Bis spätestens 6. März 2024 müssen die im Rahmen des Digital Markets Act bzw. des Gesetzes über digitale Märkte (DMA) benannten „Gatekeeper“ die Anforderungen des DMA-Gesetzes für ihre bestimmten zentralen Plattformdienste erfüllen. Ansonsten riskieren sie hohe Geldstrafen.
Doch das Datum ist nicht nur für diese großen Tech-Unternehmen von Bedeutung. Auch Unternehmen, die auf den digitalen Märkten der Europäischen Union (EU) und/oder des Europäischen Wirtschaftsraums (EWR) tätig sind, müssen sich auf das Gesetz über digitale Märkte (DMA) vorbereiten. Nur so können sie die zentralen Plattformdienste ohne Unterbrechung weiterhin nutzen.
In diesem Artikel untersuchen wir, für wen der Digital Markets Act (DMA) gilt, welche rechtlichen Verpflichtungen dadurch auferlegt werden und wie betroffene Unternehmen sich auf das DMA-Gesetz vorbereiten können.
Rechtliche Verpflichtungen gemäß dem Gesetz über digitale Märkte (DMA)
Es muss beachtet werden, dass sich das Gesetz über digitale Märkte (DMA) direkt an Gatekeeper richtet, die aktiv daran arbeiten müssen, die von der Europäischen Kommission beschlossenen Anforderungen zu erfüllen. Das bedeutet jedoch nicht, dass gewerbliche Nutzer fein raus sind. Das DMA-Gesetz betrifft auch Unternehmen, die Plattformen und Dienste von Gatekeepern nutzen, um Daten von Nutzern aus der EU und/oder dem EWR zu erheben und zu verarbeiten.
Die DMA-Vorschriften zum Datenschutz haben eine große Reichweite und betreffen somit nicht nur die Plattformen, sondern auch alle auf den Plattformen erfassten personenbezogenen Daten. Außerdem haben Gatekeeper oftmals ihre eigenen Nutzungs- oder Vertragsbedingungen, die die Unternehmen einhalten müssen, wenn sie deren Plattformen nutzen. Diese Bedingungen können ebenfalls auf die DMA-Anforderungen bezüglich Transparenz und Datenschutz ausgerichtet sein. Zudem haben die Europäische Union und ihre Mitgliedstaaten andere Datenschutzgesetze, die ebenfalls beachtet werden müssen, wie die Datenschutz-Grundverordnung (DSGVO).
Das bedeutet, dass Unternehmen, die zentrale Plattformdienste nutzen, es sich nicht leisten können, nur als passive Zuschauer am Rande zu stehen. Vielmehr müssen sie ihre eigenen Verfahren und Richtlinien mit dem Gesetz über digitale Märkte (DMA) in Einklang bringen. Dies ist ein notwendiger Schritt für alle Unternehmen, die diese Dienste ohne rechtliche Schwierigkeiten oder den Verlust des Plattformzugriffs weiterhin nutzen möchten.
Zwar gibt es verschiedene Pflichten, die den Gatekeepern im Rahmen des DMA-Gesetzes auferlegt wurden. Jedoch könnten die folgenden direkte Auswirkungen auf Unternehmen haben, die die zentralen Plattformdienste nutzen, und ihnen vorschreiben, wie sie im Rahmen des Gesetzes über digitale Märkte (DMA) vorgehen müssen.
Ausdrückliche Nutzereinwilligungen zur Erfassung von personenbezogenen Daten
Das Gesetz über digitale Märkte (DMA) erlegt den Gatekeepern für die Erfassung personenbezogener Daten strenge Kontrollen auf und schreibt dafür die Einholung der entsprechenden Einwilligung der Nutzer vor. Artikel 2 Absatz 32 des Gesetzes liefert die Definition von Nutzereinwilligung im Einklang mit der Definition nach der DSGVO:
„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Die Einwilligung im Rahmen des Gesetzes über digitale Märkte (DMA) muss deshalb vier Schlüsselkriterien erfüllen: Sie muss freiwillig für einen bestimmten Zweck, in informierter Weise und unmissverständlich erteilt werden.
