A. Einleitung
Die gesetzgeberischen Tätigkeiten der Europäischen Union im Bereich der digitalen Märkte haben in den vergangenen Jahren zu einer Vielzahl neuer Rechtsakte geführt. Neben der KI-Verordnung, dem Data Act, dem Digital Markets Act und der Digital Single Market Richtlinie, haben dabei insbesondere die Datenschutz-Grundverordnung (DSGVO) und der Digital Services Act (DSA) in der Öffentlichkeit ein breites und noch andauerndes Echo erfahren. Dabei ist das Verhältnis zwischen den einzelnen Rechtsakten unklar und aufgrund der kurzen Geltungsdauer auch noch nicht höchstrichterlich entschieden. Ihrem Wortlaut nach sprechen die einzelnen Gesetzgebungsakte der Union in der Regel nur davon, dass sie die anderen Rechtsakte „unberührt“ lassen.1 Das hierin nicht nur ein juristisches Konfliktpotenzial besteht, sondern auch erhebliche Rechtsunsicherheiten und Bürokratieaufwendungen entstehen können, hat mittlerweile auch die EU-Kommission erkannt und mit dem Entwurf einer „Digital-Omnibus-Verordnung“ erste Vorschläge in den Raum gestellt, die dazu beitragen sollen, Reibungen zu reduzieren und die Wettbewerbsfähigkeit von europäischen Unternehmen zu fördern.2 Bis es so weit ist, bieten Leitlinien der verschiedenen europäischen Gremien und Institute einen ersten Orientierungsrahmen. Solche hat bereits am 12.09.2025 der Europäische Datenschutzausschuss (EDSA) veröffentlicht, die mit Blick auf das Zusammenspiel von DSA und DSGVO Orientierung bieten sollen.3 Ziel der Leitlinien ist es, eine kohärente Auslegung und Anwendung der beiden Rechtsakte zu ermöglichen. Die Leitlinien waren bis zum 31.10.2025 offen für öffentliche Konsultation durch relevante Stakeholder.4
B. Aufgabe und Stellung des EDSA
Der EDSA koordiniert die Datenschutzaufsicht in der EU. Er sorgt für die einheitliche Anwendung der DSGVO und soll zu einer besseren Orientierung bei der Anwendung der DSGVO beitragen. Hierzu erlässt der EDSA Leitlinien und Empfehlungen, fördert die Zusammenarbeit der nationalen Aufsichtsbehörden und berät die Europäische Kommission in Fragen des Datenschutzes. Zentrales Instrument sind dabei die Leitlinien des EDSA. Diese haben zwar keinen rechtsverbindlichen Charakter, dienen jedoch als Handlungsempfehlungen mit einem nicht zu unterschätzenden Einfluss auf die Anwendung der DSGVO in der Praxis. Aus dieser Rolle – als Datenschutzbehörde – ergibt sich naturgemäß, dass der EDSA in seinen Leitlinien eine datenschutzfreundliche Position vertritt.
C. Überschneidender Regelungsgehalt von DSGVO und DSA
Die Anwendungsbereiche von DSGVO und DSA unterscheiden sich auf dem ersten Blick deutlich. Die DSGVO regelt den Umgang mit personenbezogenen Daten, unabhängig vom Geschäftsmodell der datenverarbeitenden Stelle. Der DSA wiederum richtet sich speziell an die Anbieter sog. „Vermittlungsdienste“, i.S.d. Art. 3 Buchst. g DSA. Hierunter fallen, neben Durchleitungs- und „Caching“-Diensten, insbesondere Hostingdienste, die Inhalte von Dritten speichern und anderen Personen zugänglich machen.5 Entsprechend verfolgen DSA und DSGVO auch andere Schutzziele.6 Dennoch besteht Kollisionspotenzial zwischen DSGVO und DSA – und zwar in erster Linie dann, wenn der DSA den Umgang von Diensteanbietern mit Inhalten reguliert, die personenbezogene Daten enthalten. Im Fokus der Leitlinien des EDSA steht deswegen vor allem das Zusammenspiel der beiden Regelungswerke beim Umgang mit illegalen Inhalten und mit Transparenzpflichten, bei Werbe- und Profilingmaßnahmen der Diensteanbieter sowie beim Jugendschutz.
