Johannes Heidelberger, der Digital Services Coordinator (DSC) in der Bundesnetzagentur, zieht eine positive Bilanz seiner Arbeit: Mit der Veröffentlichung seines Tätigkeitsberichts 2025 macht er deutlich, dass die Durchsetzung des Digital Services Act (DSA) in Deutschland an Fahrt gewonnen hat. 2024 war noch von personellen Aufbauarbeiten und dem Inkrafttreten des Digitale-Dienste-Gesetz (DDG) geprägt. Das erste volle Kalenderjahr der Umsetzung zeigt nun messbare Erfolge für den Schutz der Nutzer.

Die Koordinationsstelle hat sich laut dem Bericht zu einer effektiven Plattformaufsicht entwickelt, die systemische Mängel bei den digitalen Giganten adressiert. Ein Pfeiler dieser Arbeit ist das DSC-Beschwerdeportal, das 2025 einen regelrechten Ansturm erlebte. Im Vergleich zum Rumpfjahr 2024, in dem nur 884 Eingänge verzeichnet wurden, stieg die Zahl der Eingaben auf insgesamt 3321.

Davon entfielen 2033 Beschwerden direkt auf mögliche Verstöße gegen den DSA – ein Plus von fast 150 Prozent gegenüber dem Vorjahr. Die Bürger kritisieren dabei vor allem mangelhafte Begründungen der Plattformen bei Kontosperren oder Intransparenz bei der Entfernung von Inhalten. Da ein Großteil dieser Beschwerden Plattformen wie Meta oder Google betrifft, die ihren Sitz in Irland haben, übermittelte die Stelle 237 Fälle zur weiteren Bearbeitung an den irischen DSC. 2024 waren es erst 83.

Verfahren und Sanktionen gegen Big Tech

Parallel greift der Koordinator in seinem eigenen Zuständigkeitsbereich härter durch: Insgesamt leitete er im Berichtszeitraum 26 neue nationale Verwaltungsverfahren gegen Vermittlungsdienste ein. Bis Ende 2024 waren es insgesamt nur vier. Ein konkreter Schwerpunkt der aktuellen Ermittlungen liegt auf der unzureichenden Umsetzung von Artikel 16 (Melde- und Abhilfeverfahren) und Artikel 17 (Begründung von Entscheidungen) des DSA. In einem Verfahren konnte der DSC bereits schnelle Abhilfe erzielen, indem ein Diensteanbieter seine internen Beschwerdeprozesse unmittelbar nach Einleiten des Verfahrens korrigierte.

Ein weiteres Verfahren richtete sich gegen einen Online-Marktplatz, der die Nachverfolgbarkeit von Händlern vernachlässigt hatte, wodurch Verbraucher vor potenziell unsicheren Produkten geschützt werden sollen. Dass die Regulierung auch finanzielle Konsequenzen hat, belegen Verfahren auf EU-Ebene: 2025 konnte der DSC hier die EU-Kommission maßgeblich unterstützen, was in einem Bußgeld von 120 Millionen Euro gegen Elon Musks Plattform X mündete: Die EU wirft der Plattform irreführende Verifizierungssysteme und erschwerten Datenzugang für Forscher vor.

Zivilgesellschaft und Forschung als Kontrollinstanz

Neben der staatlichen Aufsicht zertifiziert der DSC die sogenannten „Trusted Flaggern“. 2024 war mit der Meldestelle Respect nur ein solcher „vertrauenswürdiger Hinweisgeber“ zertifiziert. 2025 stieg die Zahl durch die Anerkennung des Bundesverbands Onlinehandel, HateAid und des Bundesverbands der Verbraucherzentralen (vzbv) auf vier an. Diese können Meldungen über rechtswidrige Inhalte einreichen, die von den Plattformen vorrangig bearbeitet werden müssen.

Auch im Bereich der Wissenschaft meldet die Behörde einen Durchbruch: Im Oktober startete das EU-Datenportal. Der deutsche DSC erhielt bereits in den ersten 24 Stunden nach Inkrafttreten des entsprechenden Rechtsakts den ersten Forschungsantrag. Insgesamt gingen acht Ersuchen ein, die darauf abzielen, systemische Risiken wie die Verbreitung von Desinformation oder den Schutz von Minderjährigen in Social-Media-Feeds wissenschaftlich zu untersuchen. Damit soll die algorithmische Blackbox für die Forschung geöffnet werden.

