Beziehung zwischen RODO und dem Gesetz über digitale Dienste

1. DSA und RODO -Beziehungsstatus: „Es ist kompliziert“.

In den letzten Monaten haben viele E-Commerce-Unternehmen die EU-Verordnung über digitale Dienstleistungen (DSA) in ihren Unternehmen umgesetzt. 

Es ist wichtig zu bedenken, dass die DSA nicht in einem Vakuum funktioniert. Neben der DSA müssen Unternehmer des elektronischen Geschäftsverkehrs auch andere Vorschriften beachten, die sie einhalten müssen, um die Vorschriften vollständig zu erfüllen. Eine davon ist eben RODO. Man kann sogar die Behauptung aufstellen, dass die DSA nicht ordnungsgemäß umgesetzt werden können, wenn RODO nicht zuvor in der Organisation eingeführt wurde. 

Die DSA-Verordnung weist in ihrem Wortlaut darauf hin, wie sie sich auf die RODO bezieht. Im Allgemeinen ist das DSA von den EU-Datenschutzvorschriften (d.h. in erster Linie von der RODO) nicht betroffen. An dieser Stelle wird ein Jurist den Ausdruck verwenden, dass die RODO lex specialis zum DSA ist. Das bedeutet, dass die Bestimmungen der RODO spezifisch für die Bestimmungen des DSA sind. Das Gesetz über digitale Dienste ist nur eine Ergänzung zu den RODO-Bestimmungen. 

Im Folgenden sind einige Bereiche aufgeführt, in denen Sie bei der Einführung von DSA in Ihrem Unternehmen auf RODO achten sollten.

2. RODO und dunkle Muster 

Ein Beispiel dafür ist das Verbot von Dark Patterns -„trügerischen Schnittstellen“. Nach Artikel 25 Absatz 1 des DSA dürfen Anbieter von Online-Plattformen ihre Online-Schnittstellen nicht in einer Weise gestalten, organisieren oder betreiben, die die Empfänger des Dienstes in die Irre führt oder manipuliert oder die Fähigkeit der Empfänger ihres Dienstes, freie und fundierte Entscheidungen zu treffen, auf andere Weise wesentlich stört oder beeinträchtigt.Wichtig ist, dass diese Verordnung gilt, wenn die Bestimmungen der RODO und der Richtlinie über unlautere Marktpraktiken nicht anwendbar sind. Was bedeutet dies? Selbst wenn ein Online-Plattformanbieter dunkle Muster verwendet, muss zunächst festgestellt werden, ob sie nicht mit der Erhebung oder Verarbeitung personenbezogener Daten zusammenhängen oder ob sie auf Verbraucher abzielen. Wenn beides nicht der Fall ist, sollte die DSA-Verordnung angewendet werden. 

Daher ist die RODO bei der Bekämpfung dunkler Muster weiterhin relevanter als die DSA. In diesem Zusammenhang ist es wichtig, unter anderem die Leitlinien 3/2022 des Europäischen Datenschutzausschusses zu beachten (Leitlinien 3/2022 zu trügerischen Gestaltungsmustern in Schnittstellen von Social Media-Plattformen: Wie man sie erkennt und vermeidet, angenommen am 14.2.2023 (Version 2.0)).

3. RODO und Profilerstellung

Ein Bereich, dem die DSA besondere Aufmerksamkeit gewidmet hat, ist die Frage der Präsentation von Werbung, die auf der Erstellung von Profilen unter Verwendung personenbezogener Daten beruht.

Was ist Profiling? Nach der DSGVO ist dies jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Faktoren einer Person zu bewerten, insbesondere um Aspekte im 

Zusammenhang mit der Leistung, der wirtschaftlichen Lage, der Gesundheit, den persönlichen Vorlieben, den Interessen, der Zuverlässigkeit, dem Verhalten, dem Aufenthaltsort oder den Ortswechseln dieser Person zu analysieren oder vorherzusagen.

Die DSA-Verordnung bezieht sich in erster Linie auf das Profiling bei Online-Plattformanbietern.

Erstens dürfen Anbieter von Online-Plattformen den Empfängern von Diensten keine auf Profiling basierende Werbung unter Verwendung besonderer Kategorien personenbezogener Daten präsentieren.Was sind diese „besonderen Kategorien von Daten“, die auch als „sensible Daten“ bezeichnet werden? Der RODO zufolge handelt es sich dabei um personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie um genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Daten über die Gesundheit, Sexualität oder sexuelle Ausrichtung dieser Person.

Zweitens dürfen Anbieter von Online-Plattformen auf ihrer Schnittstelle keine profilierungsbasierte Werbung unter Verwendung der personenbezogenen (nicht nur sensiblen!) Daten des Dienstleistungsempfängers präsentieren, wenn sie mit hinreichender Sicherheit wissen, dass der Dienstleistungsempfänger minderjährig ist.

Drittens bieten die Anbieter sehr großer Online-Plattformen und sehr großer Suchmaschinen, die Empfehlungssysteme einsetzen (mehr dazu unter diesem Link), für jedes ihrer Empfehlungssysteme mindestens eine Option an, die nicht auf Profiling basiert.

4. RODO und der Schutz von Minderjährigen

Ein weiterer Bereich der DSA, in dem die Kenntnis der RODO für die Umsetzung notwendig ist, ist die Frage des Schutzes von Minderjährigen (aus der Sicht der DSA von Personen unter 18 Jahren). Oben habe ich bereits das Verbot erwähnt, Minderjährigen auf der Grundlage personenbezogener Daten profilierte Werbung zu präsentieren. Nachfolgend eine weitere Verpflichtung.

Anbieter von Online-Plattformen, die für Minderjährige zugänglich sind, müssen geeignete und verhältnismäßige Maßnahmen ergreifen, um ein hohes Maß an Privatsphäre, Sicherheit und Jugendschutz in den von ihnen angebotenen Diensten zu gewährleisten. Dies ist ein ähnlicher Ansatz wie das Modell des „eingebauten Datenschutzes“ und der „datenschutzfreundlichen Voreinstellungen“, das in der RODO eingeführt wurde. Mit anderen Worten: Bei der Einführung geeigneter Maßnahmen zur Gewährleistung des Schutzes der Privatsphäre, der Sicherheit und des Schutzes von Minderjährigen muss auf den diesbezüglichen Besitzstand der RODO zurückgegriffen werden, insbesondere im Zusammenhang mit den Artikeln 25 und 34 der Verordnung. Es ist auch wichtig, die von der EROD (z. B. 5/2020 über die Einwilligung gemäß der Verordnung (EU) 2016/679) oder von den Aufsichtsbehörden der einzelnen EU-Mitgliedstaaten (z. B. „The Fundamentals for a Child-Oriented Approach to Data Processing“, entwickelt von der irischen Datenschutzkommission) entwickelten Leitlinien zu nutzen.

5. Zusammenfassung

Dies sind nur einige Beispiele, die zeigen, wie wichtig RODO aus Sicht der DSA ist. Die Umsetzung des Gesetzes über digitale Dienste in einer Organisation wird nicht vollständig sein, wenn die ordnungsgemäße Umsetzung von RODO nicht im Vorfeld erfolgt ist.Es lohnt sich also schon jetzt für jedes E-Commerce-Unternehmen, die Gültigkeit seiner Datenschutzlösungen zu überprüfen.