Der Digital Services Act (DSA) trifft Online-Marktplätze und Plattformen mit Wucht: Bis zu 6 % des weltweiten Jahresumsatzes drohen als Bußgeld (EUR-Lex VO 2022/2065 Art 74), und am 5. Dezember 2025 verhängte die EU-Kommission die erste reguläre DSA-Strafe in Höhe von 120 Mio EUR gegen den Plattformbetreiber X (EU-Kommission). In Deutschland gingen 2025 bei der Bundesnetzagentur als Digital Services Coordinator über 2.000 Beschwerden ein — mehr als das Doppelte des Vorjahres (884), und es laufen aktuell 26 Verfahren (BNetzA Tätigkeitsbericht 2025). Wer einen Online-Shop mit Drittanbieter-Funktion, einen Marktplatz oder eine Plattform betreibt, sollte die DSA-Pflichten jetzt technisch und organisatorisch umsetzen — die zweite Enforcement-Welle für mittelgroße Plattformen ist für Q2 2026 angekündigt (MLex).
Wer ist DSA-pflichtig: Vier Kategorien
Der DSA gilt vollständig seit 17. Februar 2024 (EU-Kommission) und kennt vier Kategorien von Vermittlungsdiensten mit aufeinander aufbauenden Pflichten. Die Einstufung entscheidet, welche Artikel der Verordnung (EU) 2022/2065 konkret greifen. Eine Studie der BNetzA hat in Deutschland 2.358 Hosting-Anbieter, 977 Marktplätze und 485 Plattformen identifiziert, die unter den DSA fallen (BNetzA-Studie). Hinzu kommen 17 sogenannte Very Large Online Platforms (VLOPs) und zwei VLOSEs, die Anfang 2026 von der EU-Kommission designiert sind (EU-Kommission). Die VLOP-Schwelle liegt bei 45 Millionen aktiven EU-Nutzern pro Monat (DSA Art 33).
| Pflicht | Vermittlungsdienst | Hosting | Plattform / Marktplatz | VLOP / VLOSE |
|---|---|---|---|---|
| AGB transparent (Art 14) | ja | ja | ja | ja |
| Single Point of Contact (Art 11/12) | ja | ja | ja | ja |
| Transparenzbericht jährlich (Art 15) | ja | ja | ja | halbjährlich |
| Notice-and-Action (Art 16) | — | ja | ja | ja |
| Statement of Reasons (Art 17) | — | ja | ja | ja |
| Beschwerdemanagement (Art 20) | — | — | ja | ja |
| Trusted Flaggers (Art 22) | — | — | ja | ja |
| KYBC Händlerverifikation (Art 30) | — | — | ja (Marktplatz) | ja (Marktplatz) |
| Risk Assessment + externes Audit | — | — | — | ja |
| Ad-Repository (Art 39) | — | — | — | ja |
Notice-and-Action: Pflicht-Implementierung
Artikel 16 DSA verlangt von jedem Hosting-Dienst und jeder Plattform ein elektronisch zugängliches, niedrigschwelliges Meldesystem (EUR-Lex). Nutzer müssen rechtswidrige Inhalte oder Angebote melden können — typische Anwendungsfälle für Marktplätze: Produktfälschungen, gefährliche Spielzeuge, irreführende Energielabel oder rechtswidrige Bewertungen. Die Meldung muss eine Begründung der Rechtswidrigkeit, eine genaue URL- oder Item-ID-Angabe sowie Kontaktdaten des Meldenden enthalten dürfen. Anschließend muss der Anbieter eine Eingangsbestätigung versenden und ohne unangemessene Verzögerung entscheiden. Ein nicht funktionierendes Meldesystem zählt zu den häufigsten Beschwerdegründen bei der Bundesnetzagentur (BNetzA).
