Der Europäische Datenschutzausschuss (EDSA) und die Europäische Kommission haben erstmals gemeinsame Leitlinien gebilligt. Die am 09.10.2025 veröffentlichten Leitlinien thematisieren das Zusammenspiel zwischen dem Gesetz über digitale Märkte (Digital Markets Act, DMA) und der Datenschutzgrundverordnung (DSGVO). Ziel ist es, widersprechende Überschneidungen zwischen beiden Regelwerken aufzulösen, die Kohärenz zu stärken und Unternehmen sowie gewerblichen Nutzern, Begünstigten und Einzelpersonen mehr Rechtssicherheit zu geben.
Hintergrund: Zwei Regelwerke mit unterschiedlichen, aber verbundenen Zielen
Sowohl DMA als auch DSGVO schützen Individuen in der digitalen Wirtschaft, allerdings mit unterschiedlichen Ansätzen. Während die DSGVO den Schutz personenbezogener Daten und die Wahrung der Privatsphäre in den Mittelpunkt stellt, zielt der DMA auf faire Wettbewerbsbedingungen und die Eindämmung marktbeherrschender Praktiken großer Plattformen. Beide Regelwerke greifen jedoch in denselben digitalen Ökosystemen ineinander. Immer dort, wo Gatekeeper personenbezogene Daten verarbeiten, entsteht ein Spannungsfeld zwischen Datenschutz und Marktkontrolle. Hier gibt es dann auch regelmäßig Verweisungen vom DMA in die DSGVO.
Verabschiedung der Leitlinien
Mit den neuen Leitlinien reagieren der EDSA und die Kommission auf die wachsende Notwendigkeit, diese Schnittstellen zu präzisieren und eine kohärente Anwendung der Digitalregulierung in den Mitgliedstaaten zu stärken. Denn viele Verpflichtungen des DMA, etwa zur Datenportabilität, Interoperabilität oder zur Einholung einer ausdrücklichen Zustimmung bei der Datenverknüpfung, haben unmittelbare datenschutzrechtliche Relevanz.
Diese Ziele spiegeln sich auch in der Strategie 2024-2027 und der Erklärung von Helsinki zur Einhaltung der DSGVO wider. Als weitere Umsetzung dieser Ziele wurde erst Mitte September eine Leitlinie des EDSA zum Zusammenspiel des Digital Services Acts (DSA) mit der DSGVO verabschiedet.
Laut der Pressemitteilung des EDSA meint dessen Vorsitzender Anus Talus nun, dass die neue Leitlinien „das Ergebnis einer fruchtbaren Zusammenarbeit zwischen dem EDSA und der Europäischen Kommission“ ist. Der Vorteil einer gemeinsamen Verabschiedung liege darin, die „Einhaltung der Vorschriften für Unternehmen“ zu vereinfach und „ihnen mehr Rechtssicherheit“ zu verschaffen.
Umsetzung des DMA im Einklang mit Datenschutz
Konkret befassen sich die Leitlinien (abrufbar hier) insbesondere mit der Frage, wie Gatekeeper die DMA-Vorgaben datenschutzkonform verwirklichen können. So erklärt die Leitlinie etwa die Anforderungen an eine gültige Einwilligung nach Art. 5 Abs. 2 DMA im Einklang mit den Vorgaben der DSGVO. Dies betrifft insbesondere die Kombination oder Nutzung personenbezogener Daten über verschiedene zentrale Plattformdienste hinweg. Darüber hinaus schreibt beispielsweise Art. 6 Abs. 4 DMA die Ermöglichung der Nutzung von Drittanbieter-Software vor. Auch hierbei seien die Vorgaben des Datenschutzes zu beachten. Darüber hinaus klären die Leitlinien das Zusammenspiel mit weiteren DMA-Vorgaben, etwa im Hinblick auf Drittanbieter-Stores, den Zugang zu Daten, die Datenübertragbarkeit oder die Interoperabilität von Nachrichtendiensten. Unternehmen erhalten damit eine Orientierungssystem, das die parallele Anwendung beider Rechtsrahmen verständlicher und planbarer macht.
Konsultationsverfahren eröffnet
Mit der Billigung der Leitlinien beginnt zugleich eine öffentliche Konsultation bis zum 04.12.2025. Unternehmen, Verbände und sonstige Stakeholder können in diesem Zeitraum Stellung nehmen und Verbesserungsvorschläge einreichen. Der EDSA und die Kommission wollen die Rückmeldungen auswerten und bei Bedarf in die endgültige Fassung der Leitlinien einarbeiten, die anschließend offiziell angenommen wird. Außerdem sollen alle Beiträge nach Abschluss des Konsultationsverfahrens veröffentlicht werden.
Ausblick: Weitere Leitlinien zu KI und Datenschutz angekündigt
Die nun vorgelegten Leitlinien markiere erst den Beginn einer breiteren regulatorischen Erläuterung. Der EDSA kündigt bereits an, gemeinsam mit der Kommission und insbesondere dem neuen Amt für künstliche Intelligenz (AI Office) auch Leitlinien zum Zusammenspiel zwischen dem KI-Gesetz und der DSGVO zu erarbeiten. Damit soll sichergestellt werden, dass neue technologische Regime wie die KI-Regulierung nicht in Widerspruch zu bestehenden Datenschutzgarantien geraten.
Fazit
Mit den ersten gemeinsamen Leitlinien zum Zusammenspiel von DMA und DSGVO von EDSA und EU-Kommission wird ein zentraler Schritt zur Harmonisierung des europäischen Digitalrechts vollzogen. Das Zusammenspiel ist nicht nur juristisch anspruchsvoll, sondern auch für die Praxis hochrelevant. Die parallele Anwendung beider Regelwerke kann zu Unsicherheiten führen, etwa bei der Frage, wann eine datenschutzrechtliche Einwilligung erforderlich ist oder wie weit Gatekeeper Daten zu geschäftlichen Zwecken kombinieren dürfen. Die Leitlinien schaffen hier Orientierung, auch wenn ihre endgültige Fassung erst nach der Konsultation vorliegen wird.
