DSA im Jahr 2026: zwei Jahre vollständiger Anwendung
Der Digital Services Act — Verordnung (EU) 2022/2065 — trat am 17. Februar 2024 für alle erfassten Anbieter vollständig in Kraft, nachdem er seit August 2023 bereits für die erste Welle benannter sehr großer Online-Plattformen und sehr großer Online-Suchmaschinen galt. Bis Mai 2026 hat die Verordnung mehr als zwei Jahre vollständiger Anwendung in der gesamten Europäischen Union hinter sich, und die Umsetzungsphase ist einer aktiven Durchsetzung, Vertragsverletzungsverfahren und der ersten anhaltenden Welle von Benennungen vertrauenswürdiger Hinweisgeber gewichen.
Als Verordnung und nicht als Richtlinie gilt der DSA unmittelbar in allen 27 Mitgliedstaaten — doch anders als DORA stützt er sich für den Großteil seiner Durchsetzungsinfrastruktur auf nationale Behörden. Jeder Mitgliedstaat musste bis zum 17. Februar 2024 einen Koordinator für digitale Dienste benennen und mit Befugnissen ausstatten. Zwei Jahre später ist diese Verpflichtung für mehrere Mitgliedstaaten noch immer Gegenstand von Rechtsstreitigkeiten. Im Mai 2025 verwies die Europäische Kommission Tschechien, Spanien, Zypern, Polen und Portugal an den Gerichtshof der Europäischen Union, weil sie ihre Koordinatoren nicht benannt oder mit Befugnissen ausgestattet oder keine Sanktionsvorschriften festgelegt hatten — Verweisungen, die nach Artikel 260 AEUV zu finanziellen Sanktionen führen können, wenn sie nicht behoben werden.
Während die Benennung der Koordinatoren holprig verlief, ist der Rahmen für vertrauenswürdige Hinweisgeber in jenen Mitgliedstaaten mit funktionierenden Koordinatoren vorangeschritten. Bis 2026 zählen zu den benannten vertrauenswürdigen Hinweisgebern — um einige öffentliche Beispiele zu nennen — Argo Business Solutions in Italien (im Januar 2025 von AGCOM benannt, mit Schwerpunkt auf Verletzungen des geistigen Eigentums und Online-Betrug), der Bundesverband Onlinehandel sowie HateAid und der Verbraucherzentrale Bundesverband in Deutschland (im Juni 2025 von der Bundesnetzagentur benannt), ALPA und IFAW und Point de Contact in Frankreich (von Arcom benannt), ECPAT Schweden und Offlimits in den Niederlanden. Die irische Zentralbank hat öffentlich ihr Interesse an einer Benennung als vertrauenswürdiger Hinweisgeber für Betrug und Finanzbetrug bekundet.
Die Kommission bereitet Leitlinien zu vertrauenswürdigen Hinweisgebern nach Artikel 22 Absatz 8 vor. Eine öffentliche Konsultation ist für das zweite Quartal 2026 geplant, die Annahme vor Ende 2026. Diese Leitlinien sollen die Antragsverfahren der Koordinatoren straffen, den Umgang der Plattformen mit dem Missbrauch durch vertrauenswürdige Hinweisgeber regeln und das Widerrufsverfahren klären. Bis dahin werden die Benennungskriterien von jedem Koordinator nach eigenem Verfahrensrahmen angewandt — was zu sichtbaren Unterschieden bei Durchsatz, Transparenz und thematischem Schwerpunkt zwischen den Mitgliedstaaten geführt hat.
Für Organisationen, die DSA-Meldungen vorbereiten — sei es als benannte vertrauenswürdige Hinweisgeber, als Antragsteller für den Status eines vertrauenswürdigen Hinweisgebers, als Markenschutzteams, NGOs oder Plattformnutzer mit substanziellen Interaktionen zur Inhaltsmoderation — konzentriert sich dieser Leitfaden auf den betrieblichen Test statt auf den Gesetzestext. Das Meldeformular nach Artikel 16, die darauf folgende Begründung nach Artikel 17 und der Rahmen für vertrauenswürdige Hinweisgeber nach Artikel 22 beruhen alle auf einer gemeinsamen Grundlage: Meldungen, die durch belastbare, gesicherte und zeitlich verankerte Beweise gestützt sind, werden schneller bearbeitet, häufiger zugunsten des Meldenden entschieden und überstehen spätere Anfechtungen durch die Inhalteempfänger. Meldungen, die auf aus dem Gedächtnis erstellten oder nachträglich rekonstruierten Screenshots beruhen, sehen sich systematisch schlechteren Ergebnissen gegenüber.
Anwendungsbereich: die vier Stufen digitaler Dienste
Der DSA etabliert eine vierstufige Struktur des Anwendungsbereichs, wobei jede Stufe zusätzliche Pflichten auf den unteren Stufen aufbaut. Zu verstehen, in welche Stufe eine bestimmte Plattform fällt, bestimmt, welche Pflichten nach Artikel 16 gelten, welche Verfahren für vertrauenswürdige Hinweisgeber relevant sind und welche Beweise die Plattform gesetzlich aufbewahren und auf Anfrage vorlegen muss.
Stufe 1: Vermittlungsdienste (Artikel 4–6)
Die Grundstufe umfasst alle Vermittlungsdienste — reine Durchleitung, Caching und Hosting-Dienste im Sinne der Richtlinie über den elektronischen Geschäftsverkehr (nun in den DSA-Artikeln 4 bis 6 verankert). Alle Anbieter dieser Stufe unterliegen grundlegenden Pflichten: zentrale Kontaktstelle für Behörden (Artikel 11), zentrale Kontaktstelle für Nutzer (Artikel 12), gesetzliche Vertreter für Anbieter außerhalb der EU (Artikel 13), Transparenz der Allgemeinen Geschäftsbedingungen (Artikel 14) und der bedingte Haftungsausschluss, der aus dem Regime des elektronischen Geschäftsverkehrs bekannt ist.
Stufe 2: Hosting-Dienste (Artikel 16–18)
Hosting-Dienste — Anbieter, die von Nutzern bereitgestellte Informationen auf deren Anfrage speichern — ergänzen die materielle Melde- und Abhilfepflicht nach Artikel 16, die Begründungspflicht nach Artikel 17 und die Pflicht nach Artikel 18, den Verdacht bestimmter Straftaten den Strafverfolgungsbehörden zu melden. Diese Stufe erfasst alles von Cloud-Speicheranbietern bis zu Kommentarbereichen, von Forensoftware bis zu einem großen Teil der modernen Internetwirtschaft.
Stufe 3: Online-Plattformen (Artikel 19–28)
Online-Plattformen — Hosting-Dienste, die auf Anfrage des Nutzers Informationen speichern und öffentlich verbreiten — ergänzen die für nutzerorientierte Plattformen relevanten Pflichten: interne Beschwerdemanagementsysteme (Artikel 20), außergerichtliche Streitbeilegung (Artikel 21), Vorrang für vertrauenswürdige Hinweisgeber (Artikel 22), Maßnahmen gegen Missbrauch (Artikel 23), Transparenzberichterstattung (Artikel 24), Regeln zur Gestaltung von Benutzeroberflächen (Artikel 25), Werbetransparenz (Artikel 26) und Transparenz von Empfehlungssystemen (Artikel 27). Artikel 19 nimmt Kleinst- und Kleinunternehmen unter bestimmten Bedingungen von den meisten dieser zusätzlichen Pflichten aus.
Stufe 4: VLOPs und VLOSEs (Artikel 33–43)
Die oberste Stufe — sehr große Online-Plattformen und sehr große Online-Suchmaschinen — gilt für Anbieter mit mehr als 45 Millionen durchschnittlichen monatlichen aktiven Nutzern in der EU. Die ersten Benennungen erfolgten im April 2023; die Kommission benennt weiterhin neue VLOPs und VLOSEs, sobald Plattformen die Schwelle überschreiten, wobei zu den späteren Benennungen Pornhub, XVideos, Shein und Temu gehören. VLOPs und VLOSEs unterliegen den vollständigen zusätzlichen Pflichten aus Abschnitt 5: systemische Risikobewertung (Artikel 34), Risikominderung (Artikel 35), Krisenreaktion (Artikel 36), unabhängige Prüfung (Artikel 37), Datenzugang für zugelassene Forscher (Artikel 40) und eine jährliche Aufsichtsgebühr. Die Kommission hat die ausschließliche Durchsetzungszuständigkeit für die Pflichten zu systemischen Risiken der VLOPs/VLOSEs und teilt sich die Zuständigkeit für andere DSA-Pflichten mit den nationalen Koordinatoren.
Artikel 16: der Melde- und Abhilfemechanismus
Artikel 16 ist das operative Herzstück des DSA für die Inhaltsmoderation. Er verpflichtet jeden Hosting-Diensteanbieter — jede Stufe ab Stufe 2 aufwärts — Mechanismen einzurichten, die es jeder Person oder Einrichtung ermöglichen, ihm das Vorhandensein von Informationen auf seinem Dienst zu melden, die der Meldende als illegale Inhalte betrachtet. Der Meldemechanismus muss leicht zugänglich und benutzerfreundlich sein und die Einreichung von Meldungen ausschließlich auf elektronischem Wege ermöglichen. Entscheidend ist: Eine hinreichend begründete Meldung verschafft dem Hosting-Diensteanbieter tatsächliche Kenntnis oder Bewusstsein der Rechtswidrigkeit und hebt den bedingten Haftungsausschluss des Regimes des elektronischen Geschäftsverkehrs auf — was die Qualität der Meldung unmittelbar für das Verhalten der Plattform ausschlaggebend macht.