{
"notice_id": "NOTICE-2026-04812",
"received_at": "2026-05-08T14:23:00Z",
"reporter": {
"name": "Erika Mustermann",
"email": "reporter@example.com",
"is_trusted_flagger": false
},
"content_reference": {
"type": "product_listing",
"id": "P-9837245",
"url": "https://shop.example.com/p/9837245",
"seller_id": "S-554120"
},
"category": "counterfeit_goods",
"explanation": "Markenrechtsverletzung — Logo identisch mit DPMA-Eintrag 30245678",
"good_faith_declaration": true,
"acknowledgement": {
"sent": true,
"timestamp": "2026-05-08T14:23:04Z"
},
"sla_due": "2026-05-15T14:23:00Z"
}Statement of Reasons (Art 17)
Wann immer ein Plattformbetreiber eine Maßnahme gegen einen Nutzer oder ein Listing ergreift — Sperren, Löschen, Demonetarisieren, Sichtbarkeitsreduzierung — muss er eine Statement of Reasons (SoR) ausstellen (EUR-Lex Art 17). Die Begründung muss den territorialen Umfang, die Dauer, die zugrundeliegenden Tatsachen und Umstände, den verletzten AGB- oder Rechtsverstoß sowie den Einsatz automatisierter Mittel offenlegen. Zusätzlich müssen sämtliche SoRs an die zentrale DSA Transparency Database der EU-Kommission gemeldet werden — dort sind in den ersten sechs Monaten bereits 9,4 Milliarden Statements of Reasons eingegangen (DSA Transparency Database). Wer Bewertungen moderiert, Listings entfernt oder Verkäuferkonten sperrt, braucht eine strukturierte SoR-Pipeline — händische Prozesse skalieren bei den Volumen nicht.
{
"uuid": "sor-2026-05-08-9d2e",
"platform_name": "shop.example.com",
"decision_visibility": "DECISION_VISIBILITY_REMOVAL",
"decision_account": null,
"decision_monetary": null,
"decision_provision": null,
"decision_ground": "DECISION_GROUND_INCOMPATIBLE_CONTENT",
"category": "STATEMENT_CATEGORY_INTELLECTUAL_PROPERTY_INFRINGEMENTS",
"category_specification": "COUNTERFEIT_PRODUCTS",
"content_type": "CONTENT_TYPE_PRODUCT",
"automated_detection": "YES_PARTIALLY",
"automated_decision": "NO",
"territorial_scope": ["DE", "AT", "CH"],
"application_date": "2026-05-08",
"end_date": null,
"source_type": "SOURCE_ARTICLE_16_DSA",
"facts": "Listing P-9837245 verletzt Markenrecht (DPMA-Eintrag 30245678).",
"redress": "Beschwerde via /redress, externe Streitbeilegung, Gerichtsweg."
}Trusted Flaggers priorisiert behandeln
Artikel 22 DSA etabliert eine bevorzugte Bearbeitung für sogenannte Trusted Flaggers — von den nationalen Digital Services Coordinators zertifizierte Stellen mit nachgewiesener Expertise (EU-Kommission). In Deutschland sind Ende 2025 drei Trusted Flaggers und eine Streitbeilegungsstelle bei der BNetzA zertifiziert (BNetzA). Meldungen dieser Stellen müssen vorrangig und ohne unangemessene Verzögerung bearbeitet werden. Wer ein technisches Notice-System baut, sollte eine eigene Queue für Trusted Flagger vorsehen, eine separate SLA definieren und Eingangsbestätigungen automatisch versenden. Zur Einordnung: Die BNetzA verzeichnete 2025 insgesamt 3.321 Eingaben über alle DSA-Beschwerdekategorien hinweg (epd medien).
Empfehlung für die Plattform-Architektur: Eine Notice-Tabelle mit is_trusted_flagger Flag, ein Worker-Pool mit Priority Queue (Trusted Flagger Priority 0, normaler Notice Priority 5, anonyme Meldung Priority 9) und ein Audit-Log für jede Statusänderung. So lassen sich SLAs nachvollziehen, falls die BNetzA Auskunft verlangt.
KYBC: Händlerdaten verifizieren (Art 30)
Know-Your-Business-Customer (KYBC) ist die DSA-Pflicht mit dem höchsten technischen Aufwand für Marktplatz-Anbindungen. Bevor ein Drittanbieter Produkte oder Dienstleistungen an Verbraucher anbieten darf, muss der Marktplatzbetreiber sechs Pflichtfelder einholen, prüfen und plausibilisieren (Händlerbund, IT-Recht Kanzlei). Die Daten sind vollständig zu erheben — eine reine Selbstauskunft ohne Verifikation reicht nicht. Bei Aktualisierungen ist erneut zu prüfen, und bei Zweifeln ist das Listing bis zur Klärung auszusetzen. Artikel 32 DSA verpflichtet Marktplätze zudem dazu, bis zu sechs Monate rückwirkend alle Käufer eines rechtswidrigen Produkts zu informieren (EU-Kommission).
Name + Anschrift
Vollständiger Firmenname, ladungsfähige Anschrift, identisch zum Handelsregister. Auch Einzelunternehmer.
Handelsregister + USt-ID
HR-Nummer plus Registergericht, USt-IdNr. (sofern vorhanden) — Verifikation über Bundesanzeiger / VIES.
Identifikationsdokument
Kopie eines Identifikationsdokuments des/der gesetzlichen Vertreter (Pass oder Personalausweis).
