Wenn sich der Staub legt: Verbleibende Fragen zum Datenschutz vs. Nutzen im Rahmen des DMA

Im März 2024 veranstaltete die Europäische Kommission eine Reihe von Workshops, um Interessenvertretern die Möglichkeit zu geben, Fragen zu den Compliance-Lösungen der Gatekeeper im Hinblick auf die verschiedenen Verpflichtungen des Digital Markets Act (DMA) zu stellen. [1]. Die Interaktionen während der Workshops zeigten, dass die Umsetzung ein iterativer Prozess sein muss und dass die Kommission und andere Akteure noch Fragen zu den Datenportabilitätspflichten der DMAs gemäß Artikel 6(9), 6(10) und 6(11) DMA beantworten müssen .

Eines der Ziele des DMA besteht darin, die Übertragung von Daten von Gatekeeper-Plattformen und -Diensten an Dritte durch eine Reihe von Datenfreigabepflichten im Business-to-Business- (B2B) und Business-to-Consumer-Kontext (B2C) zu erleichtern. Wie der Europäische Datenschutzbeauftragte (EDSB) in seiner DMA-Stellungnahme betonte [2], Ein solcher Datenaustausch umfasst zwangsläufig auch personenbezogene Daten, die der Endnutzer beispielsweise über Suchanfragen bereitstellt, wenn die Person im Rahmen ihrer Suche personenbezogene Daten eingibt, oder Daten, die der Endnutzer durch die Nutzung des jeweiligen zentralen Plattformdienstes des Gatekeepers generiert hat. Die Verarbeitung personenbezogener Daten in der EU wird durch die DSGVO geregelt. Dies wirft in diesem Zusammenhang konkrete Fragen zum Zusammenspiel von DSGVO und DMA auf.

Der Europäische Datenschutzausschuss (EDPB) hat die Auswirkungen des DMA als Teil des neuen digitalen Rahmens erkannt. Die EDPB-Strategie 2024–2027 umfasst eine stärkere Zusammenarbeit mit anderen digitalen Regulierungsbehörden und eine aktive Rolle in der hochrangigen DMA-Gruppe als einen wichtigen Aktionspunkt [3]. Es ist klar, dass ein wirksamer Datenschutz als Grundrecht nicht durch Entscheidungen beeinträchtigt werden sollte, die zur Verbesserung der Anfechtbarkeit oder der Fairness im Markt getroffen werden. Umgekehrt sollte die DSGVO aber auch nicht so ausgelegt werden, dass wirksamer Wettbewerb und Wirtschaftswachstum, wie es die Digitalstrategie der Kommission vorsieht, unnötig beeinträchtigt werden. Das Versäumnis, einen kohärenten Ansatz zwischen den zuständigen Regulierungsbehörden zu verfolgen, würde zweifellos zu Rechtsunsicherheit im Zusammenhang mit der Umsetzung der Datenportabilität führen und möglicherweise ihr volles Potenzial untergraben.

Dies führt bei der Umsetzung des DMA zu einer Frage: Wie kann das richtige Gleichgewicht zwischen Datenschutz und Wettbewerb gefunden werden? Erwägungsgrund 61 des DMA, der Artikel 6 Absatz 11 des DMA entspricht, versucht hier Abhilfe zu schaffen.

Artikel 6 Absatz 11 verpflichtet Gatekeeper, Ranking-, Abfrage-, Klick- und Anzeigedaten von Online-Suchmaschinen mit Drittanbietern von Suchmaschinen zu FRAND-Bedingungen zu teilen [4]. Jeder, der schon einmal eine Suchmaschine verwendet hat, weiß, dass bei jeder Suchanfrage große Mengen persönlicher oder sogar sensibler Daten enthalten sein können [5]. Auch Artikel 6 Absatz 11 DMA erkennt dies an und verlangt, dass in den Datensätzen enthaltene personenbezogene Daten vor der Weitergabe anonymisiert werden. Erwägungsgrund 61 führt dies weiter aus und stellt klar, dass Gatekeeper: „sollte den Schutz personenbezogener Daten von Endnutzern, auch vor möglichen Risiken einer erneuten Identifizierung, durch geeignete Mittel, wie etwa die Anonymisierung dieser personenbezogenen Daten, gewährleisten“. Erwägungsgrund 61 fügt jedoch eine weitere Anforderung hinzu, nämlich dass diese Maßnahmen angewendet werden sollten, ohne „die Qualität oder Nützlichkeit der Daten erheblich beeinträchtigen“.

