DSA, DMA, DDG: Wie die EU-Online-Regulierung 2024 die DACH-Online-Welt verändert

Die Jahre 2023 und 2024 markieren in der EU-Digitalpolitik eine Zäsur, die in der Dichte und Wirkung mit der DSGVO-Welle der Jahre 2016 bis 2018 vergleichbar ist. Innerhalb von 18 Monaten traten drei eng verzahnte Regelwerke in Kraft, die zusammen ein neues normatives Fundament für die digitale Wirtschaft im Binnenmarkt bilden. Der Digital Services Act, formell die Verordnung (EU) 2022/2065 vom 19. Oktober 2022, regelt Plattformen, Marktplätze und Vermittlungsdienste. Der Digital Markets Act, Verordnung (EU) 2022/1925 vom 14. September 2022, adressiert die Marktmacht großer Gatekeeper. Und das deutsche Digitale-Dienste-Gesetz vom 14. Mai 2024 setzt den DSA national um und ersetzt das Telemediengesetz, das seit März 2007 in Kraft war. Für die DACH-Online-Welt ergibt sich daraus ein Geflecht aus Pflichten, Aufsichtsstellen und Haftungsfragen, das die operative Praxis von Plattformbetreiber:innen, Händler:innen und selbstständigen Publisher:innen unmittelbar betrifft.

Der DSA als horizontales Plattform-Recht

Der Digital Services Act ist seit 25. August 2023 verbindlich für die sogenannten Very Large Online Platforms und Very Large Online Search Engines, also Dienste mit durchschnittlich mehr als 45 Millionen aktiven Nutzer:innen im EU-Raum. Seit dem 17. Februar 2024 gelten die Vorgaben für alle weiteren Vermittlungsdienste, soweit sie nicht unter die Ausnahmen für Kleinst- und Kleinunternehmen fallen. Die im Frühjahr 2026 aktuelle Liste der designierten VLOPs und VLOSEs umfasst rund 22 Dienste, darunter Facebook, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, YouTube, X, Amazon, Google Play, Google Maps, Google Search, Bing, AliExpress, Shein, Temu, Wikipedia, Booking.com, Pornhub, Stripchat, XVideos und Zalando. Die Designation erfolgt durch die Europäische Kommission auf Basis der von den Diensten selbst gemeldeten Nutzer:innen-Zahlen und ist nach Schwellenüberschreitung mit einer Übergangsfrist von vier Monaten verbunden.

Inhaltlich legt der DSA für die VLOPs und VLOSEs einen mehrstufigen Pflichtenkatalog fest. Im Zentrum steht das jährliche Risk Assessment, in dem die Dienste systemische Risiken etwa für die öffentliche Debatte, den Schutz Minderjähriger, die Verbreitung illegaler Inhalte und die Wahlintegrität untersuchen müssen. Begleitet wird das Assessment von verpflichtenden Mitigation-Maßnahmen und einer unabhängigen Auditierung. Hinzu kommen halbjährliche Transparenzberichte, die unter anderem die Zahl der gemeldeten Inhalte, die durchschnittliche Bearbeitungsdauer und die eingesetzten Moderationsressourcen offenlegen. Mit dem Researcher-Access nach Artikel 40 DSA wurde 2024 erstmals ein verbindlicher Zugang für zugelassene Forschende zu Plattformdaten geschaffen — ein Instrument, dessen Wirkung im Frühjahr 2026 noch in einer frühen Praxisphase steht, das aber in mehreren Pilotverfahren bereits konkrete Datenzugänge zu TikTok und X eröffnet hat.

Für kleinere Plattformen und Vermittlungsdienste gelten gestaffelte Pflichten. Verpflichtend bleiben die Einrichtung von Notice-and-Action-Verfahren, die Bereitstellung eines elektronischen Kontaktpunkts für Behörden und die Abbildung statementbasierter Begründungen für Inhaltsentscheidungen. Marktplätze, also Plattformen, auf denen Verbraucher:innen mit Händler:innen Verträge schließen, unterliegen zusätzlichen Sorgfaltspflichten nach dem sogenannten Know-Your-Business-Customer-Prinzip. Sie müssen Identität, Anschrift und Handelsregisternummer ihrer gewerblichen Nutzer:innen prüfen, bevor diese Angebote einstellen dürfen — eine Vorgabe, die im DACH-Markt vor allem Plattformen wie Etsy, eBay, Kleinanzeigen, Refurbed oder Hood.de in den vergangenen 18 Monaten zu erheblichen Onboarding-Umbauten gezwungen hat.

