichteinhaltung drohen Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes – für Unternehmen wie Google, Meta oder Amazon ein Risiko in Milliardenhöhe.

Mittelständische Online-Plattformen

Für mittelgroße Plattformen gelten weniger umfangreiche, aber dennoch signifikante Verpflichtungen:

• Transparenzberichte 

• Meldeverfahren für illegale Inhalte 

• Informieren der Nutzer über Entscheidungen

• Verzicht auf Dark Patterns

Kleine Unternehmen und Startups

Mikro- und Kleinunternehmen profitieren von proportionalen Verpflichtungen, die ihrer Größe und Kapazität angemessen sind. Selbst bei erheblichem Wachstum können sie während einer Übergangszeit von 12 Monaten von bestimmten Verpflichtungen ausgenommen werden. Dies soll verhindern, dass Innovationen und Markteintritt durch übermäßige regulatorische Belastung gehemmt werden.

Sektorspezifische Auswirkungen

Je nach Geschäftsmodell greifen zusätzliche branchenspezifische Regelungen, die auf typische Risiken und Besonderheiten einzelner Plattformtypen zugeschnitten sind:

E-Commerce-Plattformen

• Verpflichtung zur Überprüfung von Händlerdokumenten (USt-ID, Gewerbeanmeldungen)

• Einführung verifizierter Herstellerangaben bei Produktlisten

• Automatisierte Recall-Systeme für unsichere Produkte

Soziale Netzwerke

• Obligatorisches Fact-Checking-System für politische Werbung

• Transparente Kennzeichnung algorithmischer Empfehlungen

• Einrichtung unabhängiger Beschwerdegremien nach Art. 20 DSA

Medienunternehmen

• Dokumentationspflicht für KI-generierte Nachrichteninhalte

• Zertifizierung von Deepfake-Erkennungssystemen

• Kooperation mit Trusted Flaggern bei Hassrede

Compliance und Durchsetzung des DSA EU

Die Wirksamkeit des Digital Service Acts steht und fällt mit einer klaren, durchsetzungsstarken Aufsicht. Um faire und rechtskonforme digitale Räume zu garantieren, ist die Umsetzung zweistufig organisiert:

• Durch nationale Aufsichtsbehörden der EU-Mitgliedstaaten

• Durch die EU-Kommission selbst, die direkte Aufsichtsbefugnisse über sehr große Online-Plattformen und Suchmaschinen hat

Für Unternehmen bedeutet dies einen erheblichen Compliance-Aufwand, der frühzeitige Vorbereitung und agile, kontinuierliche Anpassungen der internen Prozesse und Systeme erfordert.

Eine neue digitale Verantwortungskultur

Mit dem DSA und dem AI Act nimmt Europa Kurs auf eine neue digitale Verantwortungskultur, die Innovation nicht bremst, sondern begleitet. Plattformbetreiber stehen vor der Aufgabe, ihre Systeme nicht nur effizient, sondern auch ethisch tragfähig zu gestalten. Transparenz, Fairness und Sicherheit sind keine freiwilligen Ideale mehr – sie sind gesetzlich gefordert. Gerade im Zusammenspiel mit KI-Systemen wird deutlich: Es geht nicht nur um Technik, sondern um Werte. Um den Schutz von Nutzerrechten, um demokratische Resilienz und um Vertrauen in digitale Räume. Der DSA ist dafür kein Endpunkt, sondern ein Ausgangspunkt – für eine digitale Zukunft, die nicht nur funktioniert, sondern auch gerecht ist.