Kooperation als Schlüssel zum Erfolg

Der DSC agiert in einem engen Netzwerk. Er bündelt die Expertise der Landesmedienanstalten für den Jugendschutz, der Bundesdatenschutzbeauftragten und der Bundeszentrale für Kinder- und Jugendmedienschutz. Der DSC verfügt mittlerweile über ein Team von rund 30 besetzten Stellen und ein Budget von 1,7 Millionen Euro für Sachkosten.

(vbr)

Frankreichs Urheberrechts-Bestrafungssystem Hadopi ist ab sofort weitgehend wirkungslos. Seit 2010 sieht das Modell der „abgestuften Erwiderung” auf vermutete Urheberrechtsverletzung in P2P-Netzen (Filesharing) beim dritten Mal eine Geldstrafe vor („three strikes”). Das Problem: Dafür speichert der Internetprovider (ISP) des verdächtigten Anschlussinhabers personenbezogene Daten gemeinsam mit Informationen über die vermutlich kopierten Werke. Dies erfolgt auf Zuruf privater Organisationen. Die Daten können tiefen Einblick in besonders sensible Bereiche des Privatlebens gewähren, beispielsweise in die sexuelle oder religiöse Orientierung.

Frägt die für Hadopi zuständige Regulierungsbehörde Arcom diese Daten mehr als zweimal ab, kann sich ein Muster zeigen. Daher hat der Conseil d’État, das höchste Verwaltungsgericht Frankreichs, am Donnerstag Arcom untersagt, die Daten mehr als zweimal pro verdächtigem Anschlussinhaber anzufordern (Erkenntnis N° 433539). Denn ohne unabhängige Genehmigung der Einsichtnahme ist das Datenschutzrisiko unverhältnismäßig zur Ahndung geringfügiger Verletzungen des Urheberrechts und verstößt gegen die Vorgaben des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung. Notwendig wäre getrennte Speicherung von IP-Adressen und Inhaltsdaten.

Damit fällt die Möglichkeit, beim dritten Verstoß eine Geldstrafe durch die Staatsanwaltschaft zu veranlassen, weg. Beim ersten Verdachtsfall schickt die Behörde eine Warnung per E-Mail, beim zweiten Mal per Einschreiben. Doch zur bisher vorgesehenen Geldstrafe von bis zu 1.500 Euro kommt es vorerst nicht mehr. Das Verbot der dritten Datenverknüpfung gilt ab sofort. Das Kulturministerium wollte, dass die Datenschutzverletzungen ein Jahr lang weiterlaufen dürfen; doch das hat der Conseil d’État abgelehnt, zumal seit der einschlägigen EuGH-Vorlageentscheidung genau zwei volle Jahre verstrichen sind.

Alternativen sind möglich

In dieser Zeit hätten Gesetzgeber oder Regulierungsbehörde auf die Vorgaben des EuGH reagieren können. Möglich wären beispielsweise Auflagen, wonach die Internetprovider die Daten getrennt zu speichern haben; Bestrafung bereits beim zweiten Verstoß; Genehmigungen im Einzelfall durch ein Gericht oder eine andere unabhängige Behörde; oder blinde Verwarnungen, bei denen Arcom nicht erfährt, welche Werke unzulässig kopiert worden sein sollen.

Kommenden Mittwoch möchte sich die Regulierungsbehörde mit Vertretern der großen Rechteinhaber dazu beraten. Allerdings ist der Betrieb des Hadopi-Systems teuer, und seit seiner Konzeption ist die Bedeutung von P2P-Filesharing deutlich zurückgegangen. Zudem ist die Wirksamkeit des Three-Strike-Ansatzes seit jeher zweifelhaft.

Sind die vermuteten Verstöße gegen das Urheberrecht so schwer, dass sie strafrechtlich relevant werden, hält das Höchstgericht auch die mehrmalige Zusammenführung der Daten für zulässig. Strafrechtliche Verfolgung ist allerdings sowieso, auch ohne Hadopi mit seinem Three-Strikes-Modell, möglich.

Die Aussetzung der tiefgreifenden Datenauswertung ist ein Erfolg für jene Vier, die seit vielen Jahren gegen Hadopi prozessieren: die Bürgerrechtsorganisation Quadrature du Net, der älteste ISP Frankreichs French Data Network, der regionale ISP Franciliens.net (beide gemeinnützig) und der Verband gemeinnütziger Internetzugangsprovider in Frankreich (Fédération FDN).