Der DMA und die sieben Gatekeeper

Der Digital Markets Act folgt einer anderen Logik. Während der DSA horizontal wirkt, ist der DMA ein Marktmacht-Instrument. Er adressiert ausschließlich Unternehmen, die als „Gatekeeper” designiert sind, also über zentrale Plattformdienste eine dauerhafte und tragfähige Position im Binnenmarkt halten. Seit 2. Mai 2023 ist die Verordnung anwendbar, seit 6. März 2024 müssen die ersten designierten Gatekeeper die operativen Pflichten erfüllen. Die im Frühjahr 2026 gültige Liste umfasst rund 22 Plattformdienste aus sieben Konzernen: Alphabet, Amazon, Apple, Booking, ByteDance, Meta und Microsoft. Adressiert sind unter anderem der Google Play Store, Google Search, Google Maps, YouTube, Android, Chrome, der Apple App Store, iOS, Safari, der Amazon Marketplace, Amazon Advertising, Facebook, Instagram, WhatsApp, Messenger, der Meta Marketplace, TikTok, Booking.com, LinkedIn, Windows und Microsoft Advertising.

Die Pflichten unterscheiden sich erheblich vom DSA. Im Zentrum stehen Verbote der Selbstbevorzugung, Pflichten zur Interoperabilität — etwa für Messenger-Dienste — sowie ein Verbot, Daten aus unterschiedlichen Diensten ohne ausdrückliche Einwilligung zusammenzuführen. Für die DACH-Wirtschaft hat das seit 2024 mehrere unmittelbare Effekte. Apple hat im März 2024 erstmals alternative App-Stores auf iOS in der EU zugelassen, die Sideload-Möglichkeit eröffnet und die Provisionsstruktur des App Store für Entwickler:innen mit EU-Sitz angepasst. Google hat das Choice-Screen-Verfahren ausgeweitet und die Trennung zwischen Werbe- und Suchergebnissen in der EU-Variante präziser gekennzeichnet. Meta bietet seit November 2023 ein bezahltes werbefreies Abonnement für Facebook und Instagram im EU-Raum an — eine Konstruktion, die seit ihrer Einführung Gegenstand mehrerer noch laufender Verfahren vor dem Europäischen Datenschutzausschuss ist.

Die Kommission hat im Verlauf des Jahres 2024 die ersten Non-Compliance-Verfahren eröffnet, darunter Verfahren gegen Apple wegen der Steering-Regeln im App Store, gegen Meta wegen des „Pay or Consent”-Modells und gegen Alphabet wegen der Google-Search-Praxis bei vertikalen Diensten. Die Bußgeldrahmen sind erheblich: Bis zu 10 Prozent des weltweiten Jahresumsatzes des Gesamtkonzerns sind nach Artikel 30 DMA möglich, im Wiederholungsfall bis zu 20 Prozent. Für Alphabet etwa würde das auf Basis des Konzernumsatzes 2024 ein theoretisches Maximalbußgeld jenseits von 35 Milliarden US-Dollar bedeuten — ein Indikator dafür, dass die Verfahren auch unabhängig von ihrem konkreten Ausgang erhebliche Investitionsentscheidungen in den betroffenen Konzernen auslösen.

Das deutsche Digitale-Dienste-Gesetz

Das deutsche Digitale-Dienste-Gesetz (DDG) ist seit 14. Mai 2024 in Kraft und setzt den DSA in nationales Recht um. Es ersetzt das Telemediengesetz, das seit März 2007 die rechtliche Klammer für nahezu alle Online-Dienste in Deutschland gebildet hatte, und überführt zugleich Teile des Netzwerkdurchsetzungsgesetzes (NetzDG) von 2017 in die neue Systematik. Das DDG schafft erstens die organisatorische Zuständigkeit. Koordinatorin für digitale Dienste nach Artikel 49 DSA ist die Bundesnetzagentur in Bonn. Sie übernimmt damit eine Rolle, die zuvor zwischen den Landesmedienanstalten, dem Bundesamt für Justiz und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit verteilt war.

Zweitens präzisiert das DDG die nationalen Begleitvorschriften, etwa die Anforderungen an Impressum und Kennzeichnungspflichten kommerzieller Kommunikation, das Verfahren bei Auskunftsersuchen der Strafverfolgungsbehörden und die Sanktionsstruktur. Bußgelder bis zu sechs Prozent des weltweiten Jahresumsatzes sind möglich, abgestuft nach Verstoßkategorie. Drittens regelt das DDG die Rolle der Trusted Flagger nach Artikel 22 DSA — also der von der Bundesnetzagentur akkreditierten Meldestellen, deren Hinweise von Plattformen prioritär zu bearbeiten sind. Bis Anfang 2026 hat die Bundesnetzagentur rund ein Dutzend Organisationen akkreditiert, darunter mehrere Jugendschutz-Stellen und Fact-Checking-Initiativen.

Für DACH-Publisher:innen und kleinere Plattformbetreiber:innen ergeben sich aus dem Zusammenspiel von DSA und DDG drei zentrale Konsequenzen. Erstens müssen auch Foren, Kommentar-Sektionen, Bewertungssysteme und ähnliche User-Generated-Content-Funktionen als Vermittlungsdienste verstanden werden, sofern sie nicht rein redaktionell vorgehalten sind. Zweitens sind die Begründungspflichten für Moderationsentscheidungen so granular, dass viele Betreiber:innen ihre internen Workflows formalisieren und dokumentieren mussten — ein Aufwand, der vor allem mittelständische Anbieter:innen trifft, deren bisherige Praxis informeller Natur war. Drittens hat sich die Beweis- und Dokumentationslast bei behördlichen Auskunftsersuchen verschoben: Betreiber:innen müssen seit Mai 2024 nachvollziehbar dokumentieren, welche Daten sie auf welcher Grundlage herausgegeben haben.

Folgen für Marktplätze, Influencer:innen und Selbstständige

Über die unmittelbar adressierten Plattformen hinaus wirken DSA und DMA in eine Reihe von Praxisfeldern hinein, die für die DACH-Online-Wirtschaft prägend sind. Marktplätze müssen seit Februar 2024 die Identität ihrer gewerblichen Verkäufer:innen prüfen, was im Bereich Reseller-Onboarding zu deutlich längeren Freigabezeiten geführt hat. Mehrere DACH-Marktplätze melden seit 2024 Rückgänge an gewerblich erfassten Neueinsteiger:innen von 15 bis 30 Prozent, was branchenintern teils als Konsolidierungseffekt gegen Scheinhändler:innen aus Drittstaaten, teils als Hemmnis für seriöse Klein- und Mittelständler:innen interpretiert wird.

Im Bereich Influencer- und Affiliate-Marketing schärfen DSA-Artikel 26 und die nationalen Begleitvorschriften die Anforderungen an die Kennzeichnung kommerzieller Kommunikation. Das Bundesgerichtshofs-Urteil vom 9. September 2021 (Az. I ZR 90/20 u. a.) zur Werbe-Kennzeichnungspflicht von Instagram-Posts hatte die Linie bereits markiert; das DDG übersetzt sie in eine plattformübergreifende Logik. Wer in Newsletter, auf Substack-Seiten, in Podcasts oder in YouTube-Videos affiliate-basierte Empfehlungen ausspielt, muss seit 2024 nicht nur das einzelne Posting kennzeichnen, sondern auch eine systematische Disclosure-Praxis vorhalten — mit aufrufbaren Übersichten der Kooperationspartner:innen und nachvollziehbaren Update-Zeitpunkten.

Für Selbstständige in der digitalen Wirtschaft ist die Wirkung der EU-Trias damit doppelt. Auf der einen Seite engt sie die Spielräume informellen Vorgehens ein und erhöht den Dokumentationsaufwand spürbar. Auf der anderen Seite eröffnet sie Marktchancen: Wer Compliance als Beratungsleistung anbietet, wer Tooling für Notice-and-Action-Verfahren entwickelt, wer Audit-Dienste für VLOPs erbringt oder wer als Trusted Flagger akkreditiert ist, agiert in einem schnell wachsenden Markt. Die Marktforschungsfirma IDC habe Ende 2025 prognostiziert, dass das Volumen für DSA- und DMA-bezogene Compliance-Dienstleistungen im DACH-Raum 2026 auf rund 1,2 Milliarden Euro anwachsen werde.

Was offen bleibt

Im Frühjahr 2026 sind viele Detailfragen noch ungeklärt. Der EuGH hat seit Inkrafttreten der DSA mehrere Vorlageverfahren angenommen, die unter anderem die Reichweite der Begründungspflichten, die Auslegung des Begriffs des „aktiven Empfängers” und die Trusted-Flagger-Akkreditierung betreffen. Die Bundesnetzagentur als deutsche Koordinatorin baut ihre Aufsichtsstrukturen weiter aus; die Kommission hat angekündigt, ihre VLOP-Liste 2026 zu überprüfen und um neue Dienste zu erweitern. Auch das Verhältnis zwischen DSA, DSGVO und nationalen Medienrechten — etwa dem Medienstaatsvertrag in Deutschland — ist in mehreren Aspekten Gegenstand laufender Klärungen.

Für die DACH-Online-Welt heißt das: Die EU-Regulierungswelle 2022 bis 2024 ist nicht abgeschlossen, sie tritt vielmehr in ihre Konsolidierungsphase ein. Die rechtliche Klammer, in der Plattformen, Marktplätze, Selbstständige und Influencer:innen seit 2024 agieren, ist enger als zuvor — und sie wird im Verlauf der kommenden Quartale durch konkrete Aufsichtspraxis und gerichtliche Klärungen weiter ausgeformt. Wer in der digitalen Wirtschaft langfristig planen will, wird sich diese Klammer nicht mehr als externe Auflage, sondern als strukturierendes Element der eigenen Geschäftslogik aneignen müssen.

Österreich und die Schweiz: zwei eigene Wege

Eine eigene Erwähnung verdienen die Parallelentwicklungen in Österreich und der Schweiz, die im DACH-Kontext oft an den Rand der Diskussion geraten. Österreich hat den DSA mit dem Koordinator-für-digitale-Dienste-Gesetz (KoDiG) vom 17. Februar 2024 nationalisiert; zuständig ist die Kommunikationsbehörde Austria (KommAustria) gemeinsam mit der Rundfunk und Telekom Regulierungs-GmbH (RTR). Inhaltlich entspricht die österreichische Umsetzung weitgehend der deutschen, weicht aber in der organisatorischen Aufstellung und in der Bußgeldlogik ab — Bußgelder sind in Österreich auf bis zu 6 Prozent des EU-Umsatzes des betroffenen Anbieters gedeckelt. Die Schweiz, als Nicht-EU-Mitglied, unterliegt formal weder DSA noch DMA. Allerdings dürften beide Verordnungen über die De-facto-Reichweite auf schweizerische Anbieter:innen wirken, sobald sie den europäischen Binnenmarkt bedienen. Der Schweizer Bundesrat hat im Frühjahr 2025 eine Vernehmlassung zu einem eigenen Plattform-Gesetz eröffnet, dessen Verabschiedung für das Jahr 2027 erwartet wird. Bis dahin gilt für schweizerische Plattformanbieter:innen die paradoxe Lage, dass sie sich EU-rechtlich an DSA und DMA orientieren müssen, ohne ein nationales Äquivalent zu haben.

Wirtschaftliche Größenordnungen und mittelfristige Linien

Eine Einordnung der wirtschaftlichen Größenordnungen hilft, die Welle nüchtern zu kalibrieren. Die Europäische Kommission rechnet für die Umsetzung des DSA in den ersten drei Jahren mit Compliance-Kosten der adressierten Plattformen in Höhe von rund 1,1 Milliarden Euro EU-weit. Für die VLOPs allein hat sich die zusätzliche Personalausstattung in den Compliance-, Trust-and-Safety- und Recht-Abteilungen nach Schätzungen der Branchenanalystin Mathilde Carlier auf rund 18.000 zusätzliche Stellen weltweit summiert, davon ein erheblicher Anteil in europäischen Standorten. Die Bußgeldsumme aus DSA-Verfahren liegt bis Anfang 2026 noch im niedrigen dreistelligen Millionenbereich; die im Verlauf von 2026 erwarteten Erstentscheidungen der Kommission in den eröffneten Verfahren gegen Meta, X und Temu könnten diese Summe spürbar verschieben. Im DMA-Verfahren gegen Apple zur App-Store-Steering-Praxis hat die Kommission im April 2025 ein erstes Bußgeld von 500 Millionen Euro verhängt; weitere Verfahren sind anhängig.

Diese Größenordnungen sind im Verhältnis zu den Konzernumsätzen der adressierten Unternehmen überschaubar — und werden von Branchenbeobachter:innen entsprechend kritisch eingeordnet. Die eigentliche Wirkung der EU-Regulierung 2024 dürfte allerdings nicht in der direkten Bußgeldwirkung liegen, sondern in der dauerhaften Struktur der Plattform-Architekturen. Die Pflicht zur Interoperabilität, die Pflicht zur Datenportabilität, das Verbot der Selbstbevorzugung und die Verpflichtung zur Trennung paralleler Dienste verändern die Architektur digitaler Märkte über die kurzfristige Aufsichtspraxis hinaus. Wer die strukturierende Wirkung der EU-Trias 2024 verstehen will, denkt sie deshalb weniger als Bußgeldrisiko und mehr als langfristiges Ordnungsrahmenwerk — vergleichbar in der Wirkung mit dem deutschen Gesetz gegen Wettbewerbsbeschränkungen aus dem Jahr 1957, das auch erst über Jahrzehnte hinweg die Architektur der westdeutschen Wirtschaftsordnung geprägt hat.