Freiwillig erteilt: Die Einwilligung wird freiwillig erteilt, wenn die jeweilige Person die freie Wahl dazu hat, nicht unter Druck gesetzt wird, nicht gezwungen wird und nicht manipuliert wird, um die Einwilligung zu erteilen; außerdem darf die Person nicht bestraft oder benachteiligt werden, wenn sie die Einwilligung nicht gibt. Die Einwilligung darf keine Voraussetzung für den Zugriff auf einen Dienst oder ein Produkt sein, es sei denn, die Verarbeitung personenbezogener Daten ist erforderlich, damit dieser Dienst oder dieses Produkt funktionieren. Das Verfahren zum Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung der Einwilligung, sodass sich die Person ganz einfach wieder umentschieden kann.
Für einen bestimmten Zweck: Es liegt kein bestimmter Zweck vor, wenn eine Person einer vagen oder zu breiten Datenerfassung zustimmt. Eine für einen bestimmten Zweck erteilte Einwilligung bedeutet, dass die Nutzer jedem einzelnen Zweck zustimmen müssen, für den ihre personenbezogenen Daten erhoben und verarbeitet werden. Außerdem müssen sie Zugriff auf die Informationen zu jedem einzelnen Zweck haben, um diese Entscheidung zu treffen. Wenn beispielsweise ein Unternehmen die Daten einer Einzelperson für Werbe- und Analytics-Zwecke verarbeiten möchte, so muss eine gesonderte Einwilligung für jeden dieser Zwecke eingeholt werden. Wenn ein Unternehmen die Daten später für einen anderen Zweck nutzen möchte, muss eine neue, gesonderte Einwilligung eingeholt werden, die sich genau auf diese neue Verwendung bezieht.
In informierter Weise: Eine Einwilligung wird dann in informierter Weise eingeholt, wenn die Nutzer vor einer Entscheidung über alle relevanten Informationen verfügen. Dies umfasst das Wissen, welche Daten erfasst werden, für welche Zwecke die Daten verwendet werden und wer Zugriff auf diese Daten haben wird. Die Nutzer müssen ebenfalls über ihr Recht zum jederzeitigen Widerruf ihrer Einwilligung und die Folgen eines solchen Widerrufs informiert werden.
Unmissverständlich: Es sollte keinen Spielraum für Interpretationen geben: Die Einwilligung ist unmissverständlich, wenn der Nutzer der Datenverarbeitung klar zugestimmt hat. Üblicherweise ist dies der Fall, wenn der Nutzer eine Handlung vornimmt, wie das Aktivieren einer Checkbox oder das Anklicken eines Buttons mit der Bezeichnung „Ich stimme den Bedingungen zu“. Schweigen, Inaktivität, Scrollen oder vorausgewählte Felder stellen keine unmissverständliche Einwilligung dar.
Wenn die Einwilligung die vorstehenden Bedingungen erfüllt, ist sie eine eindeutige bestätigende Handlung gemäß dem Gesetz über digitale Märkte (DMA) und der DSGVO.
Inwiefern betrifft die Einholung einer ausdrücklichen Einwilligung die Unternehmen, die zentrale Plattformdienste nutzen?
Unternehmen, die personenbezogene Daten von Nutzern in der EU und/oder im EWR erheben und verarbeiten, müssen eine gültige und ausdrückliche Einwilligung der Nutzer einholen. Wenngleich sich die Verpflichtungen und Strafen nach dem DMA-Gesetz an Gatekeeper richten, dürfen die Unternehmen ihre eigenen Methoden der Datenerfassung nicht außer Acht lassen. Wird keine gültige Einwilligung eingeholt, so besteht nicht nur das Risiko, den Zugriff auf die zentralen Plattformdienste zu verlieren. Auch drohen in solch einem Fall Geldstrafen nach der DSGVO und anderen Gesetzen.
Beschränkungen bei der Zusammenführung von Daten für Profiling-Zwecke
Der Digital Markets Act (DMA) hat strenge Anforderungen, wenn es darum geht, Nutzerdaten zwischen den verschiedenen von Gatekeepern betriebenen Plattformen sowie zwischen den Gatekeeper-eigenen Plattformen und Plattformen Dritter zusammenzuführen.
