Friede den SMCs, Krieg den VLOPs: Neue Maßnahmen der EU-Kommission gegen TikTok & Co.

In der Durchsetzung der europäischen Digitalregulierung zeichnet sich ein Trend ab – (sehr) große Unternehmen sollen zittern, kleine angstfrei innovieren.

Als im April 2024 der damalige Digitalkommissar Thierry Breton zur Suspendierung des “TikTok Lite”-Belohnungsprogramms Stellung nahm, war der Ton rau: “Our children are not guinea pigs for social media.” hieß es nicht etwa auf Bretons X-Account, sondern in der offiziellen Pressemitteilung der Europäischen Kommission. Die Pressemitteilung der neuen EU-Kommissarin Henna Virkkunen vom 15.5.2025 ist höflicher, doch in der Sache ist auch Bretons Nachfolgerin hart: Ihrer Ansicht nach verstößt TikTok gegen die Anforderungen des Digital Service Act (DSA), weil das Werbearchiv des Dienstes nicht hinreichend durchsuchbar sei (Art. 39 DSA). Sollte TikTok die Kommissarin nicht vom Gegenteil überzeugen können, droht dem Unternehmen ein erhebliches Bußgeld von bis zu 6 % des weltweiten Jahresumsatzes. Nach einigen Schätzungen könnte es noch höher ausfallen als das Bußgeld von 1,2 Mrd. Euro, das die irische Datenschutzaufsichtsbehörde 2023 gegen Meta verhängte.

Parallel treibt die Kommission auch die DSA-Verfahren gegen andere Anbieter von “sehr großen Online-Plattformen” (very large only plattforms, ”VLOPs”) voran, insbesondere gegen das Unternehmen hinter der ultra fast fashion-Plattform Shein sowie gegen die Twitter International Unlimited Company. Wegen vermeintlicher Verletzungen des Digital Markets Act (DMA) verhängte die Kommission zudem erst im April Bußgelder von 500 Mio. Euro und 200 Mio. Euro gegen Apple bzw. Meta. Diese Welle an behördlichen Untersuchungen und Sanktionen wird noch ergänzt durch zivilrechtliche Verfahren, die etwa die deutschen Verbraucherschutzbehörden (gegen Temu und Shein) oder Max Schrems’ Organisation NOYB (gegen Meta) anstreben. Hinzu kommen grenzüberschreitende Kollektivklagen der niederländischen Stiftung für Marktinformationsforschung gegen TikTok und X. Für VLOPs und solche, die es werden wollen, wird die Luft spürbar dünner.

Die die Schlagzeilen dominierenden Millionenbußgelder und Gerichtsverfahren vermitteln allerdings zu Unrecht den Eindruck einer allgemeinen regulatorischen “Klimaerwärmung”. Denn der Gegentrend ist genauso sichtbar, wenn auch (noch) nicht spürbar: Während die Kommission ein Verfahren nach dem anderen eröffnet, befindet sich die Durchsetzung auf nationaler Ebene im Dornröschenschlaf. Die nationalen Digital Services Coordinators (DSC), die für die Überwachung aller Anbieter von Vermittlungsdiensten zuständig sind, die die VLOP-Schwelle unterschreiten, entfalten bisher kaum Tätigkeiten. Gegen neun EU-Mitgliedstaaten laufen noch Vertragsverletzungsverfahren wegen fehlender/zu später Benennung eines DSC bzw. deren mangelhafter Ausgestaltung, für Polen ist immer noch keine Stelle benannt.

In Deutschland üben sich auch die in ihren jeweiligen Bereichen für die Durchsetzung des DSA zuständigen Landesmedienanstalten, die Bundeszentrale für Kinder- und Jugendmedienschutz und die Bundesdatenschutzbeauftragte (BfDI) in Zurückhaltung. Auch die jüngst am 3.6.2025 von der BfDI nach der DSGVO verhängten Bußgelder richten sich (nur) gegen ein großes Telekommunikationsunternehmen, Vodafone.

Das ist nicht (nur) Zufall und nicht (nur) dem Umstand geschuldet, dass der DSA und die DSC neu sind, und die Behörden, die es schon vor dem DSA gab, erst einen Umgang mit den neuen Pflichten finden müssen. Es hat auch System, denn der DSA enthält zahlreiche Ausnahmen für Kleinst- und Kleinunternehmen mit bis zu 49 Beschäftigten und höchstens 10 Mio. Euro Jahresumsatz oder -bilanzsumme (Art. 19, 29 DSA). Auf viele Anbieter von Vermittlungsdiensten findet der DSA daher bereits keine Anwendung, und klar ist auch der gesetzgeberische Wille, kleine Unternehmen nicht übermäßig zu belasten. Auch dem AI Act ist diese Absicht an einigen Stellen anzusehen (vgl. Art. 11, 34, 63 AI Act) und unter dem vierten sog. Omnibuspaket der EU-Kommission soll dieser Gedanke nun auch in die DSGVO einziehen: Der am 21.5.2025 dazu veröffentlichte Entwurf sieht vor, dass Unternehmen mit bis zu 749 Beschäftigen in Zukunft nur noch ein Verarbeitungsverzeichnis für hochriskante Verarbeitungstätigkeiten zu führen haben. Darüber hinaus führt der Vorschlag die Kategorie der “small mid-cap enterprises (SMCs)” ein – auch wenn die vorgeschlagenen Erleichterungen für SMCs noch kaum der Rede wert sind, ließen sich so in Zukunft weitere Vereinfachungen und Ausnahmen elegant umsetzen.

In den meisten Wirtschaftsbereichen spiegelt das “private enforcement” diese Entwicklung. Naturgemäß sind kleine Unternehmen weniger attraktive Ziele für Kollektivklagen, und auch Verbraucherschutzbehörden und NGOs richten ihr Augenmerk eher selten auf sie. Ausnahmen gibt es aber insbesondere in Bereichen, in denen Wettbewerber schon bisher schnell zur Abmahnung gegriffen haben und mit dem DSA nun ein neues Spiel- bzw. Schlachtfeld entdecken.

Die Schere geht also auseinander. Auf der einen Seite werden die europäischen Digitalrechtsakte mit Umsicht durchgesetzt, wenn es um kleine Unternehmen geht, bzw. finden auf diese bereits keine Anwendung oder werden entschärft. Auf der anderen Seite rüstet sich die Kommission zu einem Vielfrontenkrieg gegen gleich mehrere VLOPs und prüft nach Presseberichten die Verhängung von Rekordbußgeldern. Die Fokussierung der Durchsetzungsbemühungen auf besonders schwere Verstöße oder den Schutz besonders wichtiger Rechtsgüter, wie etwa der Integrität der rumänischen Präsidentschaftswahlen, ist grundsätzlich begrüßenswert. Bloße Umsicht oder gar Gnade der Durchsetzungsbehörden kann aber letztlich nicht die Unsicherheit beheben, denen sich kleine Unternehmen weiterhin ausgesetzt sehen – ein Leben unter dem Damoklesschwert ist auch dann nicht angenehm, wenn das die Klinge haltende Seil robust aussieht. Man darf also mit Spannung auf die laufende Omnibus-Initiative der Kommission blicken, deren erklärtes Ziel es gerade auch ist, diese Unsicherheit zu reduzieren.

Simon Clemens Wegmann, RA, Assoziierter Partner im Berliner Büro von Gleiss Lutz. Er berät zu allen Aspekten der Daten- und Digitalregulierung. Dazu gehören Datenschutz und Cybersecurity ebenso wie Datenkommerzialisierung und Regeln für Online-Dienste und Plattformen.