(ds)

Die Bundesregierung hat die Weichen für eine umfassende Regulierung der Cybersicherheit von vernetzten Produkten in Deutschland gestellt. Mit dem Entwurf eines Gesetzes zur Durchführung der Cyberresilienz-Verordnung (Cyber Resilience Act) der EU soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur zentralen Instanz für die Sicherheit im digitalen Binnenmarkt werden.

Das BSI übernimmt dabei laut dem am Mittwoch vom Bundeskabinett auf den Weg gebrachten Regierungsentwurf eine Doppelrolle als Marktüberwachungs- und Notifizierungsbehörde. So soll das Bonner Amt weitreichende Befugnisse erhalten, um sicherzustellen, dass Produkte mit digitalen Elementen – vom smarten Kühlschrank bis zur industriellen Steuerung – die EU-weiten Mindestanforderungen an die Cybersicherheit erfüllen.

Die Initiative folgt dem Prinzip einer Eins-zu-eins-Umsetzung der europäischen Vorgaben. Die Regierung verzichtet bewusst auf zusätzliche nationale Anforderungen, um den bürokratischen Aufwand für die Wirtschaft gering zu halten. Hersteller werden durch den Cyber Resilience Act (CRA) verpflichtet, schon bei der Konzeption Sicherheitsaspekte zu berücksichtigen (Security by Design), Risikobewertungen vorzunehmen und über den Lebenszyklus eines Produkts Sicherheitsupdates bereitzustellen.

Besonders relevant ist die neue Meldepflicht für aktiv ausgenutzte Schwachstellen. Sie greift schon ab dem 11. September 2026. Die vollständigen Anforderungen sollen erst ab Dezember 2027 verbindlich werden.

Personalaufbau und neue Kontrollinstanzen beim BSI

Um diese Mammutaufgabe zu bewältigen, ist ein hoher personeller Aufwand vorgesehen. Das BSI soll für die neuen Aufgaben bereits in diesem Jahr 95 zusätzliche Stellen erhalten. Bis 2029 soll dieser Bedarf auf insgesamt 141 Stellen anwachsen.

Neben der Überwachung der Konformität von Produkten wird das BSI eine Beschwerdestelle für Verbraucher einrichten. Zudem erhält die Behörde die Kompetenz, Prüfstellen bei Engpässen auch selbst zu bewerten und zu überwachen, sofern ein öffentliches Interesse an deren Notifizierung besteht.

Ein zentraler Baustein des Gesetzes sind gezielte Unterstützungsangebote. Das BSI wird beauftragt, Sensibilisierungen und Schulungen anzubieten, die sich ausdrücklich auch an kleine und mittlere Unternehmen (KMU) sowie an Verwalter von Open-Source-Software richten.

Ein Reallabor für Cyberresilienz soll Herstellern eine kontrollierte Umgebung bieten, um die Anforderungen der Verordnung praktisch zu erproben. Für die Einrichtung dieses Zentrums und die Notifizierung von Prüfstellen veranschlagt der Bund einmalig Kosten in Höhe von rund 10 Millionen Euro.

Politische Debatte um Fristen und Kapazitäten

Der Entwurf geht nun an Bundestag und Bundesrat. Die Länderkammer muss dem Gesetz nicht zustimmen. Abgeordnete begrüßen das Vorhaben grundsätzlich, stellen aber kritische Fragen. Digitalpolitiker aus der Regierungskoalition wie Henri Schmidt (CDU) loben die Unterstützung für KMU und bringen eine Ausweitung dieser Angebote auf weitere Akteure ins Spiel.

Die Grünen mahnen indes zur Eile, da die EU-Vorschriften zur Notifizierung bereits im Juni 2026 wirksam werden. Die digitalpolitische Sprecherin Jeanne Dillschneider warnte im Gespräch mit dem SZ-Dossier davor, die langen Übergangsfristen könnten Firmen dazu verleiten, nötige Vorbereitungen aufzuschieben. Sie zieht Parallelen zur Umsetzung der NIS2-Richtlinie, bei der viele Einrichtungen Meldefristen versäumten. Erforderlich sei eine frühzeitige Vorbereitung der Prüfstrukturen, um Engpässe bei der Produktzertifizierung zu vermeiden.

(wpl)