{ "regulation": "dsa", "name": "Digital Services Act (EU) 2022/2065", "description": "Verordnung ueber einen Binnenmarkt fuer digitale Dienste — Pflichten fuer Anbieter digitaler Dienste, Plattformen und sehr grosse Online-Plattformen (VLOPs/VLOSEs)", "version": "2.0", "effective_date": "2024-02-17", "obligations": [ { "id": "DSA-OBL-001", "title": "Haftungsprivileg — Mere Conduit", "description": "Vermittlungsdienste (reine Durchleitung) muessen sicherstellen, dass sie keine Kenntnis von rechtswidrigen Inhalten haben und bei Kenntnis unverzueglich handeln, um das Haftungsprivileg zu bewahren.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 6", "title": "Reine Durchleitung (Mere Conduit)"}], "sources": [{"type": "article", "ref": "Art. 6 DSA"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Dokumentation der Vermittlungstaetigkeiten", "Nachweise ueber fehlende Kenntnis"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-002", "title": "Haftungsprivileg — Caching", "description": "Caching-Dienste muessen bei Kenntniserlangung rechtswidriger Inhalte unverzueglich taetig werden, um diese zu entfernen oder den Zugang zu sperren.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 7", "title": "Caching"}], "sources": [{"type": "article", "ref": "Art. 7 DSA"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Caching-Richtlinie", "Reaktionsprotokolle bei Kenntniserlangung"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-003", "title": "Haftungsprivileg — Hosting", "description": "Hosting-Dienste muessen bei tatsaechlicher Kenntnis rechtswidriger Inhalte oder Taetigkeiten unverzueglich handeln, um diese zu entfernen oder den Zugang zu sperren.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 8", "title": "Hosting"}], "sources": [{"type": "article", "ref": "Art. 8 DSA"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Notice-and-Action-Protokolle", "Nachweis unverzueglicher Reaktion"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-004", "title": "Keine allgemeine Ueberwachungspflicht", "description": "Anbietern darf keine allgemeine Verpflichtung zur Ueberwachung der uebermittelten oder gespeicherten Informationen auferlegt werden. Freiwillige Eigeninitiative fuehrt nicht zum Verlust des Haftungsprivilegs.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 9", "title": "Keine allgemeine Ueberwachungspflicht"}], "sources": [{"type": "article", "ref": "Art. 9 DSA"}], "category": "Governance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Dokumentation Moderationsrichtlinie", "Nachweis keine allgemeine Ueberwachung"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-005", "title": "Zentrale Kontaktstelle", "description": "Benennung einer zentralen Kontaktstelle fuer die Kommunikation mit Behoerden der Mitgliedstaaten, der Kommission und dem Gremium fuer digitale Dienste. Die Kontaktstelle muss in einer Amtssprache erreichbar sein.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 11", "title": "Kontaktstellen fuer Behoerden"}], "sources": [{"type": "article", "ref": "Art. 11 DSA"}], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Benennungsdokument Kontaktstelle", "Veroeffentlichte Kontaktdaten"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-006", "title": "Gesetzlicher Vertreter", "description": "Anbieter ohne Niederlassung in der EU muessen einen gesetzlichen Vertreter in einem Mitgliedstaat benennen, in dem sie Dienste anbieten.", "applies_when": "organization.eu_member == false AND organization.operates_platform == true", "applies_when_condition": { "all_of": [ {"field": "organization.eu_member", "operator": "EQUALS", "value": false}, {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true} ] }, "legal_basis": [{"norm": "DSA", "article": "Art. 12", "title": "Gesetzlicher Vertreter"}], "sources": [{"type": "article", "ref": "Art. 12 DSA"}], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Benennungsurkunde gesetzlicher Vertreter", "Veroeffentlichung auf der Webseite"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-007", "title": "Allgemeine Geschaeftsbedingungen — Inhaltsmoderation", "description": "In den AGB muessen Informationen zu Beschraenkungen enthalten sein, die Anbieter in Bezug auf von Nutzern bereitgestellte Inhalte auferlegen. Dies umfasst Moderationsrichtlinien, algorithmische Entscheidungsfindung und Beschwerdemechanismen.