Bankverbindung
Zahlungskonto-Daten — bei Marktplätzen mit Treuhand-/Auszahlungsfunktion zwingend (Trusted Shops).
Kontakt + Selbstauskunft
Telefonnummer, E-Mail-Adresse plus Selbsterklärung über Konformität der Produkte mit EU-Recht.
Plausibilitätsprüfung
Abgleich mit öffentlichen Registern, Sanktionslisten und VIES — bei Zweifeln Listing aussetzen (Art 30 Abs 2).
Compliance-by-Design im Listing-Flow
Artikel 31 DSA verlangt Compliance-by-Design: Der Marktplatz muss seine Schnittstelle so gestalten, dass Drittanbieter die gesetzlichen Pflichtangaben vor dem Listing machen können (Trusted Shops). Das betrifft sowohl manuelle Onboarding-Flows als auch API-basierte Anbindungen — eine Hochzeitsliste an validen Pflichtfeldern, ohne deren Befüllung das Listing nicht freigeschaltet wird.
- Onboarding-Validierung: USt-ID-Prüfung über VIES, Handelsregister-Abgleich, Sanktionslisten-Check (EU/UN/OFAC) vor Aktivierung des Verkäuferkontos.
- Pflichtfelder pro Listing: Energielabel-Klasse, CE-Konformitätserklärung, Produktsicherheitsdaten (GPSR), Allergen-/Inhaltsstoff-Hinweise — Validierung serverseitig, nicht nur per JS.
- Periodische Re-Verifikation: Mindestens jährliche Aktualisierung der KYBC-Daten, plus Trigger-basierte Re-Checks bei Auffälligkeiten (Beschwerde-Schwellwerte, Retouren-Quote).
- Audit-Log: Jede Pflichtfeld-Änderung mit Zeitstempel, Auslöser und Hash speichern — für BNetzA-Auskunftsersuchen.
- Notice-Eskalation in den Listing-Flow: Bestätigte Notices müssen das betroffene Listing automatisch bis zur Klärung sperren — keine reine Backlog-Bearbeitung.
Werbung und Empfehlungssysteme transparent machen
Artikel 26 DSA schreibt vor, dass jede Werbung als solche kennzeichnet sein muss — inklusive der Information, wer die Anzeige bezahlt hat und welche Hauptparameter für das Targeting verwendet wurden (EUR-Lex). Targeting auf sensible Daten (Gesundheit, Religion, sexuelle Orientierung) und auf Minderjährige ist verboten. Empfehlungssysteme — etwa für Produktempfehlungen oder Such-Ranking — müssen ihre Hauptparameter in den AGB offenlegen (Art 27), und Nutzer müssen mindestens eine nicht profilbasierte Alternative wählen können. VLOPs unterliegen zusätzlich Artikel 39 mit einem Ad-Repository und einer Aufbewahrungsfrist von einem Jahr.
| Bereich | Plattformen (Art 26/27) | VLOPs (Art 39) |
|---|---|---|
| Werbung kennzeichnen | Pflicht | Pflicht |
| Auftraggeber transparent | Pflicht | Pflicht |
| Targeting-Parameter offenlegen | Pflicht | Pflicht |
| Sensible Daten / Minderjährige | Verboten | Verboten |
| Empfehlungssystem-Parameter | in AGB | in AGB + Optionen |
| Nicht-profilbasierte Option | mindestens 1 | mindestens 1 |
| Ad-Repository öffentlich | — | Pflicht (1 Jahr) |
| Dark-Pattern-Verbot (Art 25) | Pflicht | Pflicht |
Internes Beschwerdemanagement und Streitbeilegung
Artikel 20 verpflichtet Plattformen zu einem internen Beschwerdemanagement, das jede Moderationsentscheidung der letzten sechs Monate anfechtbar macht — kostenfrei, elektronisch und mit menschlicher Endprüfung (EU-Kommission). Wird die Entscheidung bestätigt, kann der Nutzer eine außergerichtliche Streitbeilegung anrufen. Die organisatorischen und technischen Mindestanforderungen umfassen:
- Elektronischer Eingangskanal mit Identifikationsmöglichkeit für den Beschwerdeführer und automatischer Eingangsbestätigung.
- Begründung jeder Entscheidung — Bestätigung der Moderation oder Wiederherstellung des Listings/Kontos.
- Menschliche Endprüfung — keine vollautomatisierte Beschwerdebearbeitung; bei automatisierten Initialprüfungen ist die Endentscheidung durch geschultes Personal zu treffen.
- SLA-Tracking —
received_at,acknowledged_at,decided_at,notified_atmit Eskalationsregeln bei Überschreitung. - Verweis auf zertifizierte Streitbeilegungsstelle in der finalen Entscheidung — in Deutschland bei der BNetzA gelistet (eucrim).
