Leitlinien des EDSA zum Zusammenspiel zwischen DMA und DSGVO – Einzelbetrachtung von Kernelementen

Der Europäische Datenschutzausschuss (EDSA) hat im Oktober 2025 gemeinsam mit der EU-Kommission Leitlinien zur einheitlichen Anwendung von DSGVO und Digital Markets Act (DMA) veröffentlicht. Wie in unserem Beitrag vom 18.12. angekündigt, erfolgt in diesem Beitrag eine nähere Betrachtung ausgewählter Kernelemente der EDSA-Leitlinien und ihrer Auswirkungen auf die Praxis. Hierbei ist darauf hinzuweisen, dass der DMA sogenannte Gatekeeper adressiert, sodass direkte Pflichten nur für diese folgen.

Aber auch Unternehmen, die entsprechende Dienste von Gatekeepern nutzen, oder als Drittanbieter Dienste anbieten wollen, sollten die diesbezüglichen Pflichten und Problemfelder kennen, um das Risiko einer solchen Dienstnutzung einschätzen zu können.

Einwilligung und Nutzerkontrolle Art.5 Abs.2 DMA

Aufgrund der praktischen Relevanz ist insbesondere auf das Einwilligungserfordernis des Art.5 Abs.2 DMA für die verschiedenen dort genannten Verarbeitungszwecke näher einzugehen.

Anforderungen

Aufgrund des Art.5 Abs.2 DMA müssen Gatekeeper für eine Vielzahl von Nutzungsmöglichkeiten personenbezogener Daten von Endnutzern eine DSGVO-konforme Einwilligung einholen.

Dies betrifft unter anderem die Nutzung von solchen Daten für personalisierte Werbung, Kombination von Daten über verschiedene Dienste hinweg, Cross-Use von Daten zwischen Diensten, sowie das automatische Einloggen in andere Dienste zur Zusammenführung von bestimmten Datensätzen.

In diesen Fällen stellen die Leitlinien klar, dass die entsprechende Einwilligung im Rahmen des DMA den Anforderungen der DSGVO entsprechen muss. Das bedeutet, dass eine solche Einwilligung freiwillig, informiert, für den spezifischen Fall, unmissverständlich und jederzeit widerrufbar erteilt werden muss. Dies allein dürfte bereits viele Gatekeeper vor Probleme stellen, da die entsprechende Einwilligungseinholung auch dokumentiert werden muss.

Besonders wichtig ist es hier darauf hinzuweisen, dass die Gatekeeper nach den Leitlinien eine „weniger personalisierte, aber gleichwertige Alternative“ anbieten müssen, sofern die Endnutzer*innen die Einwilligung nicht erteilen. Dies stellt eine Verschärfung im Hinblick auf die DSGVO dar, die eine solche Alternativpflicht nicht kennt.

Praktische Auswirkungen

Aufgrund des engen Adressatenkreises trifft die Gatekeeper der größte, direkte Anpassungsbedarf.

So müssen diese sicherstellen, dass entsprechend granulare Einwilligungen angeboten werden, die klare Wahlmöglichkeiten sicherstellen, Dark Patterns vermeiden und insbesondere den Consent-Flow vereinheitlichen, sofern DSGVO und DMA-Zwecke deckungsgleich sind und einen wirksamen Prozess zum Einwilligungswiderruf etablieren.

Insbesondere im Rahmen des Consent-Flow Managements und des Prozesses zum Widerruf der Einwilligung kann hier umfassend auf die bereits im Rahmen der DSGVO-Etablierung bekannten Prozesse zurückgegriffen werden.

Die wesentlich größeren Auswirkungen dürften hier aufgrund der zwingend bereitzustellenden, weniger personalisierten Alternative zu erwarten sein. So haben die Gatekeeper sicherzustellen, dass der Dienst auch ohne entsprechende Einwilligung funktional gleichwertig für den Endnutzer zu nutzen ist. Dies erfordert also, dass die Gatekeeper entsprechend zwei parallele Service-Versionen ihres jeweiligen Dienstes betreiben. Es darf indes keinen Unterschied in der Nutzbarkeit an sich geben, egal ob die jeweilige Endnutzer*in eine Einwilligung erteilt hat oder nicht. Der Dienst selbst darf hierdurch nicht langsamer, weniger sicher oder in einem sonstigen Aspekt schlechter zu nutzen sein.

Außerdem dürfen Gatekeeper bei Ablehnung der Einwilligung durch die Endnutzer*innen innerhalb eines Jahres nicht erneut nachfragen, was die Führung eines präzisen Consent-Logs erfordert, sowie die Verhinderung, dass neue Zwecke als „neue“ Einwilligungen verkauft werden.

Für Business-User (= Unternehmen, die Dienste von Gatekeepern nutzen) bedeuten die verschärften Pflichten für die Gatekeeper dagegen grundsätzlich eine Verbesserung. So dürfen Gatekeeper personenbezogene Daten dieser User in vielen Fällen nur noch aufgrund wirksamer Einwilligung der jeweiligen Endnutzer*innen für eigene Zwecke nutzen, müssen den Business-Usern klare Informationen bezüglich des Datenflusses und der Datennutzung bereitstellen und allgemein mehr Anforderungen hinsichtlich der Transparenz und Fairness der Datenverarbeitung erfüllen.

Allerdings ist hierbei zu beachten, dass Business-User selbst die Einwilligung der jeweiligen Endnutzer*innen einholen müssen, sofern sie selbst Daten aus entsprechenden Gatekeeper-Diensten erhalten wollen (vgl. z.B. Art.6 Abs.10 DMA). Hierfür müssen die Gatekeeper allerdings auch die entsprechenden technischen Tools bereitstellen.