Die vier obligatorischen Meldeelemente (Artikel 16 Absatz 2)
Artikel 16 Absatz 2 schreibt die Mindestinformationen vor, die eine Meldung enthalten muss, um als begründete Meldung im Sinne des DSA zu gelten: (a) eine hinreichend begründete Erläuterung der Gründe, aus denen die Person oder Einrichtung die betreffenden Informationen als illegale Inhalte ansieht; (b) eine eindeutige Angabe des genauen elektronischen Speicherorts dieser Informationen, etwa die genaue URL oder URLs und erforderlichenfalls zusätzliche Informationen zur Identifizierung der illegalen Inhalte; (c) Name und E-Mail-Adresse der Person oder Einrichtung, die die Meldung einreicht, außer bei Informationen im Zusammenhang mit Sexualstraftaten gegen Kinder; (d) eine Erklärung, mit der die Person oder Einrichtung, die die Meldung einreicht, ihre gutgläubige Überzeugung bestätigt, dass die Informationen und Behauptungen zutreffend und vollständig sind.
Die Wirkung der 'tatsächlichen Kenntnis' (Artikel 16 Absatz 3)
Eine Meldung, die alle vier obligatorischen Elemente enthält, begründet nach Artikel 16 Absatz 3 tatsächliche Kenntnis oder Bewusstsein aufseiten des Hosting-Diensteanbieters — für das konkrete Informationsstück, das die Meldung betrifft. Dies ist der zentrale rechtliche Mechanismus des DSA-Melderegimes: Sobald tatsächliche Kenntnis begründet ist, entfällt der Haftungsausschluss der Richtlinie über den elektronischen Geschäftsverkehr für diesen konkreten Inhalt, und die Plattform, die nicht handelt, sieht sich unmittelbarer Haftung nach dem anwendbaren nationalen materiellen Recht ausgesetzt. Meldungen, denen eines der vier Elemente fehlt, begründen nicht automatisch tatsächliche Kenntnis — auch wenn Plattformen dennoch auf sie reagieren können.
Bestätigungs- und Rückmeldepflichten (Artikel 16 Absatz 4)
Wenn eine Meldung eingereicht wird, muss der Hosting-Diensteanbieter dem Meldenden — unverzüglich — eine Empfangsbestätigung übermitteln. Sobald eine Entscheidung getroffen ist, muss der Anbieter den Meldenden über die Entscheidung unterrichten, einschließlich Informationen über die gegen die Entscheidung zur Verfügung stehenden Rechtsbehelfe. Dies schafft eine Dokumentationskette, die in beide Richtungen verläuft: vom Meldenden zur Plattform und von der Plattform zurück zum Meldenden. Die Antwort des Anbieters wird Teil des öffentlich zugänglichen Transparenzregisters nach Artikel 24, und die Beweisakte des Meldenden umfasst nun die von der Plattform gelieferte Antwort — relevant sowohl für die Transparenzberichterstattung vertrauenswürdiger Hinweisgeber als auch für jede spätere Streitigkeit.
Automatisierte Verarbeitung (Artikel 16 Absatz 6)
Nutzt der Hosting-Diensteanbieter automatisierte Mittel für die Verarbeitung oder Entscheidungsfindung über Meldungen, muss dies in der Mitteilung an den Meldenden offengelegt werden. Artikel 17 verlangt gesondert die Offenlegung automatisierter Mittel in der Begründung gegenüber dem betroffenen Empfänger. Die Information über die automatisierte Verarbeitung ist selbst ein Beweis — relevant für die Beurteilung, ob die Reaktion der Plattform unverhältnismäßig war, ob die Pflichten zu systemischen Risiken nach Artikel 34 ausgelöst worden sein könnten und ob die betreffende Meldung in der Sache entschieden oder in großer Menge verarbeitet wurde.
Handlungsfristen: unverzüglich statt fester Stunden
Artikel 16 sieht keine feste stundenbasierte Frist für Maßnahmen bei Meldungen vor — anders als die 4-Stunden-Uhr von DORA oder die 24-Stunden-Frühwarnung von NIS2. Stattdessen müssen Entscheidungen 'zügig, sorgfältig, frei von Willkür und objektiv' getroffen werden. Für Meldungen vertrauenswürdiger Hinweisgeber nach Artikel 22 ist die Pflicht verschärft: Ihre Meldungen müssen vorrangig behandelt und 'unverzüglich' bearbeitet und entschieden werden. In der Praxis wurde 'unverzüglich' für Meldungen vertrauenswürdiger Hinweisgeber von führenden Koordinatoren dahin ausgelegt, dass es für hochprioritäre Kategorien wie Darstellungen des sexuellen Missbrauchs von Kindern Stunden bis einstellige Tage bedeutet — Größenordnungen schneller als allgemeine Warteschlangen für Nutzermeldungen.
Artikel 17: Begründung und die Beweiskette
Wenn eine Plattform die Inhalte oder den Dienst eines Empfängers aufgrund einer Meldung nach Artikel 16 — oder von sich aus — einschränkt, verlangt Artikel 17, dass sie diesem Empfänger eine klare und spezifische Begründung für die Einschränkung übermittelt. Die Begründung muss die zugrunde gelegten Tatsachen und Umstände enthalten, ob automatisierte Mittel eingesetzt wurden, die Gründe, aus denen der Inhalt als illegal oder mit den Allgemeinen Geschäftsbedingungen unvereinbar angesehen wird, die verfügbaren Rechtsbehelfsmechanismen und Informationen über die DSA-Transparenzdatenbank, in der Begründungen öffentlich zusammengeführt werden.
Die DSA-Transparenzdatenbank — zeitgleich mit der Verordnung eingeführt — sammelt Begründungen aller erfassten Plattformen und macht sie öffentlich durchsuchbar. Bis 2026 enthält die Datenbank Hunderte Millionen Einträge. Für jede einzelne Meldung, die zu einer Einschränkung führte, ist die veröffentlichte Begründung der Plattform die öffentlich zugängliche Zusammenfassung der Entscheidungslogik der Plattform. Für den Meldenden ist die Begründung das Eingeständnis der Plattform, welche Tatsachen sie überzeugend fand — was selbst Teil der Beweisakte ist.
Die Begründung nach Artikel 17 schafft eine eigentümliche Asymmetrie in der Beweiskette. Der Meldende liefert Beweise zur Stützung der Meldung (Artikel 16). Die Plattform prüft und entscheidet. Die Plattform veröffentlicht eine Begründung (Artikel 17). Der Empfänger kann die Entscheidung über das interne Beschwerdemanagementsystem der Plattform (Artikel 20) oder über die außergerichtliche Streitbeilegung (Artikel 21) anfechten. Jede dieser Stufen erzeugt Beweise — und eine hochwertige ursprüngliche Meldung mit gesicherten forensischen Erfassungen prägt die gesamte nachgelagerte Kette. Meldungen, die auf rekonstruierten Screenshots und Behauptungen beruhen, sehen sich auf jeder späteren Stufe Anfechtungen gegenüber.
Die Beschwerde des Empfängers nach Artikel 20 kann die zugrunde liegende Meldung unmittelbar angreifen. Wo der Meldeinhalt mit einem qualifizierten elektronischen Zeitstempel und überprüfbarer Integrität gesichert wurde, beginnt die Prüfung dieser Beschwerde durch die Plattform aus einer Position sachlicher Belastbarkeit. Wo die Meldung sich auf flüchtige Screenshots stützte, die möglicherweise bearbeitet wurden oder nicht mehr mit der Live-Seite übereinstimmen, erhält die Beschwerde eine strukturell stärkere Ausgangslage. Die interne Bearbeitungsquote der meisten Plattformen — der Anteil der Beschwerden, die zur Wiederherstellung eingeschränkter Inhalte führen — ist bei Meldungen ohne belastbare Beweisgrundlage deutlich höher.
Für vertrauenswürdige Hinweisgeber im Besonderen fließt die Begründungskette nach Artikel 17 unmittelbar in den jährlichen Transparenzbericht nach Artikel 22 Absatz 3 ein. Der Bericht muss — unter anderem — die von der Online-Plattform auf die Meldungen des vertrauenswürdigen Hinweisgebers hin ergriffenen Maßnahmen aufführen. Ein vertrauenswürdiger Hinweisgeber, der systematisch hochwertige Meldungen mit gesicherten forensischen Beweisen erstellt, sammelt eine Dokumentation hoher Handlungsquoten der Plattformen an. Ein vertrauenswürdiger Hinweisgeber, dessen Meldungen wiederholt über Beschwerden nach Artikel 20 angefochten, wiederhergestellt oder schlicht ignoriert werden, erstellt einen weniger günstigen Transparenzbericht — und läuft erhöhte Gefahr einer Untersuchung durch den Koordinator nach Artikel 22 Absatz 6 und 7, die zur Aussetzung oder zum Widerruf des Status als vertrauenswürdiger Hinweisgeber führen kann.
