Im Rahmen der europäischen Digitalstrategie gibt es häufige Berührungspunkte mit der DSGVO, die gerade in der Praxis Probleme bereiten, da nicht klar ist, wie zum Beispiel Pflichten aus dem Digital Markets Act (DMA) datenschutzkonform umgesetzt werden können. Nach Angaben des Europäischen Datenschutzausschusses (EDSA) schützen dabei sowohl die DSGVO als auch der DMA Einzelpersonen in der digitalen Landschaft, wobei sich ihre Ziele ergänzen würden, da sie miteinander verbundene Herausforderungen angehen würden. Diese bestünden im Falle der DSGVO im Schutz individueller Rechte und der Privatsphäre des Einzelnen, im Falle des DMA in der Herstellung von Fairness, Bestreitbarkeit und Wettbewerb digitaler Märkte.

Mehrere vom DMA geregelte Tätigkeiten umfassten hierbei die Verarbeitung personenbezogener Daten durch Gatekeeper und in mehreren Bestimmungen des DMA werde auf die DSGVO-Definitionen und Konzepte verwiesen.

Aus diesem Grund hat der EDSA mit der EU-Kommission am 09.Oktober 2025 gemeinsame Leitlinien veröffentlicht. Damit wird das Ziel einer kohärenten Anwendung der beiden Regelwerke verfolgt, besonders dort, wo sich Anforderungen aus dem DMA und der DSGVO überschneiden.

Kernelemente der gemeinsamen Leitlinien

Auf 55 Seiten werden umfassend die wichtigsten Schnittpunkte zwischen DMA und DSGVO dargestellt. Auf die wichtigsten Punkte wird im Folgenden überblicksartig eingegangen, eine nähere Betrachtung einzelner Elemente erfolgt zeitnah in einem weiteren Blogbeitrag.

1. Einwilligung und Nutzerkontrolle Art.5 Abs.2 DMA

In den Leitlinien wird klargestellt, dass Gatekeeper als Adressaten des DMA bestimmte Datenverarbeitungen nur mit wirksamer Einwilligung i. S. d. DSGVO der jeweiligen Betroffenen durchführen dürfen.

Dies betrifft die Kombination von Daten über unterschiedliche Dienste hinweg, die Nutzung für personalisierte Werbung und das automatische Einloggen der Nutzer in andere Dienste.

Hierbei wird herausgestellt, dass die Nutzer*innen eine echte Wahl haben müssen, da es ansonsten an der Freiwilligkeit der Einwilligung fehlt. Dies beinhaltet auch das Bereitstellen einer weniger personalisierten, aber gleichwertigen Alternative eines Dienstes.

Zusätzlich wird ausgeführt, dass entsprechende Einwilligungsanfragen nur einmal jährlich erlaubt sind, wenn die Nutzer*innen die Einwilligung abgelehnt haben.

2. Drittanbieter-Apps und App-Stores Art.6 Abs.4 DMA

Hinsichtlich von Drittanbieter-Apps stellen die Leitlinien klar, dass Gatekeeper grundsätzlich die Installation und Nutzung von Drittanbieter-Apps ermöglichen müssen. Hierbei sind allerdings die Datenschutzprinzipien aus Art.5 DSGVO, wie Integrität, Vertraulichkeit und der Grundsatz der Datenminimierung zu beachten.  

Hinsichtlich der datenschutzrechtlichen Verantwortlichkeit gelten laut der Leitlinien die Gatekeeper und Drittanbieter als unabhängige Verantwortliche.

3. Datenportabilität Art.6 Abs.9 DMA

Hinsichtlich des Anspruchs von Endnutzern und autorisierten Dritten auf Datenportabilität wird ausgeführt, dass dieser das Recht auf Datenübertragbarkeit nach Art.20 DSGVO ergänzt. Dabei müsse durch die Gatekeeper sichergestellt werden, dass diese Daten kostenlos, kontinuierlich und in Echtzeit zugänglich sind.

Bei internationaler Datenübertragung wird weiterhin festgestellt, dass diese DSGVO-konform erfolgen muss. Somit richtet sich die internationale Datenübertragung auch in diesem Fall nach den Artt.44 ff. DSGVO und erfordern DSGVO-konforme Garantien.

4. Datenzugang für Geschäftsnutzer Art.6 Abs.10 DMA

Laut Leitlinien dürfen Geschäftsnutzer zwar auf Daten zugreifen, die direkt mit der Nutzung ihrer Produkte/Dienste durch Nutzer*innen über die jeweiligen Gatekeeper verbunden sind, sofern dies personenbezogene Daten umfasst, ist dies allerdings nur mit DSGVO-konformer Einwilligung der Endnutzer möglich.

Aus diesem Grund müssen Gatekeeper eine neutrale, transparente und benutzerfreundliche Schnittstelle zur Einholung und Verwaltung dieser Nutzer-Einwilligungen bereitstellen.

5. Anonymisierte Suchdaten Art.6 Abs.11 DMA

Gatekeeper müssen anonymisierte Suchdaten wie Rankings, Views und Klicks mit Drittanbietern teilen, um so den Wettbewerb im Suchmaschinenmarkt zu fördern.

Hierbei muss die Anonymisierung anhand der aus der DSGVO bekannten Kriterien umgesetzt sein, das heißt eine Re-Identifizierung muss ausgeschlossen sein. Zur Erreichung dieses Zwecks empfehlen die Leitlinien eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen.

6. Interoperabilität bei Kommunikationsdiensten (Art.7 DMA)

Auch bezüglich alternativer Kommunikationsdienste müssen Gatekeeper Interoperabilität ermöglichen, um so den Wettbewerb zu fördern.

Hierbei stellen die Leitlinien klar, dass die Grundprinzipien des Datenschutzes gem. Art.5 DSGVO, wie zum Beispiel der Grundsatz der Datenminimierung und Zweckbindung gewahrt bleiben müssen.

Fazit

Die Leitlinien des EDSA und der EU-Kommission zeigen eindrücklich, dass die europäischen Rechtsakte der Digitalstrategie und die Regelungen der DSGVO nicht getrennt voneinander betrachtet werden können, sondern sich vielmehr stark überschneiden und ergänzen.

Aus diesem Grund ist eine kohärente und abgestimmte Anwendung der Pflichtenkataloge erforderlich. Durch die Leitlinien stellen der EDSA und die EU-Kommission erneut klar, dass die Pflichten der DSGVO auch bei sämtlichen Digitalrechtsakten ihre Wirksamkeit entfalten. So stehen die Gatekeeper nicht nur in der Verantwortung den Wettbewerb durch Dritte nach dem DMA zu respektieren, sondern müssen gleichzeitig die korrespondierenden Datenschutzrechte bei der Erfüllung der Pflichten aus dem DMA beachten und befolgen.

Hinsichtlich der Zusammenarbeit der jeweilig zuständigen Behörden wird dabei hervorgehoben, dass aufgrund der engen Verzahnung von DMA und DSGVO eine enge Koordination und Kooperation notwendig ist, um widersprüchliche Entscheidungen zu vermeiden. Ob dies gelingen wird, bleibt abzuwarten.

| | | , , , , , , ,