Fazit

Für Gatekeeper stellen Art.5 Abs.2 DMA und die entsprechenden Leitlinien einen der radikalsten Eingriffe in das datengetriebene Geschäftsmodell dar.

So müssen Gatekeeper massive Umgestaltungen von bisherigen Consent-Mechanismen durchführen, strikte Datensilos führen, um ein Zusammenfließen von Datensätzen aus verschiedenen Diensten wirksam zu verhindern und die Möglichkeit gleichwertiger weniger personalisierter Service-Alternativen schaffen. Dies bedeutet hohe Compliance-Kosten und umfassende technische Anpassungen.

Für Business-User dagegen entsteht hierdurch mehr Transparenz und Fairness bezüglich der Datenverarbeitung durch die Gatekeeper. Allerdings müssen die Business-User auch entsprechende eigene Einwilligungspflichten beachten, sofern sie selbst Datenzugang anstreben.

Drittanbieter-Apps und App-Stores gem. Art.6 Abs.4 DMA

Zusätzlich soll in diesem Beitrag noch die Pflicht zur Bereitstellung von Drittanbieter-Apps und App-Stores gem. Art.6 Abs.4 DMA hinsichtlich ihrer Bedeutung für die Praxis beleuchtet werden.

Anforderungen

Der Art.6 Abs.4 DMA verpflichtet Gatekeeper auf ihren Systemen bzw. in ihren Diensten die Installation von Drittanbieter-Apps und App-Stores und die effektive Nutzung dieser Apps und App-Stores zu ermöglichen sowie entsprechend technische Restriktionen abzubauen, die bisher den Wettbewerb behinderten.

Hierbei müssen Gatekeeper die DSGVO bezüglich der Öffnung ihrer Systeme selbstverständlich beachten, dürfen laut den Leitlinien aber auch nicht die DSGVO als Ausrede nutzen, um die Öffnung zu behindern. Dies bedeutet, dass Gatekeeper den Datenschutz nicht als Blockadeinstrument nutzen dürfen, Sicherheitsargumente nicht überdehnt werden dürfen und Gatekeeper zwar effektive Schutzmaßnahmen für personenbezogene Daten etablieren müssen, diese aber auch dem Verhältnismäßigkeitsgrundsatz entsprechen müssen.

Praktische Auswirkungen

Auch hier trifft aufgrund der direkten Adressierung die Gatekeeper der größte Anpassungsbedarf.

So dürfen Gatekeeper Drittanbieter-Apps und App-Stores nicht mit überzogenen Anforderungen aufgrund des Datenschutzes blockieren.

Die Leitlinien nennen hier ausdrücklich folgende Punkte:

• Sicherheitsmaßnahmen müssen notwendig, verhältnismäßig und gerechtfertigt sein.
• Gatekeeper dürfen keine übermäßigen Prüfprozesse einführen, die Drittanbieter faktisch ausschließen.
• Datenschutz darf nicht als Argument genutzt werden, um Konkurrenz Apps und App-Stores zu behindern.

Diese Punkte erfordern daher, dass Gatekeeper ihre bisherige Sicherheitsarchitektur überdenken, die bisher vielfach auf Abschottung der Systeme basiert. Selbstverständlich darf die Sicherheit der personenbezogenen Daten auch aufgrund dieser Anpassungen nicht gefährdet werden.

Zusätzlich stellen die Leitlinien klar, dass die Gatekeeper und Drittanbieter separate Verantwortliche im Sinne der DSGVO sind. Dies bedeutet, dass die Gatekeeper keine Daten von Drittanbieter-Apps für eigene Zwecke nutzen dürfen, außer es liegt eine einschlägige Rechtsgrundlage nach der DSGVO vor.

Aufgrund der Implementierungspflicht hinsichtlich von Drittanbieter-Apps nennen die Leitlinien auch Beispiele, was Gatekeeper diesbezüglich bereitstellen müssen, dies beinhaltet insbesondere:

• Klare API-Schnittstellen für Drittanbieter
• Transparente Berechtigungsmodelle
• Mechanismen zur Einholung von Einwilligungen, sofern Drittanbieter-Apps diese benötigen
• Mechanismen zur Widerrufbarkeit erteilter Einwilligungen

Für Drittanbieter bedeuten die Regelung im DMA und die Ausführungen in den Leitlinien dagegen erhebliche Vorteile.

So erhalten sie echten Zugang zu Betriebssystemen, Gatekeeper dürfen sie nicht diskriminieren, sie erhalten klare, faire und transparente technische Anforderungen von den Gatekeepern sowie Hilfestellungen bezüglich des Consent-Managements.

Allerdings sind auch Drittanbieter aufgrund ihrer eigenen Verantwortlichkeit verpflichtet sicherzustellen, dass ihre Apps den Anforderungen der DSGVO entsprechen. Dazu gehört insbesondere, dass erforderliche Einwilligungen wirksam eingeholt werden und die Sicherheit der Verarbeitung personenbezogener Daten innerhalb ihrer Anwendungen gewährleistet ist.

Fazit

Der Art.6 Abs.4 DMA und die korrespondierenden Leitlinien zwingen die Gatekeeper zu einer fundamentalen Öffnung ihrer Systeme für Drittanbieter, allerdings unter strikter Beachtung der Vorgaben aus der DSGVO.

Zwar darf der Zugang Drittanbietern nicht verweigert werden, jedoch müssen sowohl Gatekeeper als auch Drittanbieter die DSGVO-Konformität sicherstellen.

Dies bedeutet für Unternehmen, die als Drittanbieter tätig werden wollen, dass diese insbesondere entsprechende Governance-Strukturen aufbauen müssen und insbesondere die Transparenz- und Dokumentationspflichten bezüglich der Endnutzer*innen beachten müssen.