Artikel 22: der Rahmen für vertrauenswürdige Hinweisgeber
Artikel 22 des DSA formalisiert das, was zuvor ein Flickenteppich bilateraler Vereinbarungen zwischen Plattformen und vertrauenswürdigen Partnern war, zu einem strukturierten EU-weiten Rahmen. Der Artikel legt die institutionelle Architektur fest: wer den Status eines vertrauenswürdigen Hinweisgebers beantragen kann, was Plattformen mit Meldungen vertrauenswürdiger Hinweisgeber tun müssen, wie die Transparenzberichterstattung funktioniert und wie der Status ausgesetzt oder widerrufen werden kann.
Vorrangige Bearbeitung (Artikel 22 Absatz 1)
Online-Plattformen müssen die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um sicherzustellen, dass Meldungen vertrauenswürdiger Hinweisgeber — die innerhalb ihres benannten Fachgebiets handeln — über die Mechanismen nach Artikel 16 vorrangig behandelt und unverzüglich bearbeitet und entschieden werden. Der Vorrang ist inhaltsspezifisch: Ein für Darstellungen des sexuellen Missbrauchs von Kindern benannter vertrauenswürdiger Hinweisgeber erhält keine vorrangige Bearbeitung für Meldungen zu Markenrechtsverletzungen, auch wenn es sich technisch um dieselbe juristische Person handelt, die über denselben Meldemechanismus einreicht.
Benennung durch den Koordinator für digitale Dienste (Artikel 22 Absatz 2)
Der Status eines vertrauenswürdigen Hinweisgebers wird vom Koordinator für digitale Dienste des Mitgliedstaats verliehen, in dem der Antragsteller niedergelassen ist — nicht von der Plattform, nicht von der Kommission. Dieses dezentrale Benennungsregime bedeutet, dass eine in Deutschland niedergelassene Einrichtung bei der Bundesnetzagentur beantragt; eine Einrichtung in Frankreich bei Arcom; eine Einrichtung in Italien bei AGCOM. Einmal verliehen, gilt der Status EU-weit gegenüber jeder erfassten Online-Plattform nach Artikel 22, unabhängig davon, wo die Plattform niedergelassen ist. Ein deutscher vertrauenswürdiger Hinweisgeber reicht Meldungen bei einer französischen Plattform mit demselben Vorrangstatus ein, mit dem er Meldungen bei einer deutschen Plattform einreichen würde.
Voraussetzungen: nur Einrichtungen, drei materielle Kriterien
Artikel 22 Absatz 2 verlangt drei materielle Kriterien: (a) besondere Sachkenntnis und Kompetenz bei der Aufdeckung, Identifizierung und Meldung illegaler Inhalte; (b) Unabhängigkeit von jedem Anbieter von Online-Plattformen; (c) sorgfältige, genaue und objektive Ausübung der Meldetätigkeit. Erwägungsgrund 61 stellt klar, dass vertrauenswürdige Hinweisgeber Einrichtungen sein müssen — keine Einzelpersonen — und benennt typische Kategorien: Nichtregierungsorganisationen, private oder halböffentliche Stellen und Branchenverbände. Die 'Gesamtzahl der vertrauenswürdigen Hinweisgeber sollte begrenzt sein', um den Mehrwert des Rahmens zu wahren.
Geografischer Geltungsbereich des Status
Der geografische Geltungsbereich ist eines der markantesten Merkmale des Rahmens. Einmal von einem Koordinator eines Mitgliedstaats benannt, wird der Status des vertrauenswürdigen Hinweisgebers von allen erfassten Online-Plattformen in der gesamten Union anerkannt. Dies ist ein starkes Harmonisierungsmerkmal: Ein vertrauenswürdiger Hinweisgeber muss nicht 27-mal beantragen. Es ist zugleich ein Belastungspunkt des Rahmens, weil die materiellen Kriterien von verschiedenen Koordinatoren unterschiedlich angewandt werden. Eine Einrichtung, die die Sorgfaltsstandards der Bundesnetzagentur nicht erfüllen würde, kann von einem weniger strengen Koordinator benannt werden und dann unionsweit tätig sein. Die Leitlinien der Kommission von 2026 nach Artikel 22 Absatz 8 sollen unter anderem diese Unterschiede angehen.
Jährliche Berichterstattung (Artikel 22 Absatz 3)
Benannte vertrauenswürdige Hinweisgeber müssen mindestens einmal jährlich leicht verständliche und detaillierte Berichte über die im Berichtszeitraum nach Artikel 16 eingereichten Meldungen veröffentlichen. Die Berichte müssen die Meldungen nach Hosting-Diensteanbieter, Art der mutmaßlich illegalen Inhalte und der von der Online-Plattform daraufhin ergriffenen Maßnahme kategorisieren. Die Berichte müssen eine Erläuterung der Verfahren enthalten, die der vertrauenswürdige Hinweisgeber zur Wahrung seiner Unabhängigkeit unterhält. Sie werden dem benennenden Koordinator übermittelt und öffentlich zugänglich gemacht. Der Jahresbericht ist das wichtigste öffentliche Artefakt der Tätigkeit des vertrauenswürdigen Hinweisgebers — und die Qualität der Beweise hinter den darin beschriebenen Meldungen entscheidet darüber, ob der Bericht als wirksam gelesen wird oder als Aufzeichnung angefochtener und rückgängig gemachter Entscheidungen.
Wie man vertrauenswürdiger Hinweisgeber wird
Für Einrichtungen, die einen Antrag auf den Status eines vertrauenswürdigen Hinweisgebers erwägen, verläuft der praktische Weg über den Koordinator für digitale Dienste des Mitgliedstaats der Niederlassung. Stand Mai 2026 unterscheiden sich die Antragsverfahren erheblich je nach Mitgliedstaat — einige Koordinatoren haben detaillierte Antragsformulare und Verfahren veröffentlicht; andere haben noch kein Benennungsverfahren entwickelt; einige Mitgliedstaaten befinden sich in EuGH-Verfahren über die Ausstattung des Koordinators mit Befugnissen. Die folgenden Abschnitte beschreiben die materielle Vorbereitung, die unabhängig davon gilt, an welchen Koordinator der Antrag geht.
Nachweis von Sachkenntnis und Kompetenz
Das erste materielle Kriterium — besondere Sachkenntnis und Kompetenz bei der Aufdeckung, Identifizierung und Meldung illegaler Inhalte — wird typischerweise durch eine Kombination aus dokumentierten Aufdeckungsabläufen, Qualifikationen des mit Meldungen befassten Personals, Erfolgsbilanz (gegebenenfalls einschließlich unter freiwilligen Rahmen vor dem DSA), technischer Infrastruktur für die Inhaltsanalyse und fachgebietsspezifischer Sachkenntnis nachgewiesen. Der Koordinator wird Verfahren sehen wollen, mit denen bestätigt wird, dass gemeldete Inhalte tatsächlich die rechtliche Schwelle der Rechtswidrigkeit nach anwendbarem Unionsrecht oder nationalem Recht erreichen — nicht nur Verstöße gegen die Nutzungsbedingungen oder Inhalte, die die Einrichtung anstößig findet.
Nachweis der Unabhängigkeit
Das Unabhängigkeitskriterium verlangt, dass der Antragsteller ohne finanzielle Abhängigkeit von oder governance-bezogene Verflechtung mit Online-Plattformen tätig ist. Dies ist das operativ heikelste Kriterium für Branchenverbände und Markenschutzorganisationen, bei denen der Kontakt zu Plattformen oft Teil des normalen Geschäfts ist. Unabhängigkeit bedeutet kein Verbot des Plattformkontakts — sie bedeutet das Fehlen finanzieller Ströme, Governance-Überschneidungen oder vertraglicher Verpflichtungen, die die Objektivität des vertrauenswürdigen Hinweisgebers beeinträchtigen könnten. Der Koordinator wird Finanzierungsstruktur, Governance, vertragliche Beziehungen und historisches Verhalten prüfen.
Nachweis von Sorgfalt, Genauigkeit und Objektivität
Das dritte Kriterium — Sorgfalt, Genauigkeit und Objektivität — ist der Punkt, an dem die Beweisinfrastruktur ausschlaggebend wird. Der Antragsteller muss Verfahren nachweisen, die sicherstellen, dass jede Meldung auf angemessener Überprüfung, genauer Beschreibung und objektiver Beurteilung beruht. Hier tritt die forensische Beweissicherung unmittelbar in den Antrag ein: Ein Antragsteller, der den Prüfern des Koordinators ein manipulationssicheres Beweispaket für eine Beispielmeldung vorlegen kann — vollständiges HTML, gerenderter Screenshot, qualifizierter elektronischer Zeitstempel, Integritätsmanifest — weist Sorgfalt in einer Weise nach, die Screenshots und informelle Beschreibungen nicht erreichen können. Dies wird zunehmend wichtiger, je mehr die Koordinatoren ihre eigenen Beurteilungsstandards nach den bevorstehenden Leitlinien der Kommission ausbauen.