Dabei enthalten weder der DSA noch die DSGVO eine explizite Kollisionsnorm. Bei beiden Regelwerken handelt es sich um Verordnungen, die unmittelbar in den Mitgliedstaaten anzuwenden ist. Die DSGVO erlaubt in Art. 6 Abs. 3 jedoch den Erlass von sektorbezogenen Ausnahmeregelungen, weswegen teilweise davon ausgegangen wird, dass der DSA als eine datenschutzrechtliche Spezialregelung zu verstehen ist.7 Der DSA wiederum spricht nur davon, dass er die Regelungen der DSGVO unberührt lasse (Art. 2 Abs. 4). Ein entsprechender Entwurf, der vorsah, den DSA als lex generalis hinter anderen, spezielleren Rechtsnormen zurücktreten zu lassen, wurde nicht umgesetzt.8
Eine Einordnung des DSA als lex specialis gegenüber der DSGVO lehnt nun wiederum der EDSA in seiner Stellungnahme ab und ordnet DSGVO und DSA – überzeugend – als Rechtsakte ein, die in der europäischen Normenhierarchie auf derselben Ebene stehen.9 Dies hat zur Folge, dass die Anbieter von Diensten, die in den Anwendungsbereich des DSA fallen, bei der Umsetzung ihrer regulatorischen Pflichten auch die Pflichten der DSGVO beachten müssen und die Vorgaben der beiden Verordnungen miteinander kompatibel implementieren müssen.
D. Rechtfertigung der Verarbeitung personenbezogener Daten durch den DSA
Zentraler Punkt der Leitlinien ist die Frage, unter welchen Bedingungen die Vorschriften des DSA als Rechtsgrundlage für eine DSGVO-konforme Datenverarbeitung dienen können. Zentral ist dabei aus Sicht des EDSA vor allem die Frage, ob sich eine Rechtfertigung aus Art. 6 Abs. 1 Buchst. c DSGVO (zur Erfüllung einer rechtlichen Verpflichtung) oder aus Art. 6 Abs. 1 Buchst. f DSGVO (zu Wahrung berechtigter Interessen des Verantwortlichen) ergibt.
Damit eine Rechtfertigung nach Art. 6 Abs. 1 Buchst. c DSGVO in Betracht kommt, muss den Diensteanbietern durch den DSA eine rechtliche Verpflichtung auferlegt werden. Nach Ansicht des EDSA ist dies insbesondere der Fall, wenn es um die Umsetzung des Art. 28 DSA geht, also die Einrichtung von geeigneten Maßnahmen zum Schutz von Minderjährigen.10 Im Anwendungsbereich von Art. 6 Abs. 1 Buchst. f DSGVO kommt insbesondere die „Gute-Samariter“-Klausel des Art. 7 DSA in Betracht.11 Verarbeitet ein Diensteanbieter personenbezogene Daten, um – auf freiwilliger Basis und ohne dazu gesetzlich verpflichtet zu sein – rechtswidrige Inhalte12 zu erkennen und zu entfernen, kann es sich hierbei um ein berechtigtes Interesse des Diensteanbieters i.S.d. Art. 6 Abs. 1 Buchst. f DSGVO handeln. Voraussetzung hierfür ist jedoch, dass die weiteren Voraussetzungen für die Anwendbarkeit dieses Rechtfertigungstatbestandes vorliegen, etwa ein Überwiegen der Interessen des Diensteanbieters als datenverarbeitende Stelle gegenüber den Interessen der betroffenen Person.13 Wird der Diensteanbieter hingegen gesetzlich verpflichtet, solche Untersuchungen durchzuführen, so kommt eine Rechtfertigung nach Art. 6 Abs. 1 Buchst. c. DSGVO in Betracht.14
Auch wenn eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 Buchst. c oder f DSGVO in Betracht kommt, so ermöglicht dies allein noch keine umfassende Rechtfertigung der Datenverarbeitung. Vielmehr ist auch im Anwendungsbereich des DSA – nach der zustimmenswerten Ansicht des EDSA – jede Verarbeitung an den in Art. 5 DSGVO normierten Verarbeitungsgrundsätzen zu messen, insbesondere an der Beschränkung der Verarbeitung auf das für den jeweiligen Zweck erforderliche Maß (Grundsatz der Datenminimierung).15 Ebenso ersetzt die Berufung auf Vorschriften des DSA nicht die Durchführung einer Datenschutzfolgeabschätzung, falls diese nach der DSGVO notwendig ist.16 Zudem wird der Diensteanbieter nicht von der Einhaltung der Transparenzbestimmungen der Artikel 13 und 14 DSGVO entbunden.
