Der im Winter veröffentlichte Vorschlag der Kommission für einen Digital Markets Act (DMA-E; ausführlich dazu Dietrich/Vinje, „The European Commission’s Proposal for Digital Markets Act“, CRi 2021, 33) enthält vereinzelte Hinweise auf die datenschutzrechtliche Einwilligung. Zwei Verbotsmerkmale knüpfen daran an, außerdem werden Anordnungen über die Art und Weise des Einwilligungsprozesses gegeben. Ergibt sich dabei ein marktregulatorisches Konzept der Einwilligung? Hier ein Sortierversuch:
Anknüpfungspunkte für eine Einwilligung im DMA-E
Echtzeitzugang mit Datennutzung: Ein wichtiger Bezug zur Einwilligung ergibt sich in Art. 6 Abs. 1 lit. l DMA-E. Danach müssen Gatekeeper gewerblichen Nutzern und von diesen zugelassenen Dritten einen effektiven, hochwertigen und permanenten Echtzeitzugang gewähren und die Nutzung aggregierter und nichtaggregierter Daten ermöglichen, die im Zusammenhang mit der Nutzung durch diese Nutzer oder Dritte bereitgestellt oder generiert werden. Dabei soll dies hinsichtlich personenbezogener Daten nur dann erfolgen, soweit der Endnutzer dem Datenaustausch durch eine Einwilligung im Sinne der DSGVO zugestimmt hat. Damit schafft diese Vorschrift eine Klarstellung, wie sie auch im allgemeinen Kartellrecht bereits länger geübt ist:
Sofern es keine rechtliche Begründung gibt, müssen personenbezogene Daten nicht herausgegeben werden.
Das bedeutet aber in diesem Fall auch, dass selbst bei sonstigen Situationen rechtmäßiger Verarbeitung keine Herausgabe zu erfolgen hat.
Zusammenführung personenbezogener Daten: Art. 5 lit a DMA-E sieht vor, dass der Gatekeeper keine personenbezogenen Daten aus seinen zentralen Plattformdiensten mit personenbezogenen Daten aus anderen von ihm oder Dritten angebotenen Diensten zusammenführen und Endnutzer in anderen Diensten des Gatekeepers anmelden darf, um personenbezogene Daten zusammenzuführen, soweit nicht dem Endnutzer gemäß der DSGVO eine Wahl gegeben wurde und er eingewilligt hat.
Hier scheint der Entwurf entweder davon auszugehen, dass die datenschutzrechtliche Einwilligung auch in wettbewerblich ausreichender Weise die Wahlfreiheit gewährleistet. Das ist aber nicht wahrscheinlich. Denn die zahlreichen wettbewerblichen Entfaltungsmöglichkeiten können wohl nicht hinreichend durch eine datenschutzrechtliche Vorschrift mit ihrem spezifischen Schutzzweck allein erfasst werden. Oder aber der Entwurf hält eine Wahlfreiheit nach der DSGVO für ausreichend. Dafür spräche jedenfalls, dass die in der Vorschrift erfasste Zusammenführung aus wettbewerblicher Sicht die Spiegelung einer Datenverarbeitung sein könnte, wie sie bereits durch die DSGVO erfasst wäre. Dann wäre die Verwendung des Instruments der Einwilligung konsistent.
Pflichtmaßnahmen des Gatekeepers: Gemäß Art. 11 Abs. 2 DMA-E muss der Gatekeeper geeignete Maßnahmen treffen, damit gewerbliche Nutzer eine erforderliche Einwilligung nach der DSGVO unmittelbar erhalten, wenn diese Einwilligung zur Einhaltung des DMA erforderlich ist. Mit anderen Worten: In den beiden Fällen des Zugangs zu Daten und der Zusammenführung muss der Gatekeeper selbst die geeigneten Maßnahmen vorsehen. Es trifft ihn also eine regulatorische Pflicht zur Umsetzung eines effektiven Einwilligungsmechanismus. Dabei trifft in ihn ein Selbstbegünstigungsverbot in der Form, dass er die Einholung der Einwilligung für Dritte nicht aufwändiger machen darf als sie für ihn ist. Hier erweitert der DMA-E das Konzept der Einwilligung um einen marktstrukturellen Ansatz.
Effektivität der Gatekeeper-Maßnahmen: Gemäß Art. 7 Abs. 1 DMA-E müssen die Maßnahmen des Gatekeepers zur Einhaltung seiner Pflichten aus den Artt. 5 und 6 DMA-E effektiv sein und im Einklage mit der DSGVO stehen. Das lässt sich so verstehen, dass eine beiderseits, also hinsichtlich des Schutzes personenbezogener Daten sowie der Erfüllung der marktregulatorischen Pflichten, rechtskonforme Anwendung der Einwilligung stattfinden soll. Eine qualitative Aussage zur Effektivität trifft der Vorschlag nur hinsichtlich des Wettbewerbsschutzes des DMA. Der Ablauf zur Einholung der Einwilligung ist also so auszugestalten, dass er das Ziel des Wettbewerbsschutzes bestmöglich erreicht. Damit geht der Entwurf hier deutlich weiter als noch die DSGVO.
Konsequenzen für die Rechtsanwendung
Wie im allgemeinen Kartellrecht auch lässt die sektorspezifische Verknüpfung die datenschutzrechtliche Auslegung unberührt. Anders aber als dort – man beachte die Diskussion zur Anwendung datenbezogener Wertungen bei der Auslegung des kartellrechtlichen Marktmachtmissbrauchsverbots (dazu Louven, „Marktmachtmissbrauchsverbot und die Abwägung von Grundrechten“, CR 2021, 36) – findet hier ein ausdrücklicher Verweis statt. Damit ließe sich der Einwilligungsmaßstab durch unmittelbare rechtliche Anordnung heranziehen.
Hinsichtlich der beiden Verbotsvorschriften aus Art. 5 lit. a DMA-E und Art. 6 Abs. 1 lit. l DMA-E dürfte ein strenger Verweismaßstab gelten. Dafür spricht der jeweilige systematische Zusammenhang. Zusammen mit dem Selbstbegünstigungsverbot aus Art. 11 Abs. 2 DMA-E und dem Effektivitätsgebot aus Art. 7 Abs. 1 DMA-E ergibt sich dann ein zusammenhängendes Konzept. Dabei wird auch deutlich, dass nicht der materielle Maßstab einer Einwilligung selbst Gegenstand ist, sondern die Struktur und der Ablauf des Einwilligungsprozesses. Hierbei orientiert sich der DMA-E an dem Maßstab des Wettbewerbsschutzes, hier in der Form, dass die Marktstellung der Gatekeeper anfechtbar sein soll. Dies soll dann dadurch sicher gestellt werden, dass der Gatekeeper in die Pflicht genommen wird, grundsätzliche Gegebenheiten für eine breite Wahlfreiheit aller seiner Nutzer zu schaffen.
Ausführliche Analysen zum DMA-E:
- Dietrich/Vinje, „The European Commission’s Proposal for Digital Markets Act“, CRi 2021, 33
- Gerpott, „Neue europäische Regeln für digitale Plattformen“, CR 2021, 255