Benanntes Fachgebiet
Die Benennung als vertrauenswürdiger Hinweisgeber ist nicht generisch. Jede Benennung legt das Gebiet oder die Gebiete der Sachkenntnis fest, innerhalb derer die Pflicht zur vorrangigen Bearbeitung gilt. Zu den in den Benennungen 2025 und 2026 beobachteten häufigen Kategorien gehören Darstellungen des sexuellen Missbrauchs von Kindern (CSAM), terroristische Inhalte, Hassrede, Verletzungen des geistigen Eigentums, Verbraucherbetrug, illegale Produktangebote, Online-Finanzbetrug und digitale Gewalt. Eine Einrichtung kann für mehrere Kategorien benannt werden, doch jede erfordert materielle Sachkenntnis. Eine Benennung als vertrauenswürdiger Hinweisgeber für CSAM erstreckt sich nicht auf Markenmeldungen und umgekehrt.
Tschechischer und mitteleuropäischer Kontext
Für in der Tschechischen Republik niedergelassene Einrichtungen ist die praktische Situation im Mai 2026 durch das laufende EuGH-Verfahren über die Ausstattung des ČTÚ mit Befugnissen eingeschränkt. Das ČTÚ wurde förmlich als tschechischer Koordinator benannt, hat einen Jahresbericht über die Tätigkeit des Koordinators für 2025 veröffentlicht und ist als zuständige Behörde für die Zertifizierung vertrauenswürdiger Hinweisgeber nach Artikel 22 aufgeführt. Der umfassendere Rahmen zur Ausstattung mit Befugnissen — einschließlich der Sanktionsvorschriften — bleibt jedoch in einem Verfahren vor dem Gerichtshof unter Prüfung der Kommission. Tschechische Einrichtungen, die Anträge als vertrauenswürdige Hinweisgeber erwägen, sollten die EuGH-Verfahren und die Umsetzung der Durchführungsgesetzgebung neben ihrer materiellen Vorbereitung beobachten. Viele slowakische, polnische und portugiesische Antragsteller stehen vor vergleichbarer verfahrensrechtlicher Unsicherheit, bis parallele Vertragsverletzungsverfahren gelöst sind.
Warum die Beweissicherung über die Qualität der Meldung entscheidet
Das DSA-Melderegime unterscheidet sich strukturell von den Meldregimen von DORA oder NIS2. Es gibt keine feste stundenbasierte Uhr. Es gibt keine gesetzliche Behörde, die die Meldung entgegennimmt. Die Meldung ist ein privatrechtliches Instrument, das eine Plattformentscheidung auslöst — und diese Entscheidung hat Folgen über die Begründung nach Artikel 17, die Beschwerde nach Artikel 20, die Streitbeilegung nach Artikel 21 und (für vertrauenswürdige Hinweisgeber) den jährlichen Transparenzbericht nach Artikel 22 Absatz 3. Jede dieser nachgelagerten Stufen stellt die zugrunde liegende Meldung auf die Probe. Und jede Probe ist für die Plattform oder den betroffenen Empfänger leichter zu gewinnen, wenn die zugrunde liegende Meldung auf flüchtigen oder rekonstruierbaren Beweisen beruht.
Illegale Inhalte haben ein charakteristisches Beweisprofil: Sie sind darauf angelegt, flüchtig zu sein. Markenfälscher ändern SKUs und verlagern Angebote innerhalb von Stunden nach der Entdeckung. Phishing-Betreiber geben Infrastruktur auf, sobald sie gemeldet wird. Hassrede wird gelöscht oder bearbeitet, sobald der Empfänger Moderationsaufmerksamkeit vermutet. CSAM-Hosts verschieben Inhalte innerhalb von Minuten über CDNs. Kampagnen zur Markenimitation wechseln Domainnamen. In jeder Kategorie, in der vertrauenswürdige Hinweisgeber tätig sind, hat der die Meldung stützende Beweis eine kurze Halbwertszeit — und die Meldung, die die Plattform erreicht, nachdem der Inhalt verschwunden ist, ist im Grunde eine nicht überprüfbare Behauptung.
Der DSA trägt dieser Flüchtigkeit implizit Rechnung. Artikel 16 Absatz 2 Buchstabe b verlangt 'eine eindeutige Angabe des genauen elektronischen Speicherorts dieser Informationen, etwa die genaue URL oder URLs und erforderlichenfalls zusätzliche Informationen zur Identifizierung der illegalen Inhalte'. Die Klausel 'erforderlichenfalls zusätzliche Informationen' existiert, weil URLs allein oft unzureichend sind — der Inhalt unter der URL ändert sich, die URL selbst kann umgewidmet werden, die gerenderte Seite kann sich vom zugrunde liegenden Quelltext unterscheiden. Abläufe vertrauenswürdiger Hinweisgeber, die den Inhalt im Moment der Identifizierung mit überprüfbarer Integrität erfassen, erfüllen diese Anforderung auf einem substanziell höheren Standard als Abläufe, die nur die URL aufzeichnen.
Dies ist die operative Lücke, die forensische Web-Beweisplattformen wie GetProofAnchor schließen sollen. Eine im Moment der Identifizierung vorgenommene Erfassung erzeugt ein manipulationssicheres Paket — vollständiges HTML, gerenderter Screenshot über Desktop- und Mobil-Viewports, extrahierter Textinhalt, Netzwerk-Metadaten und gegebenenfalls die TLS-Zertifikatskette — verbunden durch ein kryptografisches Manifest, versiegelt mit einem qualifizierten elektronischen Zeitstempel nach eIDAS Artikel 42 durch einen in der EU gelisteten qualifizierten Vertrauensdiensteanbieter (QTSP) und unabhängig in der Bitcoin-Blockchain über OpenTimestamps verankert. Wenn die Plattform die Meldung drei Tage später bearbeitet und der Inhalt verschwunden ist, steht der Beweis mit mathematischer Integrität zur Verfügung, dass der ursprüngliche Inhalt in dieser Form zu diesem Zeitpunkt existierte.
Für vertrauenswürdige Hinweisgeber ist die kumulative Wirkung über ein Berichtsjahr erheblich. Ein Hinweisgeber, der 5.000 Meldungen mit gesicherten forensischen Beweisen erstellt, baut eine jahresübergreifende Bilanz hoher Handlungsquoten, niedriger erfolgreicher Beschwerdequoten nach Artikel 20 und nachweisbarer Sorgfalt nach Artikel 22 Absatz 2 Buchstabe c auf. Ein Hinweisgeber, der dieselbe Zahl an Meldungen mit Screenshots stützt, sammelt eine Bilanz angefochtener Entscheidungen, wiederhergestellter Inhalte und — schließlich — die Untersuchung des Koordinators nach Artikel 22 Absatz 6 an, die zur Aussetzung führen kann. Der Beweisstandard ist nicht getrennt von der Einhaltung von Artikel 22; er ist der operative Kern der Compliance-Position des vertrauenswürdigen Hinweisgebers.
Forensische Erfassung illegaler Inhalte für DSA-Meldungen
Die materiellen Kategorien, in denen vertrauenswürdige Hinweisgeber und andere DSA-Meldende am häufigsten tätig sind, teilen bestimmte Beweismerkmale: Inhalte, die auf einer Infrastruktur gehostet werden, die der Meldende nicht kontrolliert, darauf angelegt, bei Entdeckung gelöscht zu werden, häufig über mehrere URLs oder Plattformen repliziert. Die folgenden fünf Kategorien decken den Großteil des aufkommensstarken DSA-Meldeverkehrs in den Jahren 2025 und 2026 ab und veranschaulichen die forensischen Erfassungsstandards, die jede erfordert.
Angebote gefälschter Produkte auf Online-Marktplätzen
Angebote gefälschter Produkte auf Online-Marktplätzen sind eine der größten Einzelkategorien der Tätigkeit vertrauenswürdiger Hinweisgeber, wobei Markenschutzorganisationen und Branchenverbände (das Beispiel des Bundesverbands Onlinehandel in Deutschland ist illustrativ) in diesem Bereich tätig sind. Fälschungsangebote verschwinden nach der Meldung schnell, oft innerhalb von Stunden, und derselbe Verkäufer stellt dasselbe Produkt häufig unter einer anderen SKU oder Marktplatzidentität erneut ein. Die forensische Erfassung muss die vollständige Produktangebotsseite, das Verkäuferprofil, die Preis- und Versandangaben, alle Produktbilder und die für Nutzer sichtbaren Bewertungen umfassen — gesichert als ein einziges kohärentes Beweispaket im Moment der Identifizierung des Angebots.
Domains zur Markenimitation und Phishing-Infrastruktur
Domains zur Markenimitation — Typosquatting, ähnlich aussehende Domains, betrügerische Kundendienst-Websites — sind eine wachsende Kategorie der DSA-Meldetätigkeit, insbesondere da Finanzinstitute und große Verbrauchermarken die Benennung als vertrauenswürdiger Hinweisgeber anstreben. Die forensische Erfassung muss die vollständige visuelle Wiedergabe der Imitation, den zugrunde liegenden HTML-Quelltext mit der Verwendung von Markenwerten, die TLS-Zertifikatskette (die oft kostenlose Let's-Encrypt-Zertifikate zeigt, die selbst beweisrelevant sind) und nach Möglichkeit die Netzwerkaufrufe abdecken, die erfassen, wohin abgegriffene Zugangsdaten gesendet werden. Phishing-Infrastruktur ist die am schnellsten entsorgbare Kategorie in der DSA-Meldearbeit; der Abstand zwischen Entdeckung und Zerstörung des Inhalts wird in Stunden gemessen.