- Datenexport für BNetzA-Auskunftsersuchen — strukturierte CSV-/JSON-Ausgabe pro Vorfall, inklusive Statement of Reasons und Beschwerdehistorie.
Bußgelder und BNetzA-Aufsicht
Artikel 74 DSA legt den maximalen Bußgeldrahmen auf 6 % des weltweiten Jahresumsatzes fest (EUR-Lex). Auf nationaler Ebene konkretisiert §28 des deutschen Digitale-Dienste-Gesetzes (DDG) die Sanktionsstruktur: bis zu 300.000 EUR Geldbuße bei einfachen Verstößen, plus den unionsrechtlichen 6 %-Rahmen bei Unternehmen mit einem weltweiten Umsatz über 5 Mio EUR (Noerr, Freshfields). Zuständige Aufsicht in Deutschland ist die Bundesnetzagentur als Digital Services Coordinator seit dem 14. Mai 2024 (BNetzA). 2025 verzeichnete die Behörde 2.000+ Beschwerden und führt aktuell 26 Verfahren — ein Anstieg um über 130 % gegenüber dem Vorjahr (BNetzA Tätigkeitsbericht 2025).
Am 5. Dezember 2025 verhängte die EU-Kommission die erste reguläre DSA-Strafe in Höhe von 120 Mio EUR gegen den Plattformbetreiber X — wegen unzureichender Transparenz bei Werbeanzeigen und blauen Häkchen (EU-Kommission, Howsociable). Für Q2 2026 ist die zweite Enforcement-Welle angekündigt; Ziel sind diesmal mittelgroße Plattformen (MLex). Wer DSA-Audits aufschiebt, sollte spätestens jetzt eine Compliance-Roadmap starten.
Transparenzbericht jährlich erstellen
Artikel 15 DSA verpflichtet zu einem mindestens jährlichen Transparenzbericht (VLOPs halbjährlich). Der Bericht muss in maschinenlesbarem Format (JSON oder CSV) sowie als menschenlesbares PDF veröffentlicht werden. Der Inhalt ist in der DSA-Durchführungsverordnung 2024/2835 standardisiert (KPMG Law, IAPP):
- Anzahl behördlicher Anordnungen — pro Mitgliedstaat, Reaktionszeit, Befolgungsstatus.
- Notice-and-Action-Statistik — Anzahl Notices nach Kategorie, Bearbeitungszeit, Anteil automatisiert vs. manuell entschieden.
- Eigeninitiative Inhaltemoderation — proaktive Maßnahmen, eingesetzte Tools, Trainingsdaten der Moderationssysteme.
- Beschwerden gegen Moderationsentscheidungen — Anzahl, Median-Bearbeitungszeit, Aufhebungsquote.
- Trusted-Flagger-Statistik — getrennt nach Kategorie und Reaktionszeit.
- Streitbeilegung — Anzahl außergerichtlicher Verfahren, Dauer, Ergebnis.
- KYBC-Stichprobenkontrollen — Zahl der überprüften Drittanbieter und resultierende Maßnahmen.
- Werbung — Anzahl Anzeigen, Targeting-Parameter, Sponsoren-Statistik.
Umsetzungs-Roadmap in 5 Phasen
Eine pragmatische Umsetzung ist in fünf Phasen möglich. Wir empfehlen, parallel zu DSA-Themen auch verwandte Compliance-Pflichten wie E-Rechnungs-Anbindung und erweiterte Informationspflichten mitzudenken — die organisatorischen Schnittmengen sind erheblich.
- Klassifikation (Woche 1–2): Bestimmen Sie Ihre DSA-Kategorie. Einfache Faustregel — sobald Drittanbieter über Ihren Shop verkaufen, gelten die Marktplatz-Pflichten inklusive KYBC. Eine DSA-Beratung klärt Grenzfälle.
- Quick Wins (Monat 1): Single Point of Contact einrichten, Impressum aktualisieren, AGB-Sprache prüfen, Notice-Formular online stellen — das deckt die Mindestpflichten der Vermittlungsdienste ab.
- KYBC + Listing-Validierung (Monat 2–3): Pflichtfelder im Verkäufer-Onboarding ergänzen, VIES- und HR-Prüfung anbinden, Listing-Validatoren serverseitig durchsetzen — typischerweise das umfangreichste Programmier-Paket.
- Statement-of-Reasons-Pipeline (Monat 3–4): SoR-Generator bauen, an die DSA Transparency Database anbinden, Audit-Log mit Hash-Kette einrichten.
