DMA und DSGVO im Zusammenspiel: Gemeinsame Leitlinien von EDSA und EU-Kommission

Neue EU-Leitlinien: Wie DMA und DSGVO miteinander interagieren.
Kategorien:
,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Mit der zunehmenden Regulierung digitaler Plattformen rückt das Verhältnis zwischen dem Digital Markets Act (DMA) und der Datenschutz-Grundverordnung (DSGVO) in den Mittelpunkt der europäischen Digitalpolitik. Die im Oktober 2025 veröffentlichten gemeinsamen Leitlinien des Europäischen Datenschutzausschusses (EDSA) und der Europäischen Kommission zielen darauf ab, Rechtsklarheit für Gatekeeper und Aufsichtsbehörden zu schaffen. Sie erläutern, wie beide Rechtsakte miteinander interagieren und wie potenzielle Konflikte vermieden werden können.

Ziel: DMA und DSGVO nicht isoliert betrachten

Mit dem DMA sollen faire Wettbewerbsbedingungen im digitalen Markt gewährleistet und die Marktmacht sogenannter „Gatekeeper“, also großer Online-Plattformen, begrenzt werden. Die DSGVO schützt hingegen die Grundrechte natürlicher Personen im Hinblick auf die Verarbeitung personenbezogener Daten. Beide Rechtsakte überschneiden sich dort, wo der DMA Pflichten enthält, die auch den Umgang mit personenbezogenen Daten berühren. Beispielsweise bei der Datenkombination, Interoperabilität oder Datennutzung über Dienste hinweg.

Die Leitlinien sollen eine kohärente und einheitliche Anwendung der beiden Regelwerke sicherstellen. Sie betonen, dass die Bestimmungen des DMA und der DSGVO nicht isoliert, sondern komplementär verstanden und in der Praxis abgestimmt umgesetzt werden müssen.

Ziel ist es, potenzielle Konflikte zwischen den regulatorischen Pflichten des DMA und den Datenschutzgrundsätzen der DSGVO von vornherein zu vermeiden. Dazu wird hervorgehoben, dass eine enge Abstimmung zwischen den zuständigen Behörden (insbesondere der Europäischen Kommission und den Datenschutzaufsichtsbehörden) erforderlich ist, um konsistente Auslegungen und kohärente Vollzugsstrategien sicherzustellen.

Die Leitlinien sollen somit als Referenzrahmen dienen, der Gatekeepern und Behörden gleichermaßen Orientierung bietet.

Keine Ausnahme von der DSGVO durch den DMA

Ein zentrales Prinzip der Leitlinien ist, dass der DMA die Anwendung der DSGVO weder verdrängt noch einschränkt. Gatekeeper müssen daher weiterhin sämtliche Verpflichtungen aus der DSGVO erfüllen. Der DMA kann somit keine eigenständige Rechtsgrundlage für die Datenverarbeitung schaffen, sondern muss stets im Einklang mit den allgemeinen datenschutzrechtlichen Grundsätzen stehen.

In den Leitlinien wird betont, dass für jede Verarbeitung personenbezogener Daten nicht nur eine gültige Rechtsgrundlage nach Art. 6 DSGVO erforderlich ist, sondern dass auch die Anforderungen des Art. 5 DSGVO strikt zu beachten sind: insbesondere Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung. Die Einhaltung dieser Grundsätze ist laut EDSA und Kommission entscheidend, um sicherzustellen, dass die im DMA vorgesehenen Datenverarbeitungspflichten nicht zu einer Aushöhlung der Datenschutzrechte führen. Zudem betonen die Leitlinien, dass der DMA in keiner Weise als lex specialis gegenüber der DSGVO zu verstehen ist. Ganz im Gegenteil: Der DMA muss im Rahmen der DSGVO umgesetzt werden, um ein hohes Datenschutzniveau und die Wahrung der Grundrechte zu garantieren.

Wechselseitige Wirkung zwischen DMA und DSGVO

Beide Rechtsakte werden als komplementär beschrieben. Während der DMA primär wettbewerbsrechtliche und marktorientierte Ziele verfolgt, stellt die DSGVO die Wahrung der Grundrechte und insbesondere das Recht auf Datenschutz sicher. In den Leitlinien werden diese unterschiedlichen Zielrichtungen nicht als Gegensatz, sondern als wechselseitig unterstützend verstanden. Der DMA kann nur dann seine volle Wirkung entfalten, wenn seine Verpflichtungen im Einklang mit den Datenschutzgrundsätzen der DSGVO stehen.

Letztlich dienen beide Regelwerke der Stärkung von Vertrauen, Fairness und Verantwortlichkeit im digitalen Ökosystem. Der EDSA hebt hervor, dass eine konsistente Anwendung beider Normen entscheidend ist, um Doppelregulierung, widersprüchliche Entscheidungen und Vollzugsdefizite zu vermeiden. Daher spielt die Koordination zwischen Wettbewerbs- und Datenschutzbehörden eine zentrale Rolle.

Gemeinsame Durchsetzungsarchitektur

Die Leitlinien sehen eine enge und strukturierte Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden und der Europäischen Kommission, die für die Durchsetzung des DMA zuständig ist, vor. Diese Zusammenarbeit soll über formelle und informelle Kanäle erfolgen und einen kontinuierlichen Informationsaustausch, die Abstimmung von Verfahren sowie eine kohärente Rechtsanwendung sicherstellen. Der EDSA empfiehlt daher die Einrichtung operativer Koordinationsmechanismen: 

  • gemeinsame Arbeitsgruppen,
  • regelmäßige Konsultationen und
  • eine frühzeitige Kommunikation bei Überschneidungen zwischen DMA und DSGVO.