Online-Finanzbetrug und Anlagebetrug
Online-Finanzbetrug und Anlagebetrug — gefälschte Brokerage-Plattformen, betrügerische Krypto-Börsen, durch Liebesbetrug getriebene 'Pig-Butchering'-Anlageseiten — liegen an der Schnittstelle von DSA-Meldungen, DORA-Berichterstattung für erfasste Finanzunternehmen und Zusammenarbeit mit den Strafverfolgungsbehörden. Das erklärte Interesse der irischen Zentralbank an einer Benennung als vertrauenswürdiger Hinweisgeber für Betrug und Finanzbetrug veranschaulicht den institutionellen Bedarf an strukturierter Meldebefugnis in dieser Kategorie. Die forensische Erfassung muss den mehrseitigen Betrugsablauf durchlaufen — Landingpage, gefälschtes Dashboard, Einzahlungsoberfläche, Mechanik der unmöglichen Auszahlung — kohärent gesichert als ein einziges Beweispaket je Betrug, wobei jede Komponente unabhängig überprüfbar ist.
Illegale Hassrede und Inhalte digitaler Gewalt
Illegale Hassrede und Inhalte digitaler Gewalt — im Rahmen des HateAid-Beispiels unter den deutschen Benennungen vom Juni 2025 — weisen ein anderes Beweisprofil auf. Inhalte werden oft auf Plattformen gehostet, die bei Nutzermeldung löschen (wobei der Empfänger oft durch öffentliche Löschung Belastung signalisiert), in Threads oder Kommentarbereichen, die aus dem Blickfeld scrollen, manchmal in Livestream-Archiven. Die forensische Erfassung muss den Inhalt selbst, den umgebenden Thread-Kontext, die Nutzerkontoinformationen des Verfassers, die Zeitstempel der Veröffentlichung und etwaiger späterer Bearbeitungen sowie die URL, unter der der Inhalt erschien, umfassen. Mehrseitige oder Thread-Erfassungen sind unverzichtbar, weil das Herausgreifen von Ausschnitten den Kontext zu verfälschen droht.
CSAM und terroristische Inhalte (spezialisierte Meldestellen)
Darstellungen des sexuellen Missbrauchs von Kindern und terroristische Inhalte werden von spezialisierten Meldestellen sowohl nach DSA Artikel 22 als auch nach der parallelen Verordnung (EU) 2021/784 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte behandelt. Die forensische Erfassung in diesen Kategorien unterliegt zusätzlichen rechtlichen und operativen Einschränkungen — der Inhalt kann nicht auf Standardwegen heruntergeladen oder gespeichert werden, ohne dass für die Meldestelle selbst potenziell strafrechtliche Haftung entsteht. Spezialisierte Meldestellen arbeiten innerhalb maßgeschneiderter rechtlicher Rahmen, typischerweise nationaler Kooperationsvereinbarungen mit Strafverfolgungsbehörden, und nutzen hashbasierte Identifizierungssysteme statt der Sicherung von Rohinhalten. Die für andere Kategorien erörterten allgemeinen forensischen Erfassungstechniken gelten in diesen spezialisierten Kontexten nicht unmittelbar.
Jährliche Transparenzberichte nach Artikel 22 Absatz 3
Artikel 22 Absatz 3 verpflichtet jeden benannten vertrauenswürdigen Hinweisgeber, mindestens einmal jährlich einen leicht verständlichen und detaillierten Bericht über die im Berichtszeitraum nach Artikel 16 eingereichten Meldungen zu veröffentlichen. Der Bericht muss mindestens die Zahl der Meldungen aufführen, kategorisiert nach der Identität des Hosting-Diensteanbieters, der Art der gemeldeten mutmaßlich illegalen Inhalte und der von der Online-Plattform daraufhin ergriffenen Maßnahme. Die Berichte müssen die Verfahren erläutern, mit denen der vertrauenswürdige Hinweisgeber seine Unabhängigkeit wahrt, müssen dem benennenden Koordinator übermittelt und öffentlich zugänglich gemacht werden. Die Informationen in diesen Berichten dürfen keine personenbezogenen Daten enthalten.
Der Transparenzbericht ist das wichtigste öffentlich zugängliche Artefakt der Tätigkeit des vertrauenswürdigen Hinweisgebers. Für Antragsteller, die in späteren Runden eine Benennung anstreben, bieten frühere Transparenzberichte anderer benannter Hinweisgeber im selben Inhaltsbereich einen Bezugspunkt dafür, wie angemessene Tätigkeitsvolumina, Kategorienverteilungen und Handlungsquoten der Plattformen aussehen. Für Koordinatoren, die benannte Hinweisgeber beaufsichtigen, ist der Jahresbericht der wichtigste Input für die laufende Beurteilung nach Artikel 22 Absatz 2 Buchstabe c — ob Sorgfalt, Genauigkeit und Objektivität weiterhin gewahrt werden.
Der Zusammenhang zwischen forensischer Beweissicherung und dem jährlichen Transparenzbericht ist unmittelbar. Der Bericht umfasst die von den Online-Plattformen auf die Meldungen hin ergriffenen Maßnahmen. Wo Plattformen Inhalte entfernt oder eingeschränkt haben, spiegelt der Bericht eine hohe Handlungsquote wider. Wo Plattformen Inhalte nach einer Beschwerde des Empfängers nach Artikel 20 wiederhergestellt haben, spiegelt der Bericht eine angefochtene Entscheidung wider. Wo der vertrauenswürdige Hinweisgeber eine Meldung zurückzog oder bei Anfechtung nicht belegen konnte, spiegelt der Bericht eine nicht bearbeitete Meldung wider. Über ein Jahr hinweg prägen diese Verteilungen sowohl die öffentliche Wahrnehmung der Wirksamkeit des vertrauenswürdigen Hinweisgebers als auch die Beurteilung des Koordinators, ob die Benennung weiterhin gerechtfertigt ist.
Die Kommission unterhält nach Artikel 22 Absatz 4 eine zentral zugängliche öffentlich verfügbare Datenbank aller benannten vertrauenswürdigen Hinweisgeber, ihres Mitgliedstaats der Niederlassung und ihres Fachgebiets. Bis 2026 ist diese Datenbank in Betrieb und wächst, während sich Benennungen anhäufen. Sie ist zugleich der Bezugspunkt für Forscher, Journalisten und Regulierungsbehörden, die die Entwicklung des Rahmens für vertrauenswürdige Hinweisgeber verfolgen. Von benannten Hinweisgebern übermittelte Jahresberichte werden Teil der öffentlich zugänglichen Aufzeichnung darüber, wie das DSA-Melderegime in der Praxis tatsächlich funktioniert.
Koordinatoren für digitale Dienste in den Mitgliedstaaten: der tschechische EuGH-Fall
Artikel 49 des DSA verpflichtete jeden Mitgliedstaat, bis zum 17. Februar 2024 eine oder mehrere zuständige Behörden zu benennen und eine davon mit der Rolle des Koordinators für digitale Dienste zu betrauen. Zwei Jahre nach dieser Frist bleibt die Benennungslandschaft uneinheitlich. Einige Mitgliedstaaten schlossen die Benennung und Ausstattung mit Befugnissen fristgerecht ab. Andere benannten einen Koordinator, versäumten es jedoch, ihm die erforderlichen Durchsetzungsbefugnisse zu erteilen oder nationale Sanktionsvorschriften festzulegen. Mehrere schlossen die Benennung überhaupt nicht ab.
Am 7. Mai 2025 beschloss die Europäische Kommission, Tschechien, Spanien, Zypern, Polen und Portugal nach Artikel 258 AEUV an den Gerichtshof der Europäischen Union zu verweisen. Polen hatte überhaupt keinen Koordinator benannt. Tschechien, Spanien, Zypern und Portugal hatten jeweils förmlich einen Koordinator benannt, ihn jedoch nicht mit den erforderlichen Befugnissen ausgestattet oder keine Sanktionsvorschriften festgelegt. Die Verweisungen lösen die Verfahrensphase des Vertragsverletzungsverfahrens aus; stellt der Gerichtshof einen Verstoß fest, ist der Mitgliedstaat rechtlich zur Einhaltung verpflichtet, und fortgesetzte Nichteinhaltung kann zu weiteren Verfahren nach Artikel 260 AEUV einschließlich finanzieller Sanktionen führen.
Der tschechische Fall ist in der mitteleuropäischen DSA-Praxis besonders sichtbar. Das tschechische Telekommunikationsamt (Český telekomunikační úřad, ČTÚ) wurde förmlich als tschechischer Koordinator benannt, hat seinen ersten Jahresbericht über die Tätigkeit des Koordinators für 2025 veröffentlicht und ist als zuständige Behörde für die Zertifizierung vertrauenswürdiger Hinweisgeber, den Zugang zugelassener Forscher nach Artikel 40 und die Zertifizierung außergerichtlicher Streitbeilegungsstellen aufgeführt. Die tschechische Durchführungsgesetzgebung wurde nicht in der Form abgeschlossen, die die Kommission für erforderlich hält, um dem Koordinator seine volle Durchsetzungszuständigkeit zu erteilen — was die Grundlage der EuGH-Verweisung bildet. Tschechische Einrichtungen, die Anträge als vertrauenswürdige Hinweisgeber vorbereiten, arbeiten innerhalb des vom ČTÚ veröffentlichten Verfahrens, aber vor dem Hintergrund ungelöster Rechtsstreitigkeiten über den umfassenderen Koordinatorenrahmen.
