Am 24. September 2025 gab die Europäische Kommission bekannt, dass sie förmliche Auskunftsersuchen gemäß dem Digital Services Act (DSA) an große digitale Akteure, namentlich Apple (App Store), Google (Play, Search), Microsoft (Bing) und Booking.com, übermittelt hat. Ziel ist es, detaillierte Informationen darüber zu erhalten, wie diese Anbieter Finanzbetrug auf ihren Plattformen identifizieren und eindämmen.
Auch wenn dieser Schritt (noch) kein förmliches Vertragsverletzungsverfahren darstellt, ist er dennoch Ausdruck der sich verschärfenden Durchsetzungsstrategie der Kommission unter dem DSA. In diesem Beitrag werden wir:
-
den relevanten DSA-Rechtsrahmen rekapitulieren (insbesondere für sehr große Online-Plattformen und Suchmaschinen),
-
die Auskunftsersuchen der Kommission analysieren,
-
die rechtlichen, Compliance- und Risikofolgen für Plattformen und Intermediäre untersuchen sowie
-
praktische Hinweise für Rechts- und Compliance-Abteilungen im aktuellen Umfeld geben.
Der DSA-Rechtsrahmen: Zentrale Merkmale, Pflichten & Sanktionen
Was ist der Digital Services Act (DSA)?
Der Digital Services Act (Verordnung (EU) 2022/2065) ist ein vergleichsweise neuer Regulierungsrahmen für digitale Vermittlungsdienste, der im Oktober 2022 verabschiedet und schrittweise anwendbar wurde. Ziel ist es, die Haftungs- und Aufsichtsvorschriften für Online-Vermittler wie Hosting-Anbieter, Online-Plattformen, App-Stores, Suchmaschinen usw. im Binnenmarkt der EU zu modernisieren.
Er aktualisiert die frühere E-Commerce-Richtlinie grundlegend und führt neue Pflichten ein: risikobasierte Prüfungen, Transparenzanforderungen sowie Durchsetzungsbefugnisse auf nationaler und europäischer Ebene.
Gestufte Pflichten nach Größe und Risiko
Eine zentrale Innovation des DSA ist der Ansatz der „graduellen Pflichten“. Nicht alle Intermediäre tragen die gleichen Lasten. Vielmehr steigen die Verpflichtungen mit Größe, Reichweite und Risikoprofil des Dienstes.
Basisverpflichtungen gelten für alle Intermediäre (z. B. Hosting-Dienste, kleinere Plattformen): u. a. „Notice-and-Action“-Verfahren, Transparenzberichte, Regeln zur Moderation von Inhalten, Zusammenarbeit mit Behörden.
Sehr große Online-Plattformen (VLOPs) – d. h. Plattformen mit mehr als 45 Millionen monatlich aktiven Nutzern in der EU (ca. 10 % der EU-Bevölkerung) – unterliegen erheblich strengeren Anforderungen: Risikomanagement, unabhängige Prüfungen, Berichterstattung und systemische Pflichten.
Sehr große Suchmaschinen (VLOSEs) unterliegen vergleichbaren Vorgaben.
Da Apple App Store, Google Play & Search, Booking.com und Bing diese Schwelle überschreiten, gehören sie zu den benannten Diensten mit dem höchsten Pflichtenniveau.
Zentrale Pflichten im Hinblick auf Betrug / Scam-Inhalte
Besonders relevant für Finanzbetrug sind:
Systemische Risikoanalyse und -minderung: Regelmäßige Identifizierung, Bewertung und Minderung systemischer Risiken (illegale Inhalte, Verbraucherschädigung, Manipulation, Desinformation).
Know Your Business Customer (KYBC): Pflicht zur Identifizierung von Geschäftsnutzern unter bestimmten Voraussetzungen, um Missbrauch durch unseriöse Akteure zu vermeiden.
Transparenz und Rückverfolgbarkeit von Werbung: Interne Datenbanken („Ad Repositories“), zugänglich für Aufsichtsbehörden, Forschende und Öffentlichkeit.
Proaktive Erkennung und Entfernung illegaler Inhalte: Einsatz von technischen und personellen Verfahren zur Erkennung und Entfernung betrügerischer Inhalte, auch ohne Nutzerbeschwerde.
Transparenzberichte, externe Audits, Nachvollziehbarkeit: Veröffentlichung detaillierter Berichte, externe Prüfungen und behördliche Aufsicht.
Kooperation mit Behörden: Pflicht zur Beantwortung von Auskunftsersuchen, Unterstützung bei Ermittlungen und Datenbereitstellung im gesetzlich zulässigen Rahmen. Damit verschiebt der DSA die Rolle der Plattformen von einer „reaktiven Takedown“-Haltung hin zu einer proaktiven, risikobasierten und verantwortlichen Aufsichtsfunktion.
Durchsetzung & Sanktionen
Die Kommission und die nationalen Digital Services Coordinator können Ermittlungen einleiten und Abhilfemaßnahmen anordnen.
Geldbußen können bis zu 6 % des weltweiten Jahresumsatzes bei schwersten Verstößen gegen VLOP-/VLOSE-Pflichten erreichen. Nichtbefolgung von Anordnungen kann zu Zwangsgeldern führen.
Hinzu kommen erhebliche Reputations-, Markt- und Vertragsfolgen.