Die Einhaltung der Transparenzbestimmung der DSGVO erübrigt auf der anderen Seite ebenso nicht die Einhaltung der spezifischen und anlassbezogenen Transparenzpflichten des DSA. Insbesondere mit Blick auf die zusätzlichen Pflichten des DSA in den Art. 14 Abs. 1 und 15 Buchst. c und e. Hiernach sind die Diensteanbieter verpflichtet, besondere Transparenzvorgaben mit Blick auf die Moderationsrichtlinien, -verfahren und -werkzeuge einzuhalten. Weiter kommen Transparenzpflichten aus Art. 17 DSA (bei Beschränkung der Dienste für einen Nutzer oder eine Nutzerin) in Betracht.17
E. Automatisierte Verfahren bei der Inhaltemoderation
Setzen die Diensteanbieter Algorithmen ein, um Entscheidungen automatisiert treffen zu lassen, kommt ein Verstoß gegen Art. 22 Abs. 1 DSGVO in Betracht. Dennoch sind die Diensteanbieter zur konsequenten Durchsetzung ihrer rechtlichen Verpflichtungen, sowie zur Kontrolle der Einhaltung ihrer Gemeinschaftsstandards oftmals von solchen Systemen abhängig. Gleiches gilt für die Umsetzung der von den Diensteanbietern vorzuhaltenden Melde- und Abhilfeverfahren (Art. 16 DSA).18
Der EDSA begrüßt diese neuen Regelungen – insbesondere mit Blick auf weitere Transparenzverpflichtungen – zwar ausdrücklich, stellt gleichzeitig aber auch klar, dass solche Anwendungen in den Anwendungsbereich des Art. 22 Abs. 1 DSGVO fallen und diese Norm strenge Anforderungen an die Zulässigkeit solcher Vorhaben aufstellt.19 Das von Art. 22 Abs. 1 DSGVO grundsätzlich statuierte Verbot, einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, gilt nur dann nicht, wenn die Voraussetzungen eines Ausnahmetatbestandes des Art. 22 Abs. 2 DSGVO vorliegen. Wichtigster Rechtfertigungsgrund ist dabei die Einwilligung der betroffenen Person (Art. 22 Abs. 2 Buchst. c DSGVO). Als weiterer praxisrelevanter Rechtfertigungsgrund kommt aus Sicht des EDSA Art. 22 Abs. 2 Buchst. b DSGVO in Betracht,20 die Erlaubnis einer entsprechenden Entscheidungsfindung aufgrund von Unionsrecht oder von nationalem Recht.
Ebenfalls beachtet werden muss der Anwendungsbereich des Art. 22 DSGVO und das Vorliegen einer entsprechenden Rechtfertigungsgrundlage gemäß Absatz 2 auch etwa bei der freiwilligen Suche nach Inhalten (Art. 7 DSA) – abhängig von den Konsequenzen die aus der automatisierten Verarbeitung entstehen,21 sowie beim Einsatz von Empfehlungssystemen (Art. 27 DSA). Auch hier sind neben den Anforderungen der DSGVO die jeweiligen speziellen Transparenzbestimmungen des DSA zu beachten.