Darüber hinaus betonen die Leitlinien, dass die gegenseitige Unterstützung nach Art. 61 DSGVO und die Möglichkeit gemeinsamer Maßnahmen gemäß Art. 62 DSGVO als Vorbild dienen können, um Synergien in der Durchsetzung zu schaffen. Dadurch soll gewährleistet werden, dass datenschutzrechtliche und wettbewerbsrechtliche Erwägungen nicht isoliert, sondern integriert betrachtet werden. Ziel ist es, dass beide Behördenebenen – die Europäische Kommission und die nationalen Datenschutzaufsichtsbehörden – ein kohärentes und effektives Vollzugssystem etablieren. Das soll rechtliche Widersprüche vermeiden und die Rechtssicherheit für Unternehmen erhöhen. Langfristig zielt dieser Ansatz auf die Entwicklung eines einheitlichen europäischen Governance-Rahmens für die digitale Regulierung ab.

Lese-Tipp: Verstöße gegen DMA – EU verhängt Milliarden-Bußgelder gegen Apple und Meta

DMA und DSGVO: Praktische Beispiele und Fallkonstellationen

Die Leitlinien beschreiben auch konkrete Situationen, in denen sich die Pflichten aus dem DMA und der DSGVO überschneiden. Diese Szenarien beleuchten typische Konfliktfelder zwischen wettbewerbsrechtlichen und datenschutzrechtlichen Anforderungen. Die Fallbeispiele bieten Gatekeepern, Aufsichtsbehörden und betroffenen Dritten eine praxisnahe Orientierung. Sie decken sowohl technische als auch organisatorische Herausforderungen ab und zeigen, wie Compliance in komplexen digitalen Ökosystemen umgesetzt werden kann:

  • Kombination von Daten aus mehreren Diensten eines Gatekeepers (z. B. Social Media und Suchmaschine): Hier muss zusätzlich zur DMA-Verpflichtung eine gültige Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO vorliegen.
  • Interoperabilitätspflichten (z. B. Messenger-Kompatibilität): Gatekeeper müssen sicherstellen, dass Datenschutzgrundsätze wie Datenminimierung und Zweckbindung eingehalten werden.
  • Zugang Dritter zu Daten: Wenn der DMA den Zugang zu Daten Dritten erlaubt, bleibt der Gatekeeper dennoch verantwortlich, datenschutzkonforme Schnittstellen und Kontrollmechanismen zu gewährleisten.

Rechtliche Bewertung DMA vs. DSGVO

Die Leitlinien stellen klar: Der DMA schafft keine eigenen Rechtfertigungstatbestände für die Verarbeitung personenbezogener Daten und wirkt nicht als lex specialis gegenüber der DSGVO. Jede Datenverarbeitung im DMA-Kontext bleibt an Art. 5 DSGVO (insb. Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung) und an eine taugliche Rechtsgrundlage nach Art. 6 DSGVO gebunden.

Insgesamt ist der DMA als marktkorrigierendes Regime nur wirksam, wenn er grundrechtskonform ausgelegt und umgesetzt wird. Die Leitlinien verankern dies durch das Gebot der kompatiblen Auslegung, durch Vorgaben zur Kooperation zwischen Kommission und Datenschutzaufsicht sowie durch die Betonung des “ne bis in idem”-Grundsatzes. Praktisch bedeutet dies für Gatekeeper ein integriertes Compliance-Design mit strikter Zweck- und Datenspeicherungstrennung zwischen Diensten, dokumentierten Consent-Flows, Widerrufs- und Transparenz-Dashboards (auch bezüglich Empfängerlisten), robuster Anonymisierung, DSFAs für Hochrisikoszenarien und API-Governance, die rechtliche Limits technisch erzwingt.

Ein interessanter Punkt betrifft die Rechtsgrundlagenprüfung: Enthält der DMA eine Pflicht zur Datenfreigabe, bedeutet dies nicht automatisch, dass die Verarbeitung gemäß der DSGVO zulässig ist. Es bedarf stets einer eigenständigen datenschutzrechtlichen Rechtfertigung.

Zusammenspiel zwischen Wettbewerbs- und Datenschutzrecht

Die Leitlinien wurden zur öffentlichen Konsultation gestellt und sollen nach Abschluss der Konsultationsphase endgültig verabschiedet werden. Für Unternehmen ist dies eine wichtige Gelegenheit, ihre Compliance-Strukturen anzupassen. Auch nationale Datenschutzbehörden werden durch die Leitlinien stärker in die DMA-Überwachung eingebunden.

Mit den gemeinsamen Leitlinien haben der Europäische Datenschutzausschuss und die Europäische Kommission einen wichtigen Schritt unternommen, um das Zusammenspiel zwischen Wettbewerbs- und Datenschutzrecht zu klären.

Der DMA schafft zwar neue Pflichten für große Plattformen, doch die DSGVO bleibt der zentrale Maßstab für die Verarbeitung personenbezogener Daten. Unternehmen müssen künftig beide Regelwerke integrieren, um Risiken von Sanktionen und Rechtskonflikten zu vermeiden.

Quelle: Leitlinien zum Zusammenspiel zwischen DMA und DSGVO

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
, ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge