Datenschutzkonformität im digitalen Zeitalter: Auswirkungen des DMA-Gesetzes auf Ihr Online-Erlebnis

Wir generieren jeden Tag über 300 Millionen Terabyte an Daten. Die Menge der global generierten Daten stieg 2023 um 23,27% – und ein ähnlicher Anstieg wird für 2024 und 2025 erwartet.

Viele dieser Daten werden von uns und über uns sowie unsere Online-Aktivitäten generiert. Die Nutzer fordern immer mehr Transparenz darüber, wie Unternehmen diese Daten erheben, weitergeben und verwenden. Eine Umfrage unter 17.000 Verbrauchern weltweit kam zu folgenden Ergebnissen:

• 74% der Unternehmen erfassen mehr personenbezogene Daten, als sie benötigen
• 64% glauben, dass die meisten Unternehmen nicht transparent darüber kommunizieren, wie sie personenbezogene Daten verwenden
• 79% vertrauen einem Unternehmen eher, wenn es eindeutig Auskunft darüber gibt, wie es die erfassten Daten verwendet

Die grenzenlose Erfassung von Daten öffnet Tür und Tor für potenzielle Datenschutzverstöße und hat dazu geführt, dass zum Schutz der Verbraucher weltweit Datenschutzgesetze erlassen wurden.

Eines dieser Gesetze ist der Digital Markets Act bzw. das Gesetz über digitale Märkte (DMA), das am 1. November 2022 in Kraft trat. Der Hauptzweck des Gesetzes über digitale Märkte (DMA) liegt darin, große Online-Plattformen zu regulieren und Probleme im Zusammenhang mit Wettbewerb, Verbraucherschutz und Datenschutz im digitalen Sektor anzugehen.

In diesem Artikel untersuchen wir, wie die Datenschutz- und Compliance-Anforderungen des DMA-Gesetzes das Online-Erlebnis der Nutzer beeinflussen kann. Außerdem sehen wir uns die Maßnahmen an, die Nutzer treffen können, um ihre personenbezogenen Daten weiter zu schützen.

Das Gesetz über digitale Märkte (DMA) ist ein Regulierungsrahmen, der den als „Gatekeeper“ benannten großen Tech-Unternehmen strengere Regeln auferlegt. Dadurch soll ein faires und wettbewerbsorientiertes digitales Umfeld gefördert werden und es sollen unfaire Praktiken dieser Gatekeeper eingedämmt werden, um die Rechte und Interessen kleiner Unternehmen und der Verbraucher im Internet zu schützen.

Der Digital Markets Act (DMA) betrifft die Nutzer in der Europäische Union (EU) und im Europäischen Wirtschaftsraum (EWR) sowie Unternehmen, die auf Nutzer in diesen Regionen ausgerichtet sind.

Die benannten Gatekeeper im Rahmen sind folgende Unternehmen:

• Alphabet (Google, YouTube, Android)
• Amazon
• Apple (iOS, App Store)
• ByteDance (TikTok)
• Meta (Facebook, Instagram, WhatsApp)
• Microsoft (LinkedIn, Windows PC OS)

Die Europäische Kommission hat zudem 22 sogenannte „zentrale Plattformdienste“ bzw. Core Platform Services (CPS) bestimmt, deren Eigentümer Gatekeeper sind, die von Gatekeepern betrieben werden und die vom Digital Markets Act (DMA) ebenfalls betroffen sind. Zu diesen zentralen Plattformdiensten zählen Mediennetzwerke, Suchmaschinen, Browser, Betriebssysteme und Messaging-Dienste mit Millionen oder Milliarden von Nutzern.

Weitere Unternehmen können im Laufe der Zeit als Gatekeeper benannt werden, und weitere digitale Dienste können in die Liste der CPS aufgenommen werden.

Ein Großteil der Tätigkeiten, denen die Menschen jeden Tag online nachgehen, entfallen auf die zentralen Plattformdienste. Daher generieren sie Daten, die von diesen Unternehmen verarbeitet werden. Die meisten Menschen wissen nicht, wie viele der von ihnen generierten Daten oder welche Arten von Daten von diesen Unternehmen erfasst und verwendet werden.

Onlinewerbung

Social-Media-Plattformen erwirtschaften Umsätze in Höhe mehrerer Milliarden US-Dollar durch Onlinewerbung. Das Gesetz über digitale Märkte (DMA) verpflichtet nun diesen Plattformen dazu, die ausdrückliche Einwilligung von Nutzern aus der EU einzuholen, um personenbezogene Daten zur Verwendung in Onlinewerbung verarbeiten zu können.

Das bedeutet, dass Plattformen über verständlichere und benutzerfreundlichere Einwilligungsmechanismen verfügen müssen und ihre Datenverarbeitungspraktiken transparent darlegen müssen. Außerdem müssen die Nutzer darüber informiert werden, dass sie ihre Einwilligung verweigern und widerrufen können, und welche Auswirkungen dies auf ihre Nutzung der Plattform haben würde.

Dadurch behalten die Nutzer die Kontrolle über ihre Daten und können informierte Entscheidungen darüber treffen, ob sie in die Erfassung und Nutzung ihrer Daten einwilligen. Beispielsweise können die Nutzer zustimmen, gezielte Werbung basierend auf ihren Daten oder ansonsten für sie irrelevante Werbung zu erhalten.

Zusammenführung personenbezogener Daten

Viele Gatekeeper haben mehrere zentrale Plattformen, die dem Gesetz über digitale Märkte (DMA) unterliegen, und die Nutzer könnten mehrere davon verwenden. Das DMA-Gesetz verbietet Gatekeepern das Zusammenführen personenbezogener Daten, die auf einer Plattform erhoben wurden, mit personenbezogenen Daten, die auf einer anderen Plattform erhoben wurden. Dieses Verbot gilt ebenfalls für personenbezogene Daten, die über einen anderen Dienst erhoben wurden, der von diesen Plattformen bereitgestellt wird oder von Dritten, mit denen diese Plattformen eine Geschäftsbeziehung unterhalten.

Dies bedeutet beispielsweise, dass Meta als Eigentümer von Facebook, Instagram und WhatsApp (alle zentralen Plattformdienste unterliegen dem Gesetz über digitale Märkte) keine personenbezogenen Daten von einem Nutzer zusammenführen darf, der zwei oder alle drei Plattformen verwendet, wie es beim Profiling möglich wäre.

Wechsel von Plattformen

Das DMA-Gesetz schreibt den Gatekeepern vor, die Datenübertragbarkeit zu ermöglichen, die nach zahlreichen Datenschutzgesetzen ein Recht ist. Wenn ein Nutzer zu einer anderen Social-Media-Plattform wechseln möchte, kann er seine personenbezogenen Daten in einem brauchbaren Format anfordern und sie ohne Nachteile auf die andere Plattform übertragen lassen. Dabei kann der Nutzer den für ihn am geeignetsten Dienstleister frei wählen.

Fairer Wettbewerb

Google Search ist die einzige Online-Suchmaschine, die derzeit gemäß dem Gesetz über digitale Märkte (DMA) als zentraler Plattformdienst benannt ist. Es könnten sich aufgrund der Änderungen, die Google vornehmen muss, auch für die Nutzer wesentliche Änderungen ergeben.

Eine wesentliche Änderung könnten die Ergebnisse von Google Search in den Rankings sein. Der Digital Markets Act (DMA) verbietet es den Gatekeepern, den eigenen Diensten vor denen anderer Anbieter Vorrang zu geben. Das bedeutet, dass Google seine eigenen Produkte in den Such-Rankings nicht standardmäßig priorisieren darf – beispielsweise Google Analytics gegenüber anderen Analytics-Plattformen bei der Anzeige der Ergebnisse bei einer Produktsuche.

Wechsel von Suchmaschinen

Genauso wie die Nutzer sozialer Medien zwischen den Plattformen einfach wechseln können, ist auch ein Wechsel zu einer anderen Suchmaschine möglich. Gemäß den im Digital Markets Act (DMA) enthaltenen Anforderungen zur Datenübertragbarkeit muss Google den Nutzern die Möglichkeit geben, ihre Daten von Google Search zu einer anderen Suchmaschine zu übertragen. Beispiel: Der Suchverlauf eines Nutzers oder seine Einstellungen bei Google Search könnten auf eine andere Suchmaschine wie Bing oder DuckDuckGo übertragen werden, um die Kontinuität des Nutzererlebnisses zu gewährleisten.

Ausdrückliche Einwilligung

Gatekeeper müssen die ausdrückliche Einwilligung von den Nutzern auf allen Websites und Plattformen einholen, auf denen Werbung angezeigt wird. Dabei ist es unerheblich, ob es sich um die eigenen Plattformen der Gatekeeper oder um die von Drittanbietern handelt. In Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) schreibt das Gesetz über digitale Märkte (DMA) vor, dass eine Einwilligung nicht durch vorab ausgewählte Checkboxen oder Inaktivität angenommen werden kann. Gatekeeper – und die Unternehmen, die ihre Dienste zu Werbezwecken nutzen – müssen den Nutzern eine eindeutige Wahlmöglichkeit anbieten. Dies geschieht in der Regel über ein Consent-Banner, mit dem um die Erlaubnis zur Erfassung bestimmter Arten von Daten gebeten wird. Zudem gibt es neue Beschränkungen werbungsbezogener Funktionen, wie Profiling und Retargeting.

 Transparenz

Transparenz geht Hand in Hand mit der ausdrücklichen Einwilligung einher, da die Nutzer wissen müssen, worin sie einwilligen und welche Wahlmöglichkeiten sie haben. Anstatt diese Informationen in ellenlangen Geschäftsbedingungen zu verbergen, müssen nun leicht verständliche und einfach abzurufende Datenschutz- und Cookie-Richtlinien Auskunft darüber geben. Dadurch kann besser sichergestellt werden, dass die Nutzer nicht nur blind auf „Zustimmen“ klicken, sondern eine informierte Entscheidung über ihre Daten treffen.

Zusammenführung personenbezogener Daten

Des Weiteren versucht das DMA-Gesetz die Privatsphäre der Nutzer zu stärken, indem die Weitergabe und Nutzung der Daten durch zentrale Plattformdienste beschränkt werden. Wenn bisher jemand auf Facebook eine verbundene Seite zu „Home Gyms“ gelikt hat, wurde schon kurz darauf Werbung für Fitnessgeräte auf Instagram eingeblendet. Laut den DMA-Bestimmungen kann Meta – als Eigentümer von Facebook und Instagram – keine Daten mehr ohne die ausdrückliche Einwilligung des Nutzers frei zwischen zwei Plattformen weitergeben, um Werbung zu schalten.

Durch das Liken einer Seite über Gesundheit und Wellness auf Facebook wird künftig keine Flut mehr an Proteinshake-Werbung auf Instagram ausgelöst, es sei denn, der Nutzer hat dem zugestimmt. Dadurch werden unerwartete und ungewollte personalisierte Werbeanzeigen verringert, da die Nutzer mehr Einfluss darauf haben, wie ihre Daten verwendet werden.

Datenerfassung

Browser können verschiedene Daten von Nutzern erfassen, darunter das Betriebssystem, die IP-Adresse, den Verlauf der Online-Aktivitäten, Autofill-Daten, den Downloadverlauf und Passwörter.

Einen Schwerpunkt des DMA-Gesetzes bildet der Datenschutz. Das bedeutet, dass Chrome und Safari – die zwei als zentrale Plattformdienste bestimmten Browser – die Privatsphäre ihrer EU-Nutzer stärken müssen. Vor der Erfassung personenbezogener Daten müssen die Nutzer darüber informiert werden und in die Erfassung ausdrücklich einwilligen.

Fairer Wettbewerb

Eine der Kernanforderungen des Digital Markets Act (DMA) besteht darin, dass die Gatekeeper einen fairen Wettbewerb ermöglichen müssen. Für Webbrowser wie Chrome und Safari bedeutet dies, dass eine Gleichbehandlung aller Websites und browserbasierten Dienste gewährleistet werden muss.

Plug-ins oder Erweiterungen

Laut dem Digital Markets Act (DMA) müssen Gatekeeper die Interoperabilität mit den Diensten Dritter sicherstellen. Dies könnte Chrome und Safari dazu zwingen, ihre Systeme zu ändern, sodass eine größere nahtlose Integration mit Apps oder Erweiterungen Dritter möglich ist.