Im Gegensatz dazu haben mehrere Mitgliedstaaten die institutionelle Architektur zügig aufgebaut. Die deutsche Bundesnetzagentur, die die Rolle des Koordinators innehat, hat 2024 und 2025 mehrere Benennungen vertrauenswürdiger Hinweisgeber vorgenommen und betreibt ein öffentliches Register zertifizierter Einrichtungen. Die französische Arcom führt eine öffentlich zugängliche, regelmäßig aktualisierte Liste vertrauenswürdiger Hinweisgeber. Die italienische AGCOM benannte im Januar 2025 ihren ersten vertrauenswürdigen Hinweisgeber (Argo Business Solutions). Irlands Coimisiún na Meán ist in Betrieb und die Heimatregulierungsbehörde für viele große in Irland ansässige Plattformen. Die niederländische ACM und die ungarische NMHH sind ähnlich aktiv.
Die uneinheitliche Koordinatorenlandschaft schafft eine Durchsetzungsgeografie für die DSA-Meldearbeit. Ein in einem Mitgliedstaat mit voll funktionsfähigem Koordinator niedergelassener vertrauenswürdiger Hinweisgeber hat vorhersehbare Antragsfristen, transparente Verfahren und eine Regulierungsbehörde, die seine Tätigkeit beaufsichtigen kann. Ein in einem Mitgliedstaat niedergelassener vertrauenswürdiger Hinweisgeber, dessen Koordinatorenrahmen noch Gegenstand von Rechtsstreitigkeiten ist, sieht sich längeren Fristen und verfahrensrechtlicher Unsicherheit gegenüber. Für grenzüberschreitende Inhaltskategorien — gefälschte Waren, Finanzbetrug, Markenimitation — ist die praktische Wirkung eine Konzentration von Anträgen vertrauenswürdiger Hinweisgeber in jenen Mitgliedstaaten mit den funktionsfähigsten Koordinatoren, was wiederum prägt, welche Plattformen welche Arten von Meldungen am häufigsten sehen.
Benennungen vertrauenswürdiger Hinweisgeber in der Praxis
Bis Mai 2026 wurden mehrere Dutzend Einrichtungen in der gesamten EU als vertrauenswürdige Hinweisgeber nach Artikel 22 des DSA benannt. Die Benennungen spiegeln die Prioritäten jedes Koordinators und die materiellen Bereiche wider, in denen Zivilgesellschaft, Branche und spezialisierte Organisationen am aktivsten sind. Die folgenden Beispiele — aus öffentlichen Bekanntmachungen der Koordinatoren — veranschaulichen die Bandbreite an Organisationstypen und Inhaltsbereichen im Rahmen.
In Deutschland zertifizierte die Bundesnetzagentur im Juni 2025 den Bundesverband Onlinehandel e.V. (BVOH), die HateAid gGmbH und den Verbraucherzentrale Bundesverband e.V. (vzbv). BVOH konzentriert sich auf gewerblichen Rechtsschutz und unlauteren Wettbewerb auf Online-Marktplätzen — Fälschungsangebote, Verstöße gegen vergleichende Werbung, unlauteren Wettbewerb. HateAid konzentriert sich auf digitale Gewalt, Betrug und Täuschung in sozialen Medien. Der vzbv konzentriert sich auf Verbraucherrechte, Produktsicherheit und E-Commerce-Betrug. Die drei Benennungen veranschaulichen, wie ein einziger Koordinator eine Abdeckung über unterschiedliche Inhaltskategorien mit unterschiedlichen zivilgesellschaftlichen Partnern aufbauen kann.
In Frankreich hat Arcom ALPA (Association de Lutte contre la Piraterie Audiovisuelle, mit Schwerpunkt auf audiovisueller Piraterie), IFAW (International Fund for Animal Welfare, mit Schwerpunkt auf Inhalten zum illegalen Wildtierhandel), INDECOSA-CGT (einen Verbraucherverband), Point de Contact (mit Schwerpunkt auf illegalen Inhalten einschließlich CSAM und terroristischer Inhalte) und Addictions France (mit Schwerpunkt auf der illegalen Bewerbung von Suchtprodukten) benannt. Die französische Liste veranschaulicht eine vielfältigere Kategorienverteilung, einschließlich spezialisierter Meldestellen, die CSAM und terroristische Inhalte behandeln.
In Italien benannte AGCOM im Januar 2025 Argo Business Solutions S.r.l. als ersten vertrauenswürdigen Hinweisgeber des Landes, mit Schwerpunkt auf Verletzungen des geistigen Eigentums und Online-Betrug. Diese Benennung weist ein bemerkenswertes strukturelles Merkmal auf: Der erste italienische vertrauenswürdige Hinweisgeber ist ein kommerzielles Unternehmen für digitale Sicherheit und keine zivilgesellschaftliche Organisation, was die Offenheit des DSA gegenüber Branchenverbänden und spezialisierten kommerziellen Einrichtungen als zulässigen vertrauenswürdigen Hinweisgebern nach Artikel 22 Absatz 2 widerspiegelt.
Über die Mitgliedstaaten hinweg bleibt der Rahmen für vertrauenswürdige Hinweisgeber ein aufkommendes und noch nicht vollständig institutionalisiertes Regime. Viele Koordinatoren haben noch keine Benennungen vorgenommen. Mehrere Mitgliedstaaten sind durch laufende EuGH-Vertragsverletzungsverfahren blockiert. Die bevorstehenden Leitlinien der Kommission von 2026 nach Artikel 22 Absatz 8 dürften die Antragsverfahren und Beurteilungskriterien über die Koordinatoren hinweg vereinheitlichen. Der Zeitraum 2025–2026 stellt daher ein Fenster dar, in dem sich zivilgesellschaftliche Organisationen, Branchenverbände und spezialisierte Einrichtungen mit materieller Sachkenntnis im Rahmen etablieren können — sofern sie die Sorgfalt und Genauigkeit nachweisen können, die Artikel 22 Absatz 2 Buchstabe c verlangt.
Sanktionen, Widerruf und Gegenmaßnahmen der Plattformen
Das DSA-Sanktionsregime verläuft auf zwei parallelen Bahnen: Sanktionen gegen erfasste Diensteanbieter für DSA-Verstöße und das Aussetzungs- und Widerrufsregime für vertrauenswürdige Hinweisgeber, die ihren Status missbrauchen. Beide Bahnen stützen sich auf dokumentarische Beweise — des Plattformverhaltens im ersten Fall, der Meldequalität des vertrauenswürdigen Hinweisgebers im zweiten — und die dokumentarische Qualität dieser Beweise wirkt sich unmittelbar auf die Ergebnisse aus.
Sanktionen gegen Plattformen nach Artikel 52 müssen wirksam, verhältnismäßig und abschreckend sein, wobei die Höchstbeträge auf dem höheren Wert von 6 % des weltweiten Jahresumsatzes des Anbieters im vorangegangenen Geschäftsjahr festgelegt werden oder — bei Nichtübermittlung korrekter oder vollständiger Informationen oder Verweigerung einer Vor-Ort-Inspektion — auf 1 % des Jahreseinkommens oder weltweiten Jahresumsatzes. Nationale Gesetze legen die konkreten Höchstbeträge innerhalb des DSA-Rahmens fest. Für VLOPs und VLOSEs, bei denen die Kommission die ausschließliche Durchsetzungszuständigkeit für Pflichten zu systemischen Risiken hat, werden Sanktionen unmittelbar von der Kommission nach Artikel 74 verhängt. Bis 2026 hat die Kommission mehrere förmliche Verfahren gegen benannte VLOPs eröffnet.
Der Umgang der Plattformen mit dem Missbrauch durch vertrauenswürdige Hinweisgeber ist über Artikel 22 Absatz 6 strukturiert. Verfügt ein Anbieter einer Online-Plattform über Informationen, die darauf hindeuten, dass ein vertrauenswürdiger Hinweisgeber eine erhebliche Zahl unzureichend präziser, ungenauer oder unzureichend begründeter Meldungen eingereicht hat — einschließlich über das interne Beschwerdemanagementsystem nach Artikel 20 gesammelter Informationen — muss der Anbieter diese Informationen dem Koordinator, der den Status verliehen hat, mit den erforderlichen Erläuterungen und Belegen mitteilen. Der Koordinator beurteilt dann, ob eine Untersuchung eröffnet wird, während derer der Status des vertrauenswürdigen Hinweisgebers ausgesetzt ist.
Der Widerruf nach Artikel 22 Absatz 7 ist der letzte Schritt. Der verleihende Koordinator widerruft den Status eines vertrauenswürdigen Hinweisgebers, wenn er nach einer Untersuchung feststellt, dass die Einrichtung die Bedingungen des Artikels 22 Absatz 2 nicht mehr erfüllt. Vor dem Widerruf muss der Koordinator der Einrichtung Gelegenheit zur Stellungnahme geben. Die Verfahrensschutzrechte folgen dem üblichen Verwaltungsverfahren: Mitteilung, Anhörungsmöglichkeit, begründete Entscheidung, gerichtliche Überprüfung nach nationalem Recht. Aus Sicht des vertrauenswürdigen Hinweisgebers ist die gesamte Widerrufskette dokumentarisch — und eine Bilanz hochwertiger, forensisch gestützter Meldungen ist die stärkste Verteidigung gegen Widerrufsverfahren.