Dies wirft zwei Fragen auf: Zum einen Was sind „angemessene Mittel“ gemäß Erwägungsgrund 61 des DMA?und zweitens, Was ist das richtige Gleichgewicht zwischen dem Schutz personenbezogener Daten und dem Nutzen der Daten für die Zwecke des DMA oder anders ausgedrückt: Was ist der minimal nutzbare Datenpunkt, bis der Nutzen für die Zwecke des DMA verloren geht?

Während sich Artikel 6 Absatz 11 DMA nur auf die Anonymisierung bezieht, scheint Erwägungsgrund 61 die Anonymisierung als Beispiel für solche „geeigneten Mittel“ („wie“) zu betrachten. Der Rest von Erwägungsgrund 61 greift jedoch die Formulierung von Erwägungsgrund 26 DSGVO auf, was eine engere Auslegung des Begriffs „Anonymisierung“ implizieren würde. Die DSGVO bietet keine genauere Definition von „anonym“, aber in der Vergangenheit legte die Auslegung durch Datenschutzbehörden (DPAs) eine extrem hohe Messlatte für die Anonymisierung fest, einschließlich der Festlegung der Löschung des Originaldatensatzes als Bedingung für die Bereitstellung des Datensatzes (unwiderruflich) anonym [6]. In einer neueren Stellungnahme haben die spanische AEPD und der EDSB ein gemeinsames Papier herausgegeben, um das Verständnis der Datenschutzbehörde für ordnungsgemäß anonymisierte Daten weiter zu klären. Das Papier betont, dass aus datenschutzrechtlicher Sicht eine 100-prozentige Anonymisierung im engeren Sinne angestrebt wird, räumt jedoch ein, dass dies möglicherweise nicht immer möglich sei [7]. Die Schlussfolgerung, zu der die AEPD und der EDSB in einem solchen Fall kommen, obliegt dem für die Verarbeitung Verantwortlichen.die Wahl zwischen der Verarbeitung personenbezogener Daten (und Nutzung, z. B. Pseudonymisierung) und der Anwendung der DSGVO oder der Nichtverarbeitung der Daten „ [8].

Im Rahmen des Art. 6 Abs. 11 DMA dürfte dies jedoch keine Option sein. Der Gatekeeper ist verpflichtet, den Datensatz anonymisiert bereitzustellen, sofern er personenbezogene Daten enthält, aber auch „ohne die Qualität oder Nützlichkeit der Daten wesentlich zu beeinträchtigen.“ für die Zwecke des DMA. Das gemeinsame Papier von AEPD und EDPS akzeptiert, dass es Fälle gibt, in denen das Gleichgewicht zwischen Nutzen und Neuidentifizierung möglicherweise nicht gefunden wird, beispielsweise wenn die Gesamtzahl der Personen in einem Datensatz zu begrenzt ist [9]. Im Zusammenhang mit Suchdaten kann dies der Fall sein, wenn eine Abfrage beispielsweise in einer seltenen Sprache durchgeführt wird (z. B. Litauisch) oder im Kontext eines kleinen Landes (URLs sind oft länderspezifisch), wo die Möglichkeit einer re -Die Identifizierung von Personen ist deutlich höher [10]. Dies kann durch die Art der eingegebenen Suchanfragen oder anderes Benutzerverhalten verstärkt werden.

Darüber hinaus hätten Drittempfänger der portierten Daten die Möglichkeit, die gemäß Artikel 6 Absatz 11 DMA erhaltenen Datensätze mit vorhandenen Datensätzen zu kombinieren, was die Möglichkeit einer erneuten Identifizierung trotz aller Bemühungen des Gatekeepers erhöht [11].

Das richtige Gleichgewicht zwischen den Zielen der DMA-Datenfreigabepflicht und dem vom DMA geforderten Schutz personenbezogener Daten muss fallspezifisch und kontextorientiert sein. Im Vergleich, Erwägungsgrund 64 des Das Datenschutzgesetz legt im Zusammenhang mit der B2G-Datenfreigabe Folgendes fest: „Die Der Dateninhaber sollte angemessene Anstrengungen unternehmen, um die Daten zu anonymisieren, oder, wenn sich eine solche Anonymisierung als unmöglich erweist, sollte der Dateninhaber vor der Bereitstellung der Daten technische Mittel wie Pseudonymisierung und Aggregation anwenden.“ Dies deutet darauf hin, dass der Standard zumindest im Kontext des Datenschutzgesetzes einen „angemessenen Aufwand“ darstellt, wenn es um die Anonymisierung geht und Technologien zur Verbesserung der Privatsphäre wie der differenzielle Datenschutz in Betracht gezogen werden könnten. Das Gleiche sollte bei der Antragstellung nach dem DMA berücksichtigt werden.