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 13", "title": "Allgemeine Geschaeftsbedingungen"}], "sources": [{"type": "article", "ref": "Art. 13 DSA"}], "category": "Dokumentation", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Aktuelle AGB mit Moderationsrichtlinien", "Verstaendliche Darstellung der Beschraenkungen"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "breakpilot_feature": "/sdk/policy-generator", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-008", "title": "Transparenzbericht — Vermittlungsdienste", "description": "Jaehrliche Veroeffentlichung eines Transparenzberichts ueber Inhaltsmoderation, behoerdliche Anordnungen und Notice-and-Action-Verfahren. Der Bericht muss maschinenlesbar und oeffentlich zugaenglich sein.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 14", "title": "Transparenzberichterstattungspflichten fuer Anbieter von Vermittlungsdiensten"}], "sources": [{"type": "article", "ref": "Art. 14 DSA"}], "category": "Dokumentation", "responsible": "Compliance-Beauftragter", "deadline": {"type": "recurring", "interval": "P1Y"}, "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Veroeffentlichter Transparenzbericht", "Maschinenlesbares Format"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"], "breakpilot_feature": "/sdk/reporting", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-009", "title": "Transparenzbericht — erweitert fuer Online-Plattformen", "description": "Online-Plattformen muessen zusaetzlich Informationen ueber Streitbeilegungsverfahren, Aussetzungen, automatisierte Inhaltserkennung und Trusted Flagger in ihren Transparenzbericht aufnehmen.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 15", "title": "Transparenzberichterstattungspflichten fuer Anbieter von Online-Plattformen"}], "sources": [{"type": "article", "ref": "Art. 15 DSA"}], "category": "Dokumentation", "responsible": "Compliance-Beauftragter", "deadline": {"type": "recurring", "interval": "P6M"}, "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Erweiterter Transparenzbericht", "Statistik automatisierter Moderation"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"], "breakpilot_feature": "/sdk/reporting", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-010", "title": "Melde- und Abhilfeverfahren (Notice-and-Action)", "description": "Einrichtung eines leicht zugaenglichen und benutzerfreundlichen Mechanismus, der es jeder Person ermoeglicht, mutmasslich rechtswidrige Inhalte zu melden. Meldungen muessen elektronisch moeglich sein und eine Bestaetigung ausloesen.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 16", "title": "Melde- und Abhilfeverfahren"}], "sources": [{"type": "article", "ref": "Art. 16 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Implementiertes Meldeformular", "Bestaetigung der Eingangsbehandlung", "Verarbeitungsprotokoll"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"], "breakpilot_feature": "/sdk/incident-response", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-011", "title": "Begruendungspflicht bei Inhaltsentfernung", "description": "Bei Entfernung oder Sperrung von Inhalten muss dem betroffenen Nutzer eine klare und spezifische Begruendung mitgeteilt werden, einschliesslich der angewandten Rechtsgrundlage und der Rechtsbehelfsmoeglichkeiten.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 17", "title": "Begruendung"}], "sources": [{"type": "article", "ref": "Art. 17 DSA"}], "category": "Organisatorisch", "responsible": "Content-Moderation-Team", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Begruendungsvorlagen", "Muster-Benachrichtigungen", "Zustellungsnachweise"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-012", "title": "Meldung strafbarer Inhalte an Behoerden", "description": "Bei Verdacht auf Straftaten, die das Leben oder die Sicherheit von Personen bedrohen, muessen die zustaendigen Strafverfolgungsbehoerden des betreffenden Mitgliedstaats unverzueglich informiert werden.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 18", "title": "Meldung von Verdacht auf Straftaten"}], "sources": [{"type": "article", "ref": "Art. 18 DSA"}], "category": "Meldepflicht", "responsible": "Rechtsabteilung", "deadline": {"type": "on_event", "event": "Kenntniserlangung strafbarer Inhalte"}, "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true, "criminal_liability": true}, "evidence": ["Eskalationsprozess-Dokumentation", "Meldungsprotokolle an Behoerden"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-013", "title": "Trusted Flaggers", "description": "Vorrangige Bearbeitung von Meldungen vertrauenswuerdiger Hinweisgeber (Trusted Flaggers), die vom Koordinator fuer digitale Dienste zertifiziert wurden. Entscheidungen ueber Meldungen von Trusted Flaggers muessen zeitnah erfolgen.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 19", "title": "Vertrauenswuerdige Hinweisgeber"}], "sources": [{"type": "article", "ref": "Art. 19 DSA"}], "category": "Organisatorisch", "responsible": "Content-Moderation-Team", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Priorisierungsprozess fuer Trusted Flaggers", "SLA-Dokumentation"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-014", "title": "Schutz vor Missbrauch des Meldesystems", "description": "Aussetzung der Bearbeitung von Meldungen und Beschwerden von Personen oder Stellen, die haeufig offensichtlich unbegruendete Meldungen oder Beschwerden einreichen.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 20", "title": "Schutz vor Missbrauch"}], "sources": [{"type": "article", "ref": "Art. 20 DSA"}], "category": "Organisatorisch", "responsible": "Content-Moderation-Team", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Anti-Missbrauchs-Richtlinie", "Dokumentation der Aussetzungsentscheidungen"], "priority": "mittel", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-015", "title": "Aussetzung wegen Missbrauch durch Nutzer", "description": "Anbieter von Online-Plattformen setzen die Erbringung ihrer Dienste fuer Nutzer aus, die haeufig offensichtlich rechtswidrige Inhalte bereitstellen. Vorherige Warnung erforderlich.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 21", "title": "Aussetzung"}], "sources": [{"type": "article", "ref": "Art. 21 DSA"}], "category": "Organisatorisch", "responsible": "Content-Moderation-Team", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Eskalationsstufenmodell", "Warnprotokolle", "Aussetzungsentscheidungen"], "priority": "mittel", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-016", "title": "Internes Beschwerdemanagementsystem", "description": "Bereitstellung eines elektronischen und benutzerfreundlichen internen Beschwerdemanagementsystems, ueber das Nutzer Entscheidungen zur Inhaltsmoderation anfechten koennen. Entscheidungen duerfen nicht ausschliesslich automatisiert getroffen werden.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 22", "title": "Internes Beschwerdemanagementsystem"}], "sources": [{"type": "article", "ref": "Art. 22 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Implementiertes Beschwerdesystem", "Verarbeitungsstatistik", "Human-Review-Nachweis"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-017", "title": "Aussergerichtliche Streitbeilegung", "description": "Nutzer muessen die Moeglichkeit haben, sich an eine zertifizierte aussergerichtliche Streitbeilegungsstelle zu wenden. Plattformen muessen mit diesen Stellen zusammenarbeiten.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 23", "title": "Aussergerichtliche Streitbeilegung"}], "sources": [{"type": "article", "ref": "Art. 23 DSA"}], "category": "Organisatorisch", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Hinweis auf Streitbeilegungsstellen in AGB", "Kooperationsvereinbarungen"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-018", "title": "Vorrang behoerdlicher Anordnungen", "description": "Online-Plattformen muessen behoerdliche Anordnungen gegen rechtswidrige Inhalte vorrangig bearbeiten und den behoerdlichen Anweisungen fristgerecht Folge leisten.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 24", "title": "Pflichten im Zusammenhang mit Anordnungen"}], "sources": [{"type": "article", "ref": "Art. 24 DSA"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true}, "evidence": ["Anordnungsregister", "Fristeinhaltungsprotokolle"], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-019", "title": "Werbetransparenz — Kennzeichnungspflicht", "description": "Jede Werbung auf der Plattform muss klar und eindeutig als Werbung gekennzeichnet sein. Der Auftraggeber und die Finanzierungsquelle muessen erkennbar sein.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 26", "title": "Werbung auf Online-Plattformen"}], "sources": [{"type": "article", "ref": "Art. 26 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Werbekennzeichnungs-Implementierung", "Audit der Werbeanzeigen"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-020", "title": "Verbot von Dark Patterns", "description": "Gestaltung der Online-Schnittstelle darf Nutzer nicht taueschen, manipulieren oder in ihrer Entscheidungsfreiheit beeintraechtigen (Verbot von Dark Patterns).", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 27", "title": "Verbot taeuschender Gestaltung"}], "sources": [{"type": "article", "ref": "Art. 27 DSA"}], "category": "Technisch", "responsible": "UX-Team", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["UX-Audit auf Dark Patterns", "Design-Review-Protokolle"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-021", "title": "Transparenz von Empfehlungssystemen", "description": "Plattformen muessen in ihren AGB die Hauptparameter der Empfehlungssysteme und die Moeglichkeit fuer Nutzer, diese zu beeinflussen, darlegen. Mindestens eine nicht-profilbasierte Option muss angeboten werden.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 28", "title": "Empfehlungssysteme"}], "sources": [{"type": "article", "ref": "Art. 28 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Dokumentation der Empfehlungsparameter", "Nutzerwahlmoeglichkeit implementiert"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-022", "title": "Minderjaehrigenschutz auf Plattformen", "description": "Online-Plattformen muessen geeignete Massnahmen zum Schutz Minderjaehriger treffen, einschliesslich altersgerechter Datenschutzeinstellungen. Werbung auf Basis von Profiling Minderjaehriger ist verboten.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 29", "title": "Schutz Minderjaehriger"}], "sources": [{"type": "article", "ref": "Art. 29 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Jugendschutzkonzept", "Altersverifikationslogik", "Profiling-Ausschluss fuer Minderjaehrige"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-023", "title": "VLOP/VLOSE — Zusaetzliche Transparenz Werbearchiv", "description": "Sehr grosse Online-Plattformen muessen ein oeffentlich zugaengliches Werbearchiv fuehren, das alle geschalteten Werbeanzeigen mit Targeting-Parametern, Auftraggeber und Laufzeit enthaelt.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 30", "title": "Zusaetzliche Transparenz der Online-Werbung"}], "sources": [{"type": "article", "ref": "Art. 30 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Implementiertes Werbearchiv", "API-Zugang fuer Forscher"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-024", "title": "VLOP/VLOSE — Empfehlungssystem Nutzerwahlrecht", "description": "Sehr grosse Plattformen muessen Nutzern mindestens eine Option zur Verfuegung stellen, bei der das Empfehlungssystem nicht auf Profiling basiert.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 31", "title": "Empfehlungssysteme fuer VLOPs"}], "sources": [{"type": "article", "ref": "Art. 31 DSA"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Nicht-profilbasierte Empfehlungsoption", "Nutzerauswahl-UI"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-025", "title": "VLOP/VLOSE — Datenzugang fuer Forscher", "description": "Sehr grosse Plattformen muessen zugelassenen Forschern auf Antrag Zugang zu Daten gewaehren, um systemische Risiken zu erforschen. Der Zugang erfolgt ueber technische Schnittstellen.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 32", "title": "Datenzugang fuer Forscher"}], "sources": [{"type": "article", "ref": "Art. 32 DSA"}], "category": "Technisch", "responsible": "CTO", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Forschungsdaten-API", "Antragsverfahren dokumentiert", "Datenschutzkonzept fuer Forschungsdaten"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-026", "title": "VLOP/VLOSE — Systemische Risikobewertung", "description": "Jaehrliche Bewertung systemischer Risiken wie illegale Inhalte, Grundrechtsbeeintraechtigungen, Manipulation von Wahlen und Auswirkungen auf Minderjaehrige. Die Bewertung muss dokumentiert und der Aufsichtsbehoerde vorgelegt werden.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 33", "title": "Bewertung systemischer Risiken"}], "sources": [{"type": "article", "ref": "Art. 33 DSA"}], "category": "Governance", "responsible": "Compliance-Beauftragter", "deadline": {"type": "recurring", "interval": "P1Y"}, "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true}, "evidence": ["Systemische Risikobewertung", "Massnahmenplan", "Vorlage bei Aufsichtsbehoerde"], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02", "TOM.GOV.03"], "breakpilot_feature": "/sdk/risk-assessment", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-027", "title": "VLOP/VLOSE — Risikominderungsmassnahmen", "description": "Ergreifung angemessener, verhaeltnismaessiger und wirksamer Risikominderungsmassnahmen fuer die identifizierten systemischen Risiken. Massnahmen muessen regelmaessig ueberprueft und angepasst werden.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 34", "title": "Risikominderung"}], "sources": [{"type": "article", "ref": "Art. 34 DSA"}], "category": "Governance", "responsible": "Compliance-Beauftragter", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true}, "evidence": ["Risikominderungsplan", "Wirksamkeitsbewertung", "Anpassungsdokumentation"], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"], "breakpilot_feature": "/sdk/risk-assessment", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-028", "title": "VLOP/VLOSE — Unabhaengige Audits", "description": "Jaehrliche unabhaengige Audits auf eigene Kosten zur Bewertung der Einhaltung der DSA-Pflichten. Der Auditbericht wird der Aufsichtsbehoerde uebermittelt und ein Zusammenfassung veroeffentlicht.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 35", "title": "Unabhaengige Pruefung"}], "sources": [{"type": "article", "ref": "Art. 35 DSA"}], "category": "Audit", "responsible": "Geschaeftsfuehrung", "deadline": {"type": "recurring", "interval": "P1Y"}, "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true}, "evidence": ["Auditbericht", "Massnahmenplan aus Audit-Ergebnissen", "Veroeffentlichte Zusammenfassung"], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"], "breakpilot_feature": "/sdk/audit", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-029", "title": "Compliance-Beauftragter (VLOP/VLOSE)", "description": "Sehr grosse Plattformen muessen einen oder mehrere Compliance-Beauftragte benennen, die die Einhaltung des DSA ueberwachen. Der Beauftragte berichtet direkt an die Leitungsebene.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 37", "title": "Compliance-Funktion"}], "sources": [{"type": "article", "ref": "Art. 37 DSA"}], "category": "Governance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Benennungsurkunde", "Berichtsstruktur", "Kompetenznachweis"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-030", "title": "Datenzugang fuer Aufsichtsbehoerden", "description": "Auf Anfrage muessen Plattformen den Koordinatoren fuer digitale Dienste und der Kommission Zugang zu relevanten Daten gewaehren, die zur Ueberwachung der DSA-Einhaltung erforderlich sind.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 38", "title": "Datenzugang und Datenueberpruefung"}], "sources": [{"type": "article", "ref": "Art. 38 DSA"}], "category": "Compliance", "responsible": "Compliance-Beauftragter", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Datenzugangsprozess dokumentiert", "Technische Schnittstelle fuer Behoerden"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-031", "title": "VLOP/VLOSE — Datenzugang fuer ueberprueften Forscher", "description": "Gewaehrung eines angemessenen Datenzugangs fuer von der Aufsichtsbehoerde ueberprueften Forscher zur Erforschung systemischer Risiken. Personenbezogene Daten nur anonymisiert oder pseudonymisiert.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 39", "title": "Datenzugang fuer ueberprueften Forscher"}], "sources": [{"type": "article", "ref": "Art. 39 DSA"}], "category": "Technisch", "responsible": "CTO", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Pseudonymisierungskonzept", "Forschungsdaten-Zugangsverfahren"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-032", "title": "Verhaltenskodizes", "description": "Unterstuetzung und Einhaltung freiwilliger Verhaltenskodizes auf EU-Ebene zur Bekaempfung rechtswidriger Inhalte und zum Schutz der Nutzer. Die Kommission foerdert die Erarbeitung solcher Kodizes.", "applies_when": "organization.operates_platform == true", "applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "DSA", "article": "Art. 40", "title": "Verhaltenskodizes"}], "sources": [{"type": "article", "ref": "Art. 40 DSA"}], "category": "Governance", "responsible": "Compliance-Beauftragter", "sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Beitrittserklarung zu Verhaltenskodizes", "Umsetzungsbericht"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-033", "title": "Krisenreaktionsprotokolle", "description": "Bei aussergewoehnlichen Umstaenden (z.B. Pandemie, bewaffnete Konflikte) kann die Kommission VLOPs/VLOSEs zur Teilnahme an Krisenprotokollen verpflichten. Schnelle Reaktionsmechanismen muessen vorbereitet sein.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 42", "title": "Krisenreaktionsprotokolle"}], "sources": [{"type": "article", "ref": "Art. 42 DSA"}], "category": "Governance", "responsible": "Geschaeftsfuehrung", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true}, "evidence": ["Krisenreaktionsplan", "Ansprechpartner fuer Krisenkoordination"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"], "breakpilot_feature": "/sdk/notfallplan", "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-034", "title": "Koordinator fuer digitale Dienste — Kooperation", "description": "Plattformen muessen mit dem nationalen Koordinator fuer digitale Dienste (DSC) kooperieren, Informationen bereitstellen und Anordnungen fristgerecht umsetzen.", "applies_when": "organization.operates_platform == true AND organization.eu_member == true", "applies_when_condition": { "all_of": [ {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}, {"field": "organization.eu_member", "operator": "EQUALS", "value": true} ] }, "legal_basis": [{"norm": "DSA", "article": "Art. 44", "title": "Koordinatoren fuer digitale Dienste"}], "sources": [{"type": "article", "ref": "Art. 44 DSA"}], "category": "Compliance", "responsible": "Compliance-Beauftragter", "sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Kooperationsprotokolle mit DSC", "Fristenkontrolle fuer Anordnungen"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" }, { "id": "DSA-OBL-035", "title": "Aufsichtsgebuehr (VLOP/VLOSE)", "description": "Sehr grosse Plattformen und Suchmaschinen muessen eine jaehrliche Aufsichtsgebuehr an die Kommission entrichten. Die Hoehe wird auf Basis des Umsatzes berechnet.", "applies_when": "platform_user_count >= 45000000", "applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000}, "legal_basis": [{"norm": "DSA", "article": "Art. 47", "title": "Aufsichtsgebuehr"}], "sources": [{"type": "article", "ref": "Art. 47 DSA"}], "category": "Compliance", "responsible": "Finanzabteilung", "deadline": {"type": "recurring", "interval": "P1Y"}, "sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false}, "evidence": ["Zahlungsnachweis Aufsichtsgebuehr", "Umsatzberechnung"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2024-02-17", "valid_until": null, "version": "1.0" } ], "controls": [ { "id": "DSA-CTRL-001", "name": "Notice-and-Action-System", "description": "Technisches System zur Entgegennahme, Bearbeitung und Dokumentation von Meldungen rechtswidriger Inhalte", "category": "Technisch", "what_to_do": "Implementierung eines elektronischen Meldeformulars mit Eingangsbestaetigung, Bearbeitungs-Tracking und Begruendungsgenerierung", "priority": "kritisch" }, { "id": "DSA-CTRL-002", "name": "Transparenzberichts-Framework", "description": "Prozess und Tooling fuer die regelmaessige Erstellung und Veroeffentlichung von Transparenzberichten", "category": "Organisatorisch", "what_to_do": "Aufbau eines Daten-Pipelines zur automatisierten Erfassung von Moderationsstatistiken, Beschwerden und behoerdlichen Anordnungen", "priority": "hoch" }, { "id": "DSA-CTRL-003", "name": "Internes Beschwerdemanagement", "description": "Elektronisches System fuer Nutzerbeschwerden gegen Moderationsentscheidungen mit Human-Review-Garantie", "category": "Technisch", "what_to_do": "Bereitstellung eines Beschwerdeformulars mit Eskalationsstufen, SLA-Tracking und Nachweis menschlicher Ueberpruefung", "priority": "kritisch" }, { "id": "DSA-CTRL-004", "name": "Werbetransparenz-Archiv", "description": "Oeffentlich zugaengliches Repository aller geschalteten Werbeanzeigen mit Targeting- und Auftraggeberinformationen", "category": "Technisch", "what_to_do": "Implementierung eines durchsuchbaren Werbearchivs mit API-Zugang, Aufbewahrungsfrist mindestens 1 Jahr nach letzter Ausspielung", "priority": "hoch" }, { "id": "DSA-CTRL-005", "name": "Systemische Risikobewertung", "description": "Jaehrlicher Prozess zur Identifikation und Bewertung systemischer Risiken fuer VLOPs/VLOSEs", "category": "Governance", "what_to_do": "Durchfuehrung einer strukturierten Risikobewertung zu illegalen Inhalten, Grundrechtsbeeintraechtigungen, Wahlmanipulation und Auswirkungen auf Minderjaehrige", "priority": "kritisch" } ], "incident_deadlines": [ { "phase": "Kenntniserlangung rechtswidriger Inhalte", "deadline": "Unverzueglich (ohne schuldhaftes Zoegern)", "content": "Entfernung oder Sperrung des Zugangs zu rechtswidrigen Inhalten", "recipient": "Intern — Content-Moderation-Team", "legal_basis": [{"norm": "DSA", "article": "Art. 8"}] }, { "phase": "Meldung strafbarer Inhalte", "deadline": "Unverzueglich nach Kenntniserlangung", "content": "Information der zustaendigen Strafverfolgungsbehoerden bei Verdacht auf Straftaten gegen Leben oder Sicherheit", "recipient": "Zustaendige Strafverfolgungsbehoerde", "legal_basis": [{"norm": "DSA", "article": "Art. 18"}] }, { "phase": "Reaktion auf behoerdliche Anordnung", "deadline": "Frist gemaess Anordnung, spaetestens 72 Stunden", "content": "Umsetzung der angeordneten Massnahme und Bestaetigung an die anordnende Behoerde", "recipient": "Anordnende Behoerde / DSC", "legal_basis": [{"norm": "DSA", "article": "Art. 24"}] }, { "phase": "Transparenzbericht (Vermittlungsdienste)", "deadline": "Jaehrlich, spaetestens 2 Monate nach Berichtszeitraum", "content": "Veroeffentlichung des Transparenzberichts zu Inhaltsmoderation, Anordnungen und Beschwerden", "recipient": "Oeffentlichkeit / DSC", "legal_basis": [{"norm": "DSA", "article": "Art. 14"}] }, { "phase": "Transparenzbericht (VLOP/VLOSE)", "deadline": "Halbjaehrlich", "content": "Erweiterter Transparenzbericht mit automatisierter Moderation, Trusted Flagger und Forschungsdaten", "recipient": "Oeffentlichkeit / Kommission / DSC", "legal_basis": [{"norm": "DSA", "article": "Art. 15"}] } ] }