Der Bezug zur Beweissicherung ist unmittelbar. Eine Plattformanfechtung nach Artikel 22 Absatz 6 ist im Kern eine Beweisstreitigkeit darüber, ob bestimmte frühere Meldungen 'unzureichend präzise, ungenau oder unzureichend begründet' waren. Ein vertrauenswürdiger Hinweisgeber, der jede angefochtene Meldung mit einem überprüfbaren forensischen Beweispaket erstellte — gesichert im Moment der Identifizierung, versiegelt mit einem qualifizierten elektronischen eIDAS-Zeitstempel, in der Bitcoin-Blockchain verankert, unabhängig überprüfbar — kann dieses Paket auf Anfrage des Koordinators vorlegen und nachweisen, dass die Meldung zum Zeitpunkt der Einreichung materiell gestützt war. Ein vertrauenswürdiger Hinweisgeber, der sich auf flüchtige Screenshots stützte, kann keinen gleichwertigen Beweis vorlegen, und die Untersuchung des Koordinators schreitet gegen eine strukturell schwächere Verteidigung voran.
DSA, NIS2, DORA und DSGVO: rahmenübergreifende Beweise
Der DSA operiert innerhalb eines erweiterten EU-Regulierungsclusters für digitale Dienste, das auch NIS2, DORA, DSGVO und sektorspezifische Instrumente umfasst. Verschiedene Regime legen verschiedenen Einrichtungen verschiedene Pflichten auf, doch in der Praxis kann ein einzelner Vorfall oder ein einzelnes Inhaltsereignis gleichzeitig Pflichten unter mehreren Rahmen auslösen. Vertrauenswürdige Hinweisgeber und DSA-Meldende, die kohärente rahmenübergreifende Beweispakete aufbauen, vermeiden doppelte Erfassungsarbeit und erzeugen Beweise, die mehrere Regulierungsbehörden gleichzeitig zufriedenstellen.
Die klarste Schnittstelle besteht zu NIS2 und DORA bei cybersicherheitsbezogenen Inhalten. Eine Phishing-Seite, die eine Bank imitiert, ist aus Sicht des Compliance-Teams der Bank ein DORA-Vorfall nach Artikel 19 (Betriebsstörung mit Auswirkungen auf Kunden) und potenziell ein NIS2-Vorfall, wenn auch die IKT-Lieferkette der Bank betroffen ist. Aus Sicht eines vertrauenswürdigen Hinweisgebers wie der irischen Zentralbank (in der Rolle, an der sie öffentlich Interesse bekundet hat) ist dieselbe Phishing-Seite Gegenstand einer DSA-Meldung nach Artikel 16 an die Plattform, die die Phishing-Infrastruktur hostet. Eine einzige forensische Erfassung der Phishing-Seite — mit eIDAS-qualifiziertem Zeitstempel und Bitcoin-Blockchain-Verankerung — stützt die DORA-Berichterstattung, die NIS2-Berichterstattung über den Kooperationskanal nach Artikel 47 und die DSA-Meldung selbst.
Die Schnittstelle zur DSGVO ist ähnlich. Viele DSA-Meldekategorien betreffen die Offenlegung personenbezogener Daten — gefälschte KYC-Portale, die Bilder von Reisepässen und Führerscheinen sammeln, Romance-Scam-Seiten, die Scans von Ausweisdokumenten sammeln, Markenimitationsseiten mit dem Abgreifen von Zugangsdaten, das personenbezogene Daten umfasst. Aus DSGVO-Sicht kann der von der Verletzung betroffene Verantwortliche Meldepflichten nach Artikel 33 gegenüber der zuständigen Datenschutzbehörde haben. Dieselbe forensische Erfassung, die die DSA-Meldung nach Artikel 16 stützt, stützt die Beweiskette nach DSGVO Artikel 33.
Plattformen wie GetProofAnchor sind darauf ausgelegt, aus einer einzigen im Moment der Identifizierung vorgenommenen Erfassung Beweispakete zu erzeugen, die mehrere Regulierungsbehörden zufriedenstellen. Das Beweis-ZIP — versiegelt mit einem qualifizierten eIDAS-Zeitstempel, der über einen in der EU gelisteten qualifizierten Vertrauensdiensteanbieter geliefert wird, unabhängig in der Bitcoin-Blockchain über OpenTimestamps verankert und mit einem quelloffenen Prüftool geliefert — funktioniert gleichermaßen für eine DSA-Meldung nach Artikel 16, einen parallelen DORA-Vorfallbericht nach Artikel 19 (wo relevant), eine parallele NIS2-Kooperationskanalmeldung (Artikel 47 der DORA) und eine Beweiskette nach DSGVO Artikel 33. Der Beweis ist von all diesen Empfängern unabhängig überprüfbar, ohne Abhängigkeit von der erstellenden Einrichtung oder von GetProofAnchor selbst.
Die operative Effizienz rahmenübergreifender Beweise wird bei großen Volumina am deutlichsten sichtbar. Ein vertrauenswürdiger Hinweisgeber, der 5.000 Meldungen pro Jahr erstellt, bei denen 20 % dieser Meldungen auch personenbezogene Daten betreffen, kann für einige Kategorien DSGVO-Implikationen nach Artikel 33 haben. Eine einzige kohärente Beweisarchitektur — einmal bei der Identifizierung erfassen, einmal mit Integritätsprimitiven paketieren, an mehrere Regulierungsbehörden verteilen, sobald die jeweiligen rechtlichen Pflichten anwendbar werden — ist wesentlich effizienter als die Pflege getrennter Beweisflüsse für jeden Regulierungsrahmen. Sie ist auch belastbarer, wenn Anfechtungen unter einem Rahmen auf die Integrität von Beweisen zurückgreifen, die unter einem anderen verwendet wurden.
Checkliste für DSA-Meldebeweise (15 Punkte)
Die folgende Checkliste bündelt die operativen Prioritäten aus diesem Leitfaden für Einrichtungen, die DSA-Meldungen vorbereiten, den Status eines vertrauenswürdigen Hinweisgebers beantragen oder als benannte vertrauenswürdige Hinweisgeber tätig sind. Sie ist keine Rechtsberatung für eine konkrete Situation, erfasst jedoch die unterscheidenden Merkmale operativ DSA-bereiter Einrichtungen gegenüber jenen, die das Regime noch als Dokumenten-Compliance behandeln.
- Bestimmen Sie, ob Ihre Einrichtung ein Kandidat für den Status eines vertrauenswürdigen Hinweisgebers nach Artikel 22 ist (oder ob Sie Meldungen als regulärer Meldender einreichen), und dokumentieren Sie die Analyse.
- Identifizieren Sie den Koordinator für digitale Dienste des Mitgliedstaats, in dem Ihre Einrichtung niedergelassen ist; überprüfen Sie den operativen Status des Koordinators, einschließlich etwaiger laufender EuGH-Vertragsverletzungsverfahren, die die Antragsfristen beeinflussen könnten.
- Definieren Sie Ihr benanntes Fachgebiet spezifisch — die materiellen Inhaltskategorien, innerhalb derer Ihr Status als vertrauenswürdiger Hinweisgeber gilt. Die Benennung ist kategoriespezifisch, nicht generisch.
- Dokumentieren Sie Ihre Unabhängigkeit von Anbietern von Online-Plattformen: Governance-Struktur, Finanzierungsquellen, vertragliche Beziehungen, historisches Verhalten. Pflegen Sie diese Dokumentation als Teil der laufenden Compliance, nicht nur bei der Antragstellung.
- Bauen Sie einen strukturierten Meldeablauf auf, der im Moment der Inhaltsidentifizierung alle vier obligatorischen Elemente des Artikels 16 Absatz 2 erfasst: begründete Erläuterung, genauer elektronischer Speicherort, Identität des Meldenden, gutgläubige Erklärung.
- Setzen Sie forensische Erfassungsverfahren für die spezifischen Kategorien illegaler Inhalte innerhalb Ihrer Benennung um: Fälschungsangebote, Markenimitation, Finanzbetrug, Hassrede oder andere relevante Bereiche. Jede Kategorie hat eigene Beweisanforderungen.
- Verbinden Sie Erfassungsartefakte durch kryptografische Manifeste (SHA-256 über alle Dateien) und versiegeln Sie den Manifest-Hash über einen in der EU gelisteten qualifizierten Vertrauensdiensteanbieter für einen qualifizierten elektronischen Zeitstempel nach Artikel 42 der Verordnung (EU) 910/2014.
- Verankern Sie jedes Beweispaket unabhängig — etwa über die Bitcoin-Blockchain via OpenTimestamps — sodass die Integrität ohne Rückgriff auf die Einrichtung des vertrauenswürdigen Hinweisgebers, den Vertrauensdiensteanbieter oder einen einzelnen Ausfallpunkt überprüft werden kann.
- Dokumentieren Sie die Beweiskette gemäß den Phasen von ISO/IEC 27037:2012 (Identifizierung, Sammlung, Erfassung, Sicherung) für jedes Beweisstück, mit erfassten Rollen, Zeitstempeln und Handlungen.
- Reichen Sie Meldungen über den Mechanismus der Plattform nach Artikel 16 mit den beigefügten oder von einem überprüfbaren Ort verlinkten gesicherten forensischen Beweisen ein. Bewahren Sie das ursprüngliche Beweispaket unabhängig von der Übermittlungsmethode der Plattform in Ihrem eigenen Archiv auf.
- Verfolgen Sie Plattformreaktionen systematisch: erhaltene Begründung nach Artikel 17, Inhaltseinschränkung oder Nichteinschränkung, interne Beschwerden von Empfängern nach Artikel 20, Ergebnisse der Streitbeilegung nach Artikel 21. Jede Reaktion wird Teil der dokumentarischen Aufzeichnung für die jährliche Berichterstattung nach Artikel 22 Absatz 3.
- Pflegen Sie Verfahren zur Reaktion auf Plattformanfechtungen nach Artikel 22 Absatz 6. Wenn eine Plattform die Präzision oder Begründung einer Meldung infrage stellt, ist das gesicherte forensische Beweispaket die Verteidigung.
- Bereiten Sie den jährlichen Transparenzbericht nach Artikel 22 Absatz 3 systematisch über das Jahr hinweg vor, nicht rückblickend. Jede Meldung sollte bei der Einreichung kategorisiert werden, wobei die Plattformreaktion automatisch erfasst wird, sodass der Jahresendbericht eine Zusammenfassung und keine Rekonstruktion ist.
- Bilden Sie die rahmenübergreifenden Wechselwirkungen zwischen DSA-Meldungen und parallelen Pflichten nach NIS2, DORA, DSGVO Artikel 33 und sektorspezifischer Regulierung ab. Eine kohärente rahmenübergreifende Beweisarchitektur ist belastbarer als parallele getrennte Flüsse.
- Machen Sie jedes Beweispaket unabhängig durch Dritte überprüfbar — Koordinatoren, Plattformen, Empfänger, die Einschränkungsentscheidungen anfechten, Gerichte, Forscher, Regulierungsbehörden — mithilfe quelloffener Prüftools und ohne Abhängigkeit von der Infrastruktur der erstellenden Einrichtung.
Häufig gestellte Fragen und Fazit
Die folgenden Antworten behandeln die Fragen, die am häufigsten auftreten, wenn Einrichtungen beginnen, DSA-Melde- und Hinweisgeberabläufe zu operationalisieren. Sie sind als praktische Orientierung gedacht, nicht als Rechtsberatung für eine konkrete Situation.
Was macht eine DSA-Meldung nach Artikel 16 'hinreichend begründet'?
Können Einzelpersonen nach dem DSA vertrauenswürdige Hinweisgeber werden?
Gilt der Status eines vertrauenswürdigen Hinweisgebers EU-weit oder nur im benennenden Mitgliedstaat?
Was passiert, wenn eine Plattform die Meldung eines vertrauenswürdigen Hinweisgebers ignoriert?
Wie lange dauert das Antragsverfahren für vertrauenswürdige Hinweisgeber nach Artikel 22?
Wie ist das Verhältnis zwischen DSA-Meldungen nach Artikel 16 und der urheberrechtlichen Entfernung nach InfoSoc/Artikel 17 DSM-Richtlinie?
Sind Screenshots ausreichende Beweise für eine DSA-Meldung nach Artikel 16?
Was ist die DSA-Transparenzdatenbank, und wie interagiert sie mit Meldungen?
Kann ein vertrauenswürdiger Hinweisgeber den Status verlieren, weil er zu wenige Meldungen einreicht?
Was geschieht mit den Beweissicherungsanforderungen, wenn Inhalte vor der Bearbeitung der Meldung entfernt werden?
Wie wirkt sich die tschechische EuGH-Verweisung auf tschechische Anträge vertrauenswürdiger Hinweisgeber aus?
Unterliegen VLOPs anderen Meldebearbeitungspflichten als kleinere Plattformen?
Wie unterscheiden sich forensische Web-Beweise für DSA-Zwecke von einem Screenshot?
Wie lange sollten DSA-bezogene Beweise aufbewahrt werden?
Wie unterstützt GetProofAnchor konkret die Beweishandhabung für DSA-Meldungen und vertrauenswürdige Hinweisgeber?
Zwei Jahre nach dem Beginn der vollständigen DSA-Anwendung hat sich die Verordnung in eine erkennbare betriebliche Form eingependelt. Plattformen haben Meldemechanismen nach Artikel 16 aufgebaut. Koordinatoren in den meisten operativ befugten Mitgliedstaaten haben vertrauenswürdige Hinweisgeber benannt. Die Kommission hat Verfahren gegen mehrere VLOPs eröffnet und bereitet die Leitlinien für vertrauenswürdige Hinweisgeber zur Annahme Ende 2026 vor. Die EuGH-Vertragsverletzungsverfahren gegen Tschechien, Spanien, Zypern, Polen und Portugal durchlaufen die Rechtsstreitigkeiten. Insbesondere der Rahmen für vertrauenswürdige Hinweisgeber hat sich vom Theoretischen zum praktisch Aktiven gewandelt.
Die Fähigkeiten, die operativ DSA-bereite Einrichtungen auszeichnen, sind erkennbar. Aufdeckungsabläufe, die illegale Inhalte innerhalb benannter Fachgebiete rasch identifizieren. Meldeverfahren, die alle vier Elemente des Artikels 16 Absatz 2 mit forensischer Integrität im Moment der Identifizierung erfassen. Jahresberichtsinfrastruktur, die Transparenzberichte nach Artikel 22 Absatz 3 als angesammelte Dokumentation statt als Jahresendrekonstruktion erzeugt. Verteidigungsverfahren für Plattformanfechtungen nach Artikel 22 Absatz 6, die auf gesicherten Beweisen statt auf rekonstruierten Schilderungen beruhen. Keine dieser Fähigkeiten ist exotisch; was gut vorbereitete Einrichtungen auszeichnet, ist, dass alle bereits vor der ersten Plattformanfechtung vorhanden sind.
GetProofAnchor existiert, um die forensische Sicherungskomponente dieses Stacks — konkret die webseitigen illegalen Inhalte, die in den Stunden nach der Identifizierung am schnellsten verschwinden — unkompliziert, belastbar und über das DSA-Melde- und Abhilferegime hinweg unabhängig überprüfbar zu machen. Wenn Ihre Organisation einen Antrag als vertrauenswürdiger Hinweisgeber vorbereitet, als benannter vertrauenswürdiger Hinweisgeber tätig ist oder strukturierte Meldeabläufe nach Artikel 16 aufbaut, ist der direkteste Weg, um zu sehen, wie qualifiziert zeitgestempelte forensische Web-Erfassung in die DSA-Beweisanforderungen integriert wird, einen Beispielbeweis von einer beliebigen öffentlichen URL zu erstellen und das Beweis-ZIP zu prüfen. Die Prüfung ist quelloffen und läuft auf jedem Laptop. Der Standard ist reproduzierbar, weil er es in der DSA-Meldearbeit sein muss.
Verwandte Leitfäden
-
Beweisabläufe für den MarkenschutzVollständiger Leitfaden zu Beweisabläufen für den Markenschutz: DSA-Artikel-16-Entfernungen, Amazon VeRO, UDRP-Verfahren, Stapelerfassung und API-Integration für skalierbar...
-
DORA-Compliance im Jahr 2026Meldefristen nach Artikel 19 (4 Stunden Erstmeldung, 72 Stunden Zwischenmeldung, 1 Monat Abschlussmeldung), Einstufung schwerwiegender Vorfälle nach Delegierter Verordnung 202...
-
NIS2-Beweise für CybersicherheitsvorfälleMeldefristen nach Artikel 23, Schwellenwerte für erhebliche Vorfälle, forensische Beweissicherung und Haftung der Geschäftsleitung nach NIS2.
-
EU-KI-Verordnung Artikel 50Vollständiger Leitfaden 2026 zur Compliance mit Artikel 50 der EU-KI-Verordnung.
-
Wayback Machine als Gerichtsbeweis im Jahr 2026Vollständiger Leitfaden 2026 zur Nutzung von Wayback-Machine-Snapshots als Gerichtsbeweis.
Erstellen Sie DSA-taugliche Meldebeweise, bevor Inhalte verschwinden
Erstellen Sie einen manipulationssicheren Beweis jeder öffentlichen URL mit qualifizierten eIDAS-Zeitstempeln und unabhängiger Bitcoin-Blockchain-Verankerung. Die Prüfung ist quelloffen. Konzipiert für die Meldeanforderungen des DSA Artikel 16, die Transparenzberichterstattung vertrauenswürdiger Hinweisgeber nach Artikel 22 und rahmenübergreifende Beweise über NIS2, DORA und DSGVO.
GetProofAnchor ist für die forensische Web-Beweiserfassung im Rahmen der EU-Digitalregulierung konzipiert. Erfassungen werden mit qualifizierten elektronischen Zeitstempeln nach eIDAS Artikel 42 durch einen akkreditierten, auf der EU-Vertrauensliste geführten Vertrauensdiensteanbieter versiegelt.