App-Stores von Drittanbietern

Ziel des Gesetzes über digitale Märkte (DMA) ist es, den fairen Wettbewerb zu fördern und Bedenken über monopolistische Praktiken auszuräumen. Derzeit haben Plattformen wie iOS von Apple eine strikte Kontrolle über die App-Distribution, wobei der App Store der einzige Kanal ist, über den die Nutzer Apps herunterladen können. Android-Nutzer können Apps über dritte Kanäle (zusätzlich zum Google Play Store) durch einen als „Sideloading“ bezeichneten Prozess installieren. Allerdings ist dies mit Sicherheitsbedenken verbunden und kann die Geräte der Nutzer angreifbar machen.

Das DMA-Gesetz könnte jedoch zu Änderungen führen, wodurch alternative App-Stores ermöglicht würden, sodass die Entwickler und Nutzer mehr und sicherere Wahlmöglichkeiten hätten. Dadurch könnte die Dominanz bestimmter Plattformen gebrochen werden und es könnte ein wettbewerbsfähigerer App-Markt entstehen. Zwar müssen die konkreten Details und Bestimmungen für dritte App-Stores im Rahmen des DMA-Gesetzes erst noch festgelegt werden. Allerdings signalisiert das Gesetz eine Verschiebung hin zu einem offeneren und wettbewerbsfähigeren App-Ökosystem auf dem europäischen Markt.

Vorinstallierte Apps und Einstellungen

Der Digital Markets Act (DMA) nimmt die vorinstallierten Apps und Standardeinstellungen ins Visier, die den Betriebssystemen lange einen Heimvorteil verschafft haben. In der Regel weisen diese Systeme von Anfang an bereits zahlreiche ausgewählte Apps auf, und die Einstellungen führen dazu, dass die Nutzer tendenziell die eigenen Produkte und Dienste des Betriebssystems verwenden. Einige Apps können nicht durch die Nutzer von den Endgeräten gelöscht werden.

Der Digital Markets Act (DMA) erleichtert es den Nutzern, ungewollte vorinstallierte Apps zu deinstallieren und die Standardeinstellungen zu ändern, die sie zu bestimmten Diensten leiten. Beispielsweise können die Nutzer Apple Maps ohne Probleme gegen Google Maps austauschen. Der Digital Markets Act (DMA) führt einen „Auswahlbildschirm“ für zentrale Dienste ein, wodurch die Nutzer ihre bevorzugten Apps während der Einrichtung auswählen können.

Plattformübergreifendes Messaging

Um Monopolen entgegenzuwirken, den Wettbewerb zu fördern und den Nutzern mehr Wahlmöglichkeiten zu geben, schreibt das Gesetz über digitale Märkte (DMA) den Gatekeepern vor, die Interoperabilität mit Diensten von Drittanbietern sicherzustellen. Dies bedeutet, dass die von Dritten betriebenen Dienste mit den zentralen Plattformen der Gatekeeper kommunizieren und sich in diese integrieren können sollten.

Die Interoperabilitätsanforderung hat weitreichende Folgen für Messaging-Apps wie WhatsApp und Messenger, die laut dem Gesetz über digitale Märkte (DMA) zentrale Plattformdienste sind. Verbraucher, die Messaging-Dienste wie Signal oder Telegram verwenden, können dann mit Nutzern auf WhatsApp oder Messenger chatten, ohne Konten auf diesen Plattformen einrichten zu müssen, und umgekehrt.

WhatsApp und Messenger gehören beide zu Meta Platforms, Inc., das offenbar bereits an der Umsetzung dieser Anforderung arbeitet. Im September 2023 wurde eine noch nicht operative Funktion mit der Bezeichnung „Third-Party-Chats“ in der Entwicklungsversion von WhatsApp entdeckt. Allerdings hat diese DMA-Anforderung zu einer Debatte darüber geführt, dass dies Auswirkungen auf die Ende-zu-Ende-Verschlüsselung von WhatsApp haben könnte, bei der es sich um ein Markenzeichen der Sicherheitsmaßnahmen der App handelt.

