Die Debatte um den Digital Services Act (DSA) verlagert sich: Nach dem Fokus auf Tech-Giganten rückt nun offenbar der Jugendschutz auf kleineren Online-Plattformen stärker in den Mittelpunkt der Behörden. Diese strategische Wende beruht nicht auf neuem Recht, sondern dürfte auf der Anwendung von Artikel 28 basieren, gestützt durch die neuen EU-Leitlinien und einschlägige wissenschaftliche Erkenntnisse. Der Beitrag analysiert die rechtlichen und technischen Treiber dieser Entwicklung und zeigt auf, welche Maßnahmen Betreiber von Online-Plattformen erwägen sollten, um sich proaktiv auf mögliche Anforderungen einzustellen.
Monatelang konzentrierte sich die Debatte um den DSA auf die Regulierung sehr großer Online-Plattformen (VLOPs). Nun deutet sich jedoch eine strategische Neuausrichtung an: Die Durchsetzung der Jugendschutzpflichten soll nach Angaben der Europäischen Kommission wohl systematisch auch auf kleinere Online-Plattformen ausgeweitet werden, wie sie in einem News Artikel vom 10. Oktober 2025 mitgeteilt hat. Demnach habe das Europäische Gremium für Digitale Dienste in Form der Arbeitsgruppe für den Schutz Minderjähriger vereinbart, in Abstimmung mit den zuständigen Behörden Maßnahmen zu prüfen, um die Einhaltung des DSA durch kleinere Online-Plattformen sicherstellen zu können. Diese Entwicklung stellt keine Änderung des Rechtsrahmens dar, sondern scheint Teil einer geplanten Eskalation im Implementierungszyklus des DSA zu sein, die - so die Annahme der Kommission – auf einem Zusammenspiel rechtlicher, psychologischer und technischer Erkenntnisse beruhe.
Die Rechtsgrundlage und der Auslöser für den Wandel
Die gesetzliche Pflicht für Online-Plattformen, die für Minderjährige zugänglich sind, ein „hohes Maß an Privatsphäre, Schutz und Sicherheit“ zu gewährleisten, ergibt sich aus Artikel 28 DSA und gilt bereits seit dem 17. Februar 2024. Ausgenommen sind nur Kleinst- und Kleinunternehmen (Artikel 19 DSA).
Der Katalysator für die aktuelle Durchsetzungswelle dürfte die Veröffentlichung der finalen Leitlinien zum Schutz Minderjähriger durch die Europäische Kommission gewesen sein. Diese sind zwar rechtlich nicht bindend, werden von den Behörden aber voraussichtlich als „maßgeblicher und aussagekräftiger Maßstab“ herangezogen. Sie wurden nach einer öffentlichen Konsultation und unter Einbeziehung von Fokusgruppen mit über 150 Jugendlichen entwickelt.
Strategische Logik: Bekämpfung weit verbreiteter Risiken und Verhinderung von Risikomigration
Die Aufsichtsbehörden scheinen ihren Fokus aus mehreren strategischen Gründen zu erweitern:
Bekämpfung weit verbreiteter Risiken: Gefahren wie Grooming, Cybermobbing oder die Konfrontation mit Inhalten zu Selbstverletzung seien laut Forschungsnetzwerk EU Kids Online nicht auf VLOPs beschränkt. Das Netzwerk veröffentlicht regelmäßig Berichte, die diese Einschätzung unterstützen sollen.
Verhinderung von Risikomigration: Nach Einschätzung der Kommission bestehe die Gefahr, dass schädliche Inhalte von stark überwachten VLOPs auf weniger regulierte Online-Plattformen abwandern könnten. Nachdem die Durchsetzungsmaßnahmen gegen die VLOPs als Signal an den Markt verstanden werden dürften, solle die Durchsetzung nun fortgesetzt werden, um ein angemessenes Maß an Jugendschutz auch bei kleineren Online-Plattformen zu gewährleiten.
Psychologischen und technologischen Dimensionen der Compliance
Die strengen Anforderungen des DSA werden von der Kommission offenbar als Reaktion auf wissenschaftliche Erkenntnisse verstanden.
Das jugendliche Gehirn und manipulatives Design:
Eine Studie, unter anderem vom Gemeinsamen Forschungszentrum der Europäischen Kommission (JRC) kommt zu dem Ergebnis, dass Kinder sich in einer kritischen Phase der neuronalen Entwicklung befinden. Diese Anfälligkeit könnte durch „süchtig machende“ Designmerkmale wie unendliches Scrollen ausgenutzt werden. Die Forderung nach „Safety by Design“ in den DSA-Leitlinien dürfte als regulatorische Antwort darauf zu verstehen sein.
Eine Systematik der Online-Gefahren:
Die im Gefährdungsatlas der BzKJ dargestellte Risikorahmen und Studien zum Thema wie „Cybermobbing, Hatespeech, Sexting und Cybergrooming“ scheinen die Relevanz der in den Leitlinien verwendeten “5C” Risikotypologie der OECD aus 2021 (Content, Conduct, Contact, Consumer, Cross-cutting) zu stützen. Es bleibt jedoch abzuwarten, wie Risikobewertungen zu dieser Typologie in der Praxis umgesetzt werden, während betroffene Online-Plattformen weiterhin auf entsprechende Muster und Empfehlungen der Europäischen Kommission warten.
Die technische Herausforderung der Altersüberprüfung:
Die Umsetzung von Artikel 28 DSA führt möglicherweise zu einem Spannungsfeld mit der DSGVO. Als mögliche Lösung bewirbt die EU datenschutzfreundliche Technologien (PETs). Der von der Kommission entwickelte „Age Verification Blueprint" wird dabei als Referenzstandard angesehen und soll mit dem zukünftigen EU Digital Identity Wallet (EUDIW) kompatibel sein.
Koordinierte Durchsetzungsarchitektur
Ausblick und Handlungsempfehlung
- Q4 2025 – Q2 2026: Voraussichtliche Finalisierung der „gemeinsamen Instrumente“ und Identifizierung von Hochrisiko-Plattformen.
- Ab Mitte 2026: Möglicher Beginn erster Untersuchungen durch nationale Behörden.
- Ende 2026 – 2027: Erste Durchsetzungsentscheidungen und potenzielle Bußgelder.
Empfehlungen für Online-Plattformen
Für alle Online-Plattformen ist ein proaktives, systemisches Risikomanagement nun unerlässlich.
Risikobewertungen durchführen: Plattformen sollten proaktiv dokumentierte Risikobewertungen vornehmen und dabei die Leitlinien der Kommission sowie die „5C“-Typologie als Orientierung nutzen.
„Safety by Design“ verankern: Sicherheitsüberlegungen sollten frühzeitig in den Produktentwicklungszyklus integriert werden. Wie auch dieser Beitrag zeigt, dürfte dies einen zentralen Baustein der neuen Regulierungsphilosophie darstellen.
Alles dokumentieren: Im Falle einer Untersuchung ist der Nachweis eines durchdachten, dokumentierten Prozesses die beste Verteidigung.
Die Fähigkeit, einen überlegten, verhältnismäßigen und gut dokumentierten Ansatz zum Schutz von Minderjährigen vorzuweisen, könnte entscheidend sein, um aufsichtsrechtliche Risiken zu minimieren.
