Der Digital Markets Act oder „Die fetten Jahre sind vorbei“

Der gleichnamige Film von Hans Weingartner dreht sich um Globalisierung und die Verteilung von Vermögen in der Gesellschaft, womit eine Parallele zum Digital Markets Act (DMA) vorhanden ist. Der DMA soll die digitalen Profiteure der Globalisierung in die Schranken weisen.

Als Eselsbrücke, wozu dieser Act dienen soll, hat außerdem der Podcast „Rechtsbelehrung“ in seiner Folge 117 den Ausdruck „Disse mal Amazon“ geschaffen.

Dies passt insofern sehr gut, als dass es darum geht, große digitale Player auf dem Markt in der EU zu regulieren. Dabei liegt der Schwerpunkt bei US-Anbietern. Der DMA hat dabei viel Ähnlichkeit mit dem Kartellrecht und ergänzt dieses in gewisser Weise für den digitalen Markt.

Der DMA ist ein weiterer Baustein der Europäischen Datenstrategie. Mit den anderen Bausteinen haben wir uns bereits befasst: dem Data Act (DA-E), dem Digital Service Act (DSA) und dem Data Governance Act (DGA).

Wer sind die Torwächter?

Art. 3 Abs. 2 DMA definiert Unternehmen als „Torwächter“ anhand von drei Parametern:

• Erheblicher Einfluss auf dem Binnenmarkt: Davon wird ausgegangen, wenn das Unternehmen in den letzten drei Jahren „einen Jahresumsatz von mindestens 7,5 Mrd. EUR erzielt hat oder wenn seine durchschnittliche Marktkapitalisierung oder sein entsprechender Marktwert im vergangenen Geschäftsjahr mindestens 75 Mrd. EUR betrug und es in mindestens drei Mitgliedstaaten denselben zentralen Plattformdienst bereitstellt“ (Art. 3 Abs. 2 lit a DMA).
• Zentraler Plattformdienst: Dies wird angenommen, wenn der Dienst im letzten Geschäftsjahr mindestens 45 Mio. monatlich aktive Endnutzer oder mindestens 10.000 gewerbliche Nutzer in der EU hatte.
• Eine gefestigte und dauerhafte Position in Bezug auf die Tätigkeit besteht oder bestehen wird: Davon wird ausgegangen, wenn die Voraussetzungen des erheblichen Einflusses (Jahresumsatz von 7,5 Mrd. Euro bzw. 75 Mrd. Euro Marktkapitalisierung oder Marktwert) erfüllt werden.

Wer bei „Torwächter“ unweigerlich an den Film Ghostbusters denken muss: Der Begriff kommt über 500-mal im DMA vor und ist das Herzstück der Verordnung. In der englischen Version wird von Gatekeepers gesprochen.

Als Torwächter hat die EU-Kommission am 6. September folgende Unternehmen benannt:

Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft.

Bei den Plattformen geht es um die gängigen Sozialen Netzwerke TikTok, Facebook, Instagram oder LinkedIn, aber auch um Handelsplattformen wie den App Store oder Amazon Marketplace und die Browser Chrome und Safari. Auffällig ist, dass X (vormals Twitter) von Elon Musk und auch die Suchmaschine Bing nicht unter den DMA fallen. Insbesondere für X gilt aber der DSA, der u. a. die Verbreitung von Desinformation und illegaler Inhalte unterbinden soll. Entsprechenden Vorwürfen durch die EU-Kommission sieht sich jedoch X derzeit ausgesetzt.

Ebenso fallen die Betriebssysteme iOS, Android und Windows oder auch die Browser Chrome und Safari unter den DMA. Vielleicht erinnert sich der eine oder die andere noch an die Diskussion mit Microsoft, das auf seinem Betriebssystem nur einen Browser angeboten hatte. Genau solche marktbeherrschenden Stellungen soll der DMA nun regulieren.

Die Torwächter haben ab der Benennung sechs Monate Zeit (bis März 2024), die Vorgaben des DMA umzusetzen.

Rechtstreitigkeiten als Anlass für den DMA

Ein aktuelles Beispiel ist die Auseinandersetzung zwischen dem Bundeskartellamt und Meta vor dem EuGH (EuGH, Urteil vom 4. Juli 2023 – C‑252/21). Der EuGH gab dem Kartellamt recht, das Meta ein Zusammenführen von Daten untersagt hatte.

Auch die Nutzung des Dienstes Threads von Meta innerhalb der EU würde gegen den DMA verstoßen, da eine Verknüpfung mit dem Instagram-Konto und eine zwangsläufige Zusammenführung von Daten erfolgt. Daher bietet Meta diesen Dienst bisher in der EU nicht an.

Gebote für die Torwächter

Der DMA stellt für sog. Torwächter Verhaltensgebote und -verbote auf.

Konkret finden sich die Verhaltensregeln für die Torwächter (und nicht für die Schlüsselmeister) in Art. 5 DMA. Soweit es um Endnutzer geht, gilt folgendes:

• keine Verarbeitung von personenbezogenen Daten zu Werbezwecken
• keine Zusammenführung von personenbezogenen Daten aus verschiedenen zentralen Plattformdiensten
• keine Nutzung personenbezogener Daten in anderen zentralen Plattformen als in der vom Endnutzer verwendeten
• keine Anmeldung von Endnutzern in anderen Diensten des Unternehmens, um personenbezogene Daten zusammenzuführen

Ausnahme: Es besteht eine Wahlfreiheit bei der Nutzung des Dienstes und der Endnutzer hat im Sinne von Art. 7 DSGVO eingewilligt.