Das Ziel des Digital Markets Act (DMA) ist es, die Sicherheit personenbezogener Daten und die Privatsphäre der Nutzer zu wahren. Dennoch ist es immer eine gute Idee, als Nutzer selbst die Kontrolle über die eigenen Daten zu übernehmen und Vorkehrungen zu deren Schutz zu treffen.

Durch den Digital Markets Act (DMA) dürfen die Plattformen die Daten der Nutzer nur für bestimmte Zwecke und bei Vorliegen Ihrer Einwilligung verarbeiten. Nutzer, die ihre Einwilligung nur selektiv erteilen, verringern ihren digitalen Fußabdruck und somit auch das Risiko für eine missbräuchliche Verwendung der Daten.

Bevor Nutzer auf „Ich stimme zu“ oder „Zulassen“ in Geschäftsbedingungen oder auf Consent-Banner klicken, sollten sie sich sorgfältig durchlesen, in was sie genau einwilligen. Wenn eine Website keine Auskunft darüber gibt, welche Technologien zur Erfassung der Daten eingesetzt werden, wie die Daten verwendet werden und wer Zugriff auf die Daten haben wird oder wenn sie keine detaillierte Einwilligung ermöglicht, so ist sie nicht DMA-konform.

Plattformen können im Laufe der Zeit neue Features oder Dienste einführen, für die weitere Daten erhoben werden müssen. Gemäß vielen Datenschutzgesetzen muss von den Nutzern erneut die Einwilligung eingeholt werden, wenn sich die Bestimmungen der Datenerfassung und -verwendung ändern, damit der Nutzer nur das preisgibt, was er auch preisgeben möchte.

Nutzer können auch eine regelmäßige Überprüfung der Datenschutzeinstellungen der am häufigsten verwendeten Websites oder Plattformen terminieren. Dabei sollten die Berechtigungen widerrufen werden, die der Nutzer nicht mehr nutzt oder nicht mehr wünscht.

Dadurch, dass die Nutzer ihre Daten übertragen können, bleiben die Plattformen wettbewerbsfähig. Findet ein Nutzer einen Dienst, der seinen Bedürfnissen besser entspricht, günstiger ist oder dessen Datenschutzpraktiken er besser findet, kann er ganz einfach wechseln, ohne seine Daten zu verlieren oder mit Nachteilen konfrontiert zu werden.

Ein solcher Wechsel kann über das Feature „Daten exportieren“ oder ein ähnliches Feature innerhalb der Einstellungen des Kontos vorgenommen werden. DMA- und DSGVO-konforme Plattformen müssen diese Option anbieten. Sobald die Daten exportiert wurden, können sie auf dem gewünschten anderen Dienst wieder hochgeladen werden, sofern dieser ebenfalls die Option der Datenübertragbarkeit anbietet.

Nutzer können personalisierte Dienste in Anspruch nehmen, die auf ihre konkreten Bedürfnisse und Präferenzen ausgerichtet sind. Indem sich Nutzer für einen maßgeschneiderten Dienst entscheiden, erhalten sie die Vorteile der Anpassungsmöglichkeiten, ohne Abstriche beim Datenschutz machen zu müssen.

Dazu ist bei der Registrierung oder der Anpassung der Kontoeinstellungen anzugeben, ob die Personalisierung aktiviert oder deaktiviert werden soll. Einige Plattformen können einen einfachen Schalter bereitstellen, mit dem zwischen „Personalisiert“ und „Standard“ gewählt werden kann. Die Nutzer können damit die Option auswählen, die für sie am geeignetsten in puncto Datenerfassung ist.

Die Verbraucher von heute sind bewusster als jemals zuvor und auf den Schutz ihrer Daten bedacht. Bei der Einrichtung oder Aktualisierung der Datenverarbeitungsvorgänge oder des Consent Managements muss beachtet werden, dass die Nutzer heute mehr darauf achten, in was sie einwilligen und welche Berechtigungen sie erteilen sollen. Sie lassen sich nicht mehr so sehr darauf ein, wenn sie nicht die gewünschten Plattformen oder Dienste zu den gewünschten Zeiten nutzen können. Außerdem hinterfragen sie eher, welche Vorteile sie davon haben, wenn sie „personalisiertere“ Dienste zulassen.