Für eine kohärente Umsetzung und die Vermeidung von Fragmentierung ist ein konsistenter Umgang mit sich überschneidenden Rechtskonzepten im DMA, DA und der DSGVO von entscheidender Bedeutung. Es erfordert einen einheitlichen Ansatz und eine einheitliche Zusammenarbeit der zuständigen Aufsichtsbehörden sowie möglicherweise mehr Leitlinien, die möglicherweise gemeinsam von den zuständigen Regulierungsbehörden herausgegeben werden.

Verweise:

1. Verordnung (EU) 2022/1925.
2. Europäischer Datenschutzbeauftragter, Stellungnahme 2/2021 zum Vorschlag für ein Gesetz über digitale Märkte, Abs. 32, S. 12, erhältlich unter https://www.edps.europa.eu/system/files/2021-02/21-02-10-opinion_on_digital_markets_act_en.pdf.
3. Strategie des Europäischen Datenschutzausschusses 2024–2027, Säule 3, S. 4, erhältlich unter https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_en.
4. FRAND steht für fair, vernünftig und nichtdiskriminierend.
5. Die Suche kann medizinische Bedingungen wie bestimmte Symptome, Krankheiten, Behandlungen oder Medikamente umfassen; Fragen zu Nebenwirkungen verschreibungspflichtiger Medikamente; finanzielle Bedenken wie Schulden, Insolvenz, Kreditaufnahme oder ungewöhnliche Ausgabemuster; Suchanfragen im Zusammenhang mit bestimmten Gesetzen, kriminellen Aktivitäten, Klagen und („Wofür wird die Strafe verhängt“) [crime]”); Suchanfragen im Zusammenhang mit sexuellen Vorlieben usw.
6. Stellungnahme der Artikel-29-Datenschutzgruppe 05/2014. Die Stellungnahme wurde gemäß der Richtlinie 95/46/EG veröffentlicht.
7. Gemeinsames Papier der AEPD und des EDSB zu 10 Missverständnissen im Zusammenhang mit der Anonymisierung, Missverständnis Nr. 5: „Der Ausdruck „anonyme Daten“ kann nicht so verstanden werden, als ob Datensätze einfach als anonym oder nicht anonym gekennzeichnet werden könnten. Die Wahrscheinlichkeit, dass die Datensätze in jedem Datensatz erneut identifiziert werden, hängt davon ab, wie gut es möglich ist, sie herauszusuchen. Bei jedem robusten Anonymisierungsprozess wird das Risiko einer erneuten Identifizierung bewertet, das im Laufe der Zeit verwaltet und kontrolliert werden sollte. Außer in bestimmten Fällen, in denen die Daten stark verallgemeinert sind (z. B. ein Datensatz, der die Anzahl der Besucher einer Website pro Land in einem Jahr zählt), ist das Risiko einer erneuten Identifizierung nie Null“, S. 5, erhältlich unter https://www.edps.europa.eu/data-protection/our-work/publications/papers/aepd-edps-joint-paper-10-misunderstandings-lated_en.
8. Es wird erwartet, dass der EDSA auch zusätzliche Leitlinien zur Anonymisierung veröffentlicht. Möglicherweise ist auch mit einer neuen Auslegung durch den EuGH im Rahmen des Verfahrens im Fall SRB gegen EDSB zu rechnen (Rechtssache T-557/20, SRB gegen EDSB und Berufung C-413/23 P). Der Fall schien zu betonen, dass die Feststellung, ob Daten anonymisiert wurden, eine risikobasierte und kontextbezogene Bewertung des Risikos einer erneuten Identifizierung erfordert.
9. Gemeinsames Papier von AEPD und EDSB, S. 4
10. Kombinieren einer Finanzabfrage mit Standortinformationen. Die Suche kann bestimmte Adressen oder Standortmerkmale umfassen.
11. In Erwägungsgrund 39 des Datenschutzgesetzes heißt es, dass für Drittdatenempfänger „unterlassen Sie die Verwendung von Daten, die in den Anwendungsbereich dieser Verordnung fallen, zur Profilierung von Personen”; Im DMA gibt es keinen entsprechenden Erwägungsgrund.