Solch eine Ausnahme testet Meta gerade mit einem Bezahlabo in den Diensten Facebook und Instagram, nachdem der Europäische Datenschutzausschuss die irische Aufsichtsbehörde angewiesen hat, Maßnahmen zu ergreifen, um ein Verbot für personalisierte Werbung im gesamten Europäischen Wirtschaftsraum (EWR) durchzusetzen (wir berichteten hier und hier). Ob dies dem DMA (und der DSGVO) gerecht wird, muss sich noch erweisen.

Wettbewerbserleichterungen für kleine gewerbliche Nutzer

Außerdem soll es den gewerblichen Nutzern erleichtert werden, zentrale Plattformen zu nutzen, um Endnutzern die eigenen Produkte und Dienstleistungen anzubieten. Das Sperren unliebsamer Konkurrenten durch Torwächter soll dadurch verboten werden. Ebenso darf ein Torwächter den Zugang zu Behörden oder Gerichten nicht beschränken und nicht von den Nutzern verlangen, sich bei anderen zentralen Plattformen zu registrieren bzw. anzumelden.

Weitere Verpflichtungen ergeben sich für die Torwächter aus Art. 6 DMA. So darf der Torwächter die nicht öffentlichen Daten gewerblicher Nutzer im Wettbewerb nicht benutzen. Endnutzern muss es ermöglicht werden, Apps zu deinstallieren. Damit wäre es möglich, wirklich alle Apps bei Android zu löschen und nicht nur zu deaktivieren, soweit sie nicht für das Betriebssystem zwingend notwendig sind. Die Nutzung von Apps von Drittanbietern soll ebenfalls ermöglicht werden.

In Hinblick auf den Browserstreit ist nun gesetzlich festgelegt, dass den Endnutzern eine Liste von Webbrowsern, aber auch von Suchmaschinen, zur Auswahl angezeigt werden muss.

Die Grenze der Verpflichtung sind Maßnahmen, die für eine sichere Nutzung des Betriebssystems oder der Hardware notwendig sind. Dies kann auch bedeuten, dass Anwendungen von Drittanbietern wegen Sicherheitsbedenken nicht zugelassen werden könnten.

Schnittstellen zu kleineren Messengerdiensten sind notwendig

Art. 7 DMA verpflichtet die Torwächter, Interoperabilität zwischen Messengerdiensten zu gewährleisten. So müsste WhatsApp auch Nachrichten oder Anrufe von Signal oder Threema verarbeiten. Das Sicherheitsniveau (bspw. die Ende-zu-Ende-Verschlüsselung), das der Torwächter seinen Nutzern anbietet, muss dabei aber immer beibehalten werden. Ob „beibehalten“ meint, dass der Torwächter, der nur eine Transportverschlüsselung anbietet, eine Interoperabilität ablehnen kann, wenn ein anderer Messengerdienst eine Ende-zu-Ende-Verschlüsselung anbietet, oder die Absenkung des Sicherheitsniveaus fordern kann, ist unklar.

Sanktionen, die schmerzen werden

Nach Art. 8 DMA müssen die Torwächter die Einhaltung der Vorgaben aus dem DMA sicherstellen. Erfolgt dies nicht, kann die EU-Kommission nach Art. 30 DMA Geldbußen in Höhe von bis zu 10 % des im letzten Geschäftsjahr weltweit erzielten Gesamtumsatzes verhängen. 20 % können als Geldbuße verhängt werden, wenn der Torwächter wiederholt gegen die Verpflichtungen verstößt.

Daneben können auch dann Geldbußen in Höhe von 1 % verhängt werden, wenn bspw. Auskünfte bzw. Beschreibungen nicht, nicht vollständig oder irreführend abgegeben werden. Es gibt aber noch eine Vielzahl von weiteren Möglichkeiten, Bußgelder zu verhängen, die hier nicht im Einzelnen aufgeführt werden sollen.

Zwangsgelder sind ebenso möglich, wenn ein Torwächter Beschlüsse der EU-Kommission nicht befolgt. Diese können 5 % des weltweit erzielten Gesamtumsatzes betragen.

Fazit

Was sich bei dem DSA schon gezeigt hat, setzt sich beim DMA fort. Man gewinnt den Eindruck, dass der EU bei den großen digitalen Playern der Geduldsfaden gerissen ist.

Der DMA greift Rechtsstreitigkeiten mit Microsoft oder Meta auf und gießt die Urteile nun in Gesetzesform. Der Bußgeldkatalog stellt noch einmal in Höhe und Umfang klar, dass die EU nicht mehr gewillt ist, sich von den großen Unternehmen hinhalten zu lassen.

Die Macht dieser Unternehmen soll zumindest in der EU eingehegt werden. Gleichzeitig können nun europäische Unternehmen, die noch nicht zu den Torwächtern gehören, versuchen auf dem digitalen Markt Fuß zu fassen und aufzusteigen.

Es bleibt spannend, die rechtlichen Auseinandersetzungen zwischen EU-Kommission und Konzernen wie Meta, Microsoft und Alphabet zu verfolgen und wie sich dadurch die digitale Landschaft verändern wird. Das Bezahlabo von Meta ist ein erster Schritt dorthin.

Bis zum März 2024 haben die Unternehmen noch Zeit, die Vorgaben umzusetzen. Danach könnte sich ein Kampf der Titanen zwischen der EU-Kommission und den Torwächtern entwickeln. Das Popcorn sollte bereitliegen.