Was die Kommission verlangt: Analyse des Auskunftsersuchens
Das Auskunftsersuchen stellt (noch) keine Sanktion oder förmliches Verfahren dar. Doch die Fragen deuten auf mögliche Durchsetzungsschwerpunkte hin.
Adressaten
-
Apple App Store
-
Google Play Store und Suche
-
Booking.com
-
Microsoft Bing
Die Kommission fragt konkret nach, wie diese Dienste Risiken von Finanzbetrug (z. B. gefälschte Banking-/Investment-Apps, betrügerische Angebote, irreführende Werbung) erkennen, bewerten, mindern und überwachen.
Für App-Stores und Buchungsplattformen steht insbesondere im Vordergrund, wie KYBC-Prüfungen bei der Aufnahme von Geschäftsanbietern oder Apps erfolgen. Bei Suchmaschinen richtet sich der Fokus auf Links und Anzeigen, die zu betrügerischen Webseiten führen.
Kernthemen & Fragebereiche
| Thema | Was die Kommission verlangt | Bezug zum DSA / Begründung |
|---|---|---|
| Bewertung betrügerischer Inhalte | Beschreibung, wie Betrug (z. B. Fake-Banking-Apps, Phishing-Seiten) identifiziert wird | Systemische Risikoanalyse, Pflicht zur proaktiven Erkennung |
| Minderungsmaßnahmen | Technische/operative Maßnahmen, z. B. Löschung, Blockierung, Warnhinweise, Blacklists | Verpflichtung zur Risikominderung, verhältnismäßige Sicherungsmaßnahmen |
| Geschäftspartner-Identifizierung (KYBC) | Verfahren zur Überprüfung von Geschäftsnutzern/Inserenten/App-Entwicklern | KYBC-Pflicht zur Verhinderung anonymer Missbräuche |
| Werbetransparenz / Ad-Repositories | Informationen zu Werbedatenbanken und Zugriffsmechanismen für Forschende und Aufsicht | Transparenz-, Rückverfolgbarkeits- und Rechenschaftspflichten |
| Werbung/Links zu Betrugsseiten in der Suche | Monitoring und Filterung von Anzeigen oder Suchergebnissen, die zu Betrugsseiten führen | Pflicht zum Vorgehen gegen illegale Inhalte in Such- und Werbesystemen |
| Schnittstellen zu Verbraucherrecht | Sicherstellung der Kohärenz mit bestehenden EU-Verbraucherschutzvorschriften | Komplementarität zu Verbraucherrecht wird betont |
| Daten, Kennzahlen & Berichte | Konkrete Zahlen (z. B. entfernte Apps, Volumen betrügerischer Anzeigen, Fehlerquoten, Reaktionszeiten) | Grundlage zur Bewertung der Compliance-Wirksamkeit |
Bedeutung für andere Intermediäre und angrenzende Akteure
Obwohl die Auskunftsersuchen an die größten Plattformen adressiert sind, reichen die Folgen weit darüber hinaus:
Kleinere Plattformen / Nischen-App-Stores: könnten mittel- bis langfristig ähnlicher Aufsicht unterliegen. Frühe Vorbereitung kann Wettbewerbsvorteile bringen.
Ad-Netzwerke, DSPs, SSPs, Adtech-Intermediäre: Einige könnten selbst als „Plattform“ gelten; Druck auf Transparenz, Herkunftsnachweise und Betrugsprävention wird steigen.
Dienstleister für Plattformen (Identitätsprüfung, Content-Moderation, KI/ML-Anbieter): ihre Leistungen, Fehlerquoten, Auditierbarkeit und Vertragsklauseln geraten stärker in den Fokus.
Digitale Dienste in regulierten Sektoren (FinTech, Investment-Apps, Krypto, Handelsplattformen): könnten bei Aufsichtsprüfungen im Querbezug herangezogen werden.
Damit steigt für das gesamte Ökosystem der Erwartungsdruck in Bezug auf Betrugsprävention, Transparenz und Rechenschaftspflicht.
Fazit
Das Auskunftsersuchen der Europäischen Kommission an Apple, Google, Microsoft und Booking.com stellt einen wichtigen Schritt in der Durchsetzung des DSA dar. Auch wenn es noch keine Sanktion ist, fungiert es als Praxistest dafür, wie ernst Plattformen das Thema Finanzbetrug unter den neuen Rechenschaftspflichten nehmen.
Für Rechts-, Compliance- und Regulierungsteams sollte dies ein Signal sein, interne Prüfungen, Abstimmungen und Anpassungen bei Betrugserkennung, Onboarding, Transparenz und Reporting vorzunehmen.
Der DSA hat die digitale Landschaft neu definiert: Plattformen können betrügerische Inhalte nicht länger als Randthema behandeln, sondern müssen Systeme zur Aufsicht aufbauen, überwachen und verteidigen.
Haftungsausschluss:
Die Inhalte dieses Blogs dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Obwohl wir uns bemühen, die Informationen aktuell und korrekt zu halten, können sie nicht die neuesten rechtlichen Entwicklungen oder die spezifische Situation Ihres Unternehmens berücksichtigen. Leser sollten auf Grundlage der hier bereitgestellten Informationen nicht handeln, ohne vorher professionelle Rechtsberatung einzuholen. Durch die Nutzung oder das Vertrauen auf die Inhalte dieses Blogs entsteht kein Mandatsverhältnis