Artikel 5 Absatz 2 des Digital Markets Act (DMA besagt ausdrücklich, dass es Gatekeepern untersagt ist:
- (a) personenbezogene Daten von Endnutzern für den Zweck von Online-Werbediensten zu verarbeiten, wenn diese Dienste Dritter nutzen, welche zentrale Plattformdienste des Gatekeepers in Anspruch nehmen,
- (b) personenbezogene Daten aus dem entsprechenden zentralen Plattformdienst mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Gatekeeper bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenzuführen,
- (c) personenbezogene Daten aus dem betreffenden zentralen Plattformdienst in anderen vom Gatekeeper getrennt bereitgestellten Diensten, einschließlich anderer zentraler Plattformdienste, weiterzuverwenden und umgekehrt, und
- (d) Endnutzer in anderen Diensten des Gatekeepers anzumelden, um personenbezogene Daten zusammenzuführen,
außer wenn dem Endnutzer die spezifische Wahl gegeben wurde und er gemäß der DSGVO eingewilligt hat.
Das Ziel hier ist es, zu verhindern, dass die Gatekeeper einen unfairen Vorteil erlangen, indem sie Nutzerdaten aus verschiedenen Quellen zusammenführen. Ein weiteres Ziel besteht darin, die Privatsphäre der Nutzer zu schützen.
Diese Bestimmung beschränkt die Fähigkeit der Gatekeeper und dritter Unternehmen, die Daten auf verschiedenen Plattformen zu nutzen, um Kundenprofile für gezielte Werbung zu erstellen. Bei Minderjährigen ist das Profiling gemäß der DSGVO bereits verboten.
Allerdings verbietet der Digital Markets Act (DMA) nicht das Profiling insgesamt, und die Gatekeeper müssen offen darlegen, wie sie das Nutzer-Profiling vornehmen. Sie müssen geprüfte Informationen darüber bereitstellen, welche Daten sie für das Profiling erheben, wie sie sie verarbeiten, wofür sie verwendet werden, wie lange sie gespeichert werden sowie welche Auswirkungen das Profiling auf die Dienste der Gatekeeper hat.
Wichtig anzumerken ist dabei, dass die Gatekeeper ebenfalls aufzeigen müssen, wie sie die Nutzer auf das Profiling aufmerksam machen und wie sie die Einwilligung von den Nutzern einholen. Außerdem müssen sie den Nutzern die Möglichkeit bieten, die Einwilligung in die Datenerfassung und -verwendung für Profiling-Zwecke zu verweigern oder zu widerrufen. Personenbezogene Daten von Nutzern, die die Einwilligung verweigern oder widerrufen, dürfen nicht für Profiling-Zwecke verwendet werden.
Inwiefern betreffen Beschränkungen bei der Zusammenführung von Daten für Profiling-Zwecke Unternehmen, die zentrale Plattformdienste nutzen?
Unternehmen dürfen Nutzerdaten von verschiedenen Plattformen ohne die ausdrückliche Einwilligung des jeweiligen Nutzers für die konkrete Art der Datenweitergabe nicht zu Profiling-Zwecken zusammenführen – auch nicht, wenn es sich bei diesen Plattformen um Dienste Dritter handelt.
Das bedeutet, dass die Unternehmen über geeignete Systeme verfügen müssen, damit die von verschiedenen Plattformen erfassten Daten getrennt bleiben. Im Wesentlichen schreibt das Gesetz über digitale Märkte (DMA) einen transparenteren und getrennten Datenmanagement-Ansatz für alle Beteiligten vor.
Der letztgenannte Punkt ist vor allem angesichts der DMA-Anforderungen zur Interoperabilität wichtig. Gatekeeper müssen es den Nutzern ermöglichen, zwischen verschiedenen Diensten zu wechseln, einfach auf ihre Daten zuzugreifen und sie zu übertragen und die Kompatibilität und Integration mit anderen Plattformen oder Diensten zu gewährleisten. Unternehmen und Advertiser mit Zugriff auf Nutzerdaten von verschiedenen Plattformen dürfen diese Daten nicht ohne eine gültige Einwilligung der Nutzer für Profiling-Zwecke verwenden.