- Beschwerdemanagement + Trusted Flaggers (Monat 4–5): Interne Beschwerde-UI, Trusted-Flagger-Queue mit Priorität, Streitbeilegungsverweis, Beschwerden-CSV-Export für die BNetzA. Den ersten Transparenzbericht direkt aus den Daten dieses Systems erzeugen.
Dieser Artikel basiert auf: EUR-Lex (Verordnung (EU) 2022/2065 — DSA), EU-Kommission (DSA-Designations, X-Strafe vom 05.12.2025), BNetzA Tätigkeitsbericht 2025 (DSC-Statistik), DSA Transparency Database (Statement-of-Reasons-Volumen), Händlerbund (KYBC-Praxis), IT-Recht Kanzlei (Marktplatzpflichten), Trusted Shops (Compliance-by-Design), Noerr (Bußgeldsystematik DDG), Freshfields (DSA-Sanktionen), KPMG Law (Transparenzbericht), MLex (Q2 2026 Enforcement-Welle), eucrim (Streitbeilegung DE), IAPP (Durchführungsverordnung 2024/2835), Goodwin Law (Compliance-Roadmap), Howsociable (X-Bußgeld-Analyse). Die genannten Zahlen können sich mit neuen BNetzA-Bekanntmachungen ändern.
DSA-Compliance ist Architektur-Arbeit
Wer den DSA als reines Rechts-Thema behandelt, unterschätzt den technischen Aufwand. Notice-Pipelines, Statement-of-Reasons-Generatoren, KYBC-Validierung gegen externe Register, Audit-Logs und Transparenzbericht-Datenmodelle sind Software-Aufgaben. Eine strukturierte Architektur zahlt sich doppelt aus — sie reduziert das Risiko aufsichtsrechtlicher Verfahren und liefert die Datengrundlage für Optimierungen wie adaptive Image-Loading oder KI-gestützte Ticketsysteme im Beschwerdemanagement. Mit Shopware-Anpassungen und sauberen Marktplatz-Schnittstellen lässt sich das Pflichtenpaket in wenigen Monaten umsetzen — vorausgesetzt, man beginnt vor der nächsten Enforcement-Welle.
Reine Eigenmarken-Shops ohne Vermittlungsfunktion fallen typischerweise nicht unter die Plattform-Pflichten. Sobald Sie aber externen Händlern erlauben, über Ihre Infrastruktur an Verbraucher zu verkaufen — auch in Form von White-Label-Marktplätzen — greifen in der Regel die Plattform-Pflichten inklusive KYBC. Im Zweifel hilft eine individuelle Klassifikation.
Der DSA sieht in Artikel 74 bis zu 6 % des weltweiten Jahresumsatzes vor; nach §28 DDG sind in Deutschland für einzelne Verstöße bis zu 300.000 EUR möglich (Noerr). Die Praxis zeigt: BNetzA-Verfahren beginnen typischerweise mit Auflagen und Fristsetzungen, eskalieren bei Nichtumsetzung erfahrungsgemäß zu Bußgeldern.
Eine reine Selbstauskunft reicht nach Artikel 30 in der Regel nicht aus. Die Verordnung verlangt einen Plausibilitätsabgleich mit öffentlich zugänglichen Quellen — etwa VIES für USt-IDs, Handelsregister für HR-Nummern und Sanktionslisten. Bei Zweifeln ist das Listing typischerweise auszusetzen, bis die Daten verifiziert sind.
Im Regelfall ja, sofern die Maßnahme einen konkreten Inhalt oder Account betrifft. Ausnahmen gibt es laut DSA-Erwägungsgründen für offensichtlich illegale, behördlich angeordnete Inhalte. Ein automatisierter SoR-Generator, der an die DSA Transparency Database angebunden ist, ist erfahrungsgemäß die effizienteste Lösung bei größeren Volumina.
Plattformen müssen mindestens einmal jährlich berichten, VLOPs halbjährlich. Der typische Berichtszeitraum richtet sich nach dem Geschäftsjahr; viele deutsche Anbieter berichten zum 28. Februar des Folgejahres. Maschinenlesbares Format (JSON oder CSV) ist zwingend, ein menschenlesbares PDF zusätzlich Best Practice.
Erfahrungsgemäß lassen sich die juristisch-organisatorischen Mindestpflichten intern abdecken, sobald die rechtlichen Anforderungen klar sind. Die technischen Komponenten — KYBC-Validierung, SoR-Pipeline, Audit-Log — profitieren typischerweise von einer Kombination aus juristischer Beratung und E-Commerce-Entwicklung, gerade bei Shopware-basierten Marktplätzen.