CR-online.de Blog

Digital Markets Act: Verbot der Datenzusammenführung

avatar  Dr. Sebastian Louven
Rechtsanwalt

Diese Woche hat der Rat der Europäischen Union seine Zustimmung zum Digital Markets Act gegeben. Die Verordnung ist damit in der geänderten Fassung angenommen und kann im Amtsblatt der Europäischen Union veröffentlicht werden. Sie soll nach einer Frist von zwanzig Tagen nach Veröffentlichung in Kraft treten und weitere sechs Monate nach Inkrafttreten gelten. Einzelne Vorschriften sollen erst ab dem 25.6.2023 gelten. Gegenüber der Entwurffassung hat sich einiges geändert. Die grundsätzlichen Verbote in den Art. 5 und 6 DMA sind sich im Grundsatz ähnlich geblieben.

Zum neuen Art. 5 Abs. 2 DMA

Mit einigen Verschärfungen sticht gleich der Art. 5 Abs. 2 DMA hervor, der die Zusammenführung personenbezogener Daten durch den Torwächter regelt. Dieser lautet nunmehr im Volltext wie folgt:

Der Torwächter darf

a) personenbezogene Daten von Endnutzern, die Dienste Dritter nutzen, welche zentrale Plattformdienste des Torwächters in Anspruch nehmen, nicht zum Zweck des Betriebs von Online-Werbediensten verarbeiten,

b) personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen,

c) personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht in anderen vom Torwächter getrennt bereitgestellten Diensten, einschließlich anderer zentraler Plattformdienste, weiterverwenden und umgekehrt und

d) Endnutzer nicht in anderen Diensten des Torwächters anmelden, um personenbezogene Daten zusammenzuführen,

außer wenn dem Endnutzer die spezifische Wahl gegeben wurde und er im Sinne des Artikels 4 Nummer 11 und des Artikels 7 der Verordnung (EU) 2016/679 eingewilligt hat.

Wurde die für die Zwecke des Unterabsatz 1 gegebene Einwilligung vom Endnutzer verweigert oder widerrufen, so darf der Torwächter sein Ersuchen um Einwilligung für denselben Zweck innerhalb eines Jahres nicht mehr als einmal wiederholen.

Dieser Absatz berührt nicht die Möglichkeit des Torwächters, sich gegebenenfalls auf Artikel 6 Absatz 1 Buchstaben c, d und e der Verordnung (EU) 2016/679 zu berufen.

Zweck der Vorschrift

Zusammenfassend lässt sich sagen, dass die Vorschrift eine ausdrückliche Festlegung zur Kombination von personenbezogenen Daten durch Torwächter vorsieht. Damit nimmt sie auch die Erfahrungen aus dem Facebook-Verfahren des Bundeskartellamts auf, das derzeit noch nicht abgeschlossen ist. Dies ergibt sich aus den Erwägungsgründen 36 und 37 der Verordnung. Danach verschaffe die Verarbeitung personenbezogener Daten durch ihre Anhäufung den Torwächtern potenzielle Vorteile, wodurch Markteintrittsschranken entstehen können. Dies liege schon daran, dass sich die Torwächter Größenvorteile zunutze machen können.

Zusätzlich würden diese wettbewerblichen Vorteile verstärkt durch die Zusammenführung personenbezogener Daten von Endnutzern aus verschiedenen Diensten oder ihre Weiterverwendung in anderen Diensten sowie schließlich die Anmeldung der Endnutzer in verschiedenen Diensten des Torwächters, um personenbezogene Daten zusammenzuführen. Die Verhinderung derartiger Markteintrittsschranken ist wiederum Gegenstand des bestreitbaren Wettbewerbs. Diesem Zweck dient auch das Verbot der umfassenden Datenzusammenführung.

Anhand dieser Klarstellungen wird deutlich, dass der Verordnungsgeber die wettbewerblichen Problemstellungen bislang nicht hinreichend durch die DSGVO abgesichert sieht. Die Torwächter sollten den Endnutzern also zunächst die freie Entscheidung darüber lassen, welchen Datenverarbeitungs- und Anmeldepraktiken sie zustimmen.

Ãœbersicht der Verbote

Die Regelung enthält mehrere Einzelverbote, die sich sämtlich in das Verbot einfügen, keine personenbezogenen Daten zusammen zu führen. Dazu eine Übersicht, was der Torwächter nicht darf:

  1. Keine Verarbeitung personenbezogener Daten von Endnutzern, die bei der Nutzung der Dienste Dritter anfallen, welche zentrale Plattformdienste des Torwächters in Anspruch nehmen, zum Zweck des Betriebs von Online-Werbediensten. Die Torwächter dürfen die anfallenden personenbezogenen Daten also nur dann zu Werbezwecken verarbeiten, wenn die Endnutzer zugestimmt und eingewilligt haben. Die Endnutzer werden damit aus dem Vorleistungszwang als Datenlieferanten befreit und für die Plattform wird die Quersubventionierung im Zusammenhang mit dem Verkauf von auf personenbezogenen Daten basierenden Werbemöglichkeiten erschwert. Eine Quersubventionierung durch andere Plattformleistungen und auch durch Werbung bleibt gleichwohl möglich, solange dies ohne die Verarbeitung der personenbezogenen Daten erfolgt.
  2. Keine Zusammenführung personenbezogener Daten aus dem betreffenden zentralen Plattformdienst mit personenbezogenen Daten aus a) weiteren zentralen Plattformdiensten, b) anderen vom Torwächter bereitgestellten Diensten oder c) Diensten Dritter. Mit dieser Regelung sollen die wettbewerblichen Vorsprünge erfasst werden, die eine Plattform durch umfangreiche Datenzusammenführungen erhält. Dabei sind auch Dienste Dritter erfasst, was die bloße Zugriffsmöglichkeit einschließt. Dies entspricht der Erkenntnis etwa im Zusammenhang mit § 18 Abs. 3 Nr. 3 GWB bei dem Kriterium „sein Zugang zu wettbewerbsrelevanten Daten“ zur Bestimmung der Marktmacht eines Unternehmens. Dabei kommt es ebenso nicht auf die individuelle Inhaberschaft an, sondern es reicht die bloße Zugriffsmöglichkeit (vgl. Louven in: Jaeger/Kokott/Pohlmann/Schroeder/Seeliger, Frankfurter Kommentar zum Kartellrecht, Vorabinformation zu § 18 GWB, Rn. 13).
  3. Keine Weiterverwendung von personenbezogenen Daten in anderen vom Torwächter getrennt bereitgestellten Diensten, einschließlich anderer zentraler Plattformdienste. Im Verhältnis zur Vorgängervorschrift ist dies die allgemeinere Regelung, die den weiten Anwendungsbereich stützt.
  4. Keine Anmeldung von Endnutzern in anderen Diensten des Torwächters zum Zweck der Zusammenführung personenbezogener Daten. Aufgrund der Privatautonomie und im Zusammenhang mit dem zweiten Halbsatz dürfte es sich hierbei lediglich um diejenigen Anmeldungen handeln, die automatisiert und ohne den Willen des Endnutzers erfolgen. Es bleibt diesem also die Wahl, mehrere Dienste separat und unabhängig voneinander in Anspruch zu nehmen, ohne dass der Torwächter hierbei eine Zusammenführung vornimmt.

Sicherung der Wahlfreiheit der Endnutzer

Art. 5 Abs. 2 UAbs. 1 2. Hs. DMA sieht als Ausnahme von den Verbotsvorschriften vor, dass dem Endnutzer die spezifische Wahl gegeben wurde und er nach den Vorgaben der DSGVO eingewilligt hat. Es bedarf also einer Zustimmung und zusätzlich einer datenschutzrechtlichen Einwilligung. Ob dies auf für Einwilligungen für nicht einwilligungsfähige Personen gilt, wird hier nicht klargestellt. Da Art. 5 Abs. 2 DMA hier das strengere Verbot enthält, könnte auf ein vollständiges Verbot ohne Einwilligungsmöglichkeit zu schließend sein. Die Vorgabe einer spezifisch eingeräumten Wahlfreiheit geht dabei über die datenschutzrechtlichen Bestimmungen hinaus, da sie zusätzlich zu der Einwilligung das Angebot einer Alternative vorsieht, die der Nutzer ohne Zusammenführung seiner personenbezogenen Daten nutzen kann.

Der Torwächter darf den jeweiligen Endnutzer zwar erneut nach einer Einwilligung fragen. Hierbei ist er jedoch gemäß Art. 5 Abs. 2 UAbs. 2 DMA auf ein Mal innerhalb eines Jahres beschränkt. Die Verweigerung darf dabei nicht aufwendiger sein als ihre Erteilung. Zusätzlich sollte der Torwächter nach Erwägungsgrund 37 S. 3 DMA eine weniger personalisierte, aber gleichwertige Alternative anbieten. Sie dürfen die Gebote also nicht unterlaufen, um etwa über schlechte Qualität oder Einschränkungen dann doch zu einer Einwilligung zu gelangen. Als Ausnahme dürfe nur gelten, dass die Einschränkung eine unmittelbare Folge der nicht zur Verfügung stehenden personenbezogenen Daten ist. Eine derartige Aussage ist jedoch nur dann möglich, wenn der Torwächter bei Verweigerung der Zustimmung und Einwilligung nicht mehr die Möglichkeit hat, die Geschäftsbeziehung mit dem Endnutzer zu beenden. Der Torwächter muss seine Leistungen also unverändert weiter zur Verfügung stellen und aufrecht erhalten.

Ein Kommentar

  1. Veröffentlicht 21.7.2022 um 16:00 | Permalink

    Noch eine Sonderfrage, die sich erst nachträglich ergab: Wie kann Art. 5 Abs. 2 DMA mit den durch Facebook angelegten Schattenprofilen umgehen? Hierzu mehr in meinem eigenen Blog: https://louven.legal/2022/07/21/schattenprofile-von-art-5-abs-2-dma-erfasst/

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.