Risiken bei Verstößen gegen das Gesetz über digitale Märkte (DMA)
Das Gesetz über digitale Märkte (DMA) reguliert die Gatekeeper, und es sind keine Geldstrafen für andere Unternehmen vorgesehen, die die Anforderungen des Gesetzes nicht erfüllen. Allerdings drohen den Unternehmen Konsequenzen, die die Nutzerdaten nicht in Übereinstimmung mit den Anforderungen verarbeiten.
Eine Nichteinhaltung kann dazu führen, dass der Zugriff auf die zentralen Plattformdienste eingeschränkt oder komplett entzogen wird. Wobei zu beachten ist, dass diese zentralen Plattformdienste oftmals wichtige Kanäle für Unternehmen sind, um mit potenziellen Kunden in Kontakt zu bleiben und um den Umsatz und die Werbeeinnahmen zu steigern. Unternehmen können ihren Zugriff auf die Daten und den Zugang zu ihrer Zielgruppe verlieren, was zu Umsatzeinbußen führen würde.
Eine weitere, aber gleichermaßen dringende Sorge ist die Rufschädigung. Wenn die Datenschutzregeln des DMA-Gesetzes nicht eingehalten werden, kann dies das Kundenvertrauen untergraben. Die Folgen können geringere Conversion Rates, Kundenabwanderung und Umsatzeinbußen sein.
So können sich Unternehmen auf das Gesetz über digitale Märkte (DMA) vorbereiten
Wenn Unternehmen den Digital Markets Act (DMA) verstehen und wissen, wie er sich auf den Betrieb und die angebotenen Dienstleistungen auswirkt, können sie ihre personellen und finanziellen Ressourcen entsprechend zur Einhaltung der Vorschriften einsetzen. Dadurch können die Unternehmen sowohl die Rechtssicherheit als auch ein möglichst großes Kundenvertrauen sicherstellen.
Bei der Vorbereitung auf den Digital Markets Act (DMA) müssen Unternehmen sicherstellen, dass die Einwilligung der Nutzer gemäß der DSGVO und der ePrivacy-Richtlinie erhoben wird und dass die Präferenzen der Nutzer an Websites oder Apps signalisiert werden.
Einholung einer gültigen Nutzereinwilligung mit einer Consent Management Platform
Voraussetzung für eine gültige Nutzereinwilligung ist eine eindeutige, einfach abrufbare Datenschutzrichtlinie, in der erläutert wird, welche Daten erfasst werden, wie die Daten verwendet werden und wer auf sie zugreifen kann.
Consent-Banner müssen zudem einen leicht verständlichen Wortlaut haben und Auskunft darüber geben, welche Daten für welchen Zweck erfasst werden. Diese Banner müssen auf eine freiwillige Einwilligung (Opt-in) ausgerichtet sein, die nicht durch Manipulation oder irreführende Formulierungen zustande kommt.
Unternehmen, die einen optimierten Ansatz für die Verwaltung dieser Einwilligungsanforderungen suchen, können auf eine Consent Management Platform (CMP) wie die Usercentrics CMP zurückgreifen. Usercentrics ist ein Google Consent Mode zertifizierter CMP-Partner, und die CMP unterstützt Unternehmen dabei, gültige Nutzereinwilligungen einzuholen und zu dokumentieren, um die gesetzlichen Anforderungen zu erfüllen. Dadurch können Unternehmen die Gesetze besser einhalten, Geldstrafen vermeiden und das Kundenvertrauen aufrechterhalten. Die Usercentrics CMP lässt sich in viele gängige Content Management-Systeme integrieren und vereinfacht so das Setup.
Möchten Sie eine CMP nutzen, um sich auf den Digital Markets Act (DMA) vorzubereiten? Starten Sie Ihre kostenlose 30-tägige Testversion für die Usercentrics CMP.
Durchführung regelmäßiger Datenschutz-Audits und Compliance-Kontrollen
Ein systematischer Zeitplan für interne Audits hilft bei der Einhaltung der sich weiterentwickelnden DMA- und anderer einschlägiger Vorschriften. Der Schwerpunkt dieser Audits sollte auf den Datenschutz-Folgenabschätzungen liegen, um genau bewerten zu können, wie die Nutzerdaten im Rahmen des Gesetzes über digitale Märkte (DMA) verarbeitet, gespeichert und weitergegeben werden.
Gleichermaßen wichtig ist die Bewertung der Datenpraktiken externer Partner und Lieferanten. Wenn diese mit Daten aus einer Plattform des Unternehmens arbeiten, müssen deren Verarbeitungsrichtlinien ebenfalls auf die Gesetze abgestimmt sein. Ein Versäumnis seitens der Unternehmen kann Auswirkungen auf die Geschäftsbeziehung sowie mögliche rechtliche Konsequenzen haben. Viele Datenschutzgesetze schreiben vor, dass Verträge mit Dritten, die Daten verarbeiten, Pflichten zur Datenauskunft, zum Datenschutz und zur Datenverwendung enthalten müssen.
Umstellung auf Permission Marketing
Unternehmen müssen ihre bestehenden Marketingstrategien aufgrund der strengen Anforderungen des Digital Markets Act (DMA) zum Nutzer-Profiling und zu Beschränkungen beim Retargeting erneut überprüfen. Anstatt auf das Targeting basierend auf zusammengeführten Nutzerdaten zu setzen, sollten Unternehmen auf Permission Marketing setzen und andere Strategien erkunden, wie zum Beispiel Contextual Advertising.
Diese Umstellung vom nutzerspezifischen Targeting auf Kontext entspricht mehr der DMA-Anforderung zur Einholung einer ausdrücklichen Nutzereinwilligung für die Datennutzung. Außerdem bietet es Unternehmen eine Möglichkeit, um wirksame Werbestrategien ohne Gefährdung des Nutzervertrauens aufrechtzuerhalten. Permission Marketing schützt die Privatsphäre der Nutzer und ermöglicht eine transparentere Interaktion zwischen dem Unternehmen und dem Verbraucher. Dies wiederum kann zu soliden und vertrauensvollen Markenbeziehungen führen.
Aufbau eines soliden Datenmanagement-Ansatzes
Unternehmen, die Nutzerdaten auf verschiedenen Plattformen erfassen, sollten Datenmanagement-Strategien priorisieren, die die Privatsphäre der Nutzer schützen und die verschiedenen Gesetze einhalten. Jeder Schritt des Datenlebenszyklus – Erfassung, Speicherung, Verwendung und Löschung – muss geprüft werden, um sicherzustellen, dass die personenbezogenen Daten geschützt sind und nicht unnötigerweise an Dritte oder andere unbefugte Personen oder Unternehmen weitergegeben werden. Unternehmen müssen ebenfalls sicherstellen, dass Daten von verschiedenen Plattformen nicht zu Profiling-Zwecken oder für gezielte Werbung zusammengeführt werden.
Vorteile, die sich durch die Ausrichtung auf das Gesetz über digitale Märkte (DMA) innerhalb des Unternehmens ergeben
Das Einvernehmen im Unternehmen über die Vorbereitung auf das Gesetz über digitale Märkte (DMA) ist ein kraftvolles Instrument, um das DMA-Gesetz zu einem Teil des geschäftlichen Alltags zu machen und das Risiko von Verstößen gegen seine Anforderungen zu verringern.
Abteilungen mit Kontakt zur Öffentlichkeit, wie Marketing, Sales und Customer Success, die eine einheitliche Botschaft hinsichtlich der Ausrichtung mit dem Gesetz über digitale Märkte (DMA) vermitteln, stärken die Verpflichtung des Unternehmens zur Wahrung der Privatsphäre der Nutzer, zu ethischen Praktiken und zur Einhaltung der Vorschriften.
Um dies zu erreichen, benötigen die internen Teams ein umfassendes Training. Nur so können sie verstehen, wie die DMA-Vorschriften eingehalten werden können, und haben DMA-spezifische Argumente für Treffen mit Kunden und Verkaufspräsentationen parat.