F. Anzeigen und Werbung
Art. 26 DSA enthält eine eigenständige Regelung für die Darstellung von Werbung auf Onlineplattformen. Hiernach müssen besondere Transparenzanforderungen eingehalten werden (Absatz 1) und es besteht ein absolutes Verbot für Werbung die auf Profiling i.S.d. Art. 4 Nr. 4 DSGVO unter Verwendung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO beruht (Absatz 4). Dabei sind auch hier die Transparenzanforderungen des DSA neben den generellen Transparenzanforderungen der Art. 13 und 14 DSGVO zu beachten. Dies wird in ErwGr. 68 des DSA ausdrücklich klargestellt.22 Anders als die Informationen die gemäß Art. 26 Abs. 1 DSA bereitgestellt werden müssen, müssen die Art. 13 f. DSGVO-Informationen nicht in Echtzeit und direkt im Zusammenhang mit jeder einzelnen Werbung zur Verfügung gestellt werden. Vielmehr reicht bei den Art. 13 und 14 DSGVO die Bereitstellung der Informationen im Wege der Datenschutzhinweise.23
Im Zusammenhang mit der Werbung auf Onlineplattformen ist zu beachten, dass auch hier ein Verstoß gegen Art. 22 DSGVO möglich ist, wenn das Ausspielen von Werbung auf einer automatisierten Entscheidungsfindung beruht, sofern das durchgeführte Profiling zu einer Entscheidung führt, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Wann dies der Fall ist, ist nach Ansicht des EDSA anhand verschiedener, nicht abschließender, Merkmale der Datenverarbeitung zu entscheiden.24 Hierzu zählt unter anderem die Eingriffstiefe des Profiling-Prozesses, die Verfolgung der betroffenen Personen über verschiedene Websites, Geräte und Dienste, die Art und Weise, wie die Werbung im konkreten Fall bereitgestellt wird, sowie die Nutzung von Kenntnissen über die Schwachstellen der betroffenen Personen.25 Weiter ist wie oben bereits dargestellt, ein Rechtfertigungsgrund gemäß Art. 22 Abs. 2 DSGVO notwendig, damit eine entsprechende Datenverarbeitung zulässig ist.
Eine Werbung die auf Profiling beruht, welches unter der Verwendung von besonderen Kategorien personenbezogener Daten zustande gekommen ist, ist gemäß Art. 26 Abs. 4 DSA dennoch stets unzulässig. Damit ist der Anwendungsbereich des DSA hier enger als der des Art. 22 DSGVO, der in Absatz 4 die Verarbeitung solcher besonderen Kategorien personenbezogener Daten zulässt, wenn eine Ausnahme gemäß Art. 9 Abs. 2 Buchst. a oder g DSGVO gilt und angemessene Maßnahmen zur Risikominderung getroffen werden.26
Dies führt in der Gesamtschau dazu, dass eine auf Profiling beruhende Werbung auf Onlineplattformen nur dann zulässig ist, wenn sie nicht auf der Verwendung besonderer Kategorien personenbezogener Daten beruht (Art. 26 Abs. 4 DSA) und weiter ein Rechtfertigungsgrund gemäß Art. 22 Abs. 2 DSGVO vorliegt.
G. Schutz von Minderjährigen
Der DSA verlangt nicht nur, dass Plattformen geeignete und verhältnismäßige Maßnahmen ergreifen, um ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen innerhalb ihres Dienstes zu gewährleisten (Art. 28 Abs. 1 DSA), er enthält darüber hinaus auch weitere datenschutzrelevante Anforderungen zum Schutz von Minderjährigen.
So verbietet Art. 28 Abs. 2 DSA das Ausspielen von Werbung, das auf der Grundlage von Profiling i.S.d. Art. 4 Abs. 4 DSGVO entstanden ist, wenn die Diensteanbieter „hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.“ Auch in diesem Fall stellt der DSA folglich strengere Anforderungen an die Zulässigkeit von Profiling auf, als dies bei einer Anwendbarkeit des Art. 22 DSGVO der Fall wäre.
Art. 28 Abs. 3 DSA hingegen stellt ausdrücklich fest, dass die Diensteanbieter nicht verpflichtet sind, zusätzliche personenbezogene Daten zu erheben, um festzustellen, ob ein Nutzer minderjährig ist, oder nicht. Grundsätzlich können zwar die Absätze 1 und 2 des Art. 28 DSA als Rechtfertigung i.S.d. Art. 6 Abs. 1 Buchst c DSGVO herangezogen werden, um persönliche Daten mit dem Ziel zu verarbeiten, herauszufinden, ob ein Nutzer oder eine Nutzerin minderjährig ist, eine darüber hinausgehende Verpflichtung Daten zu erheben – etwa im Rahmen eines Altersüberprüfungsmechanismus – besteht jedoch nicht.27 Der EDSA empfiehlt in diesem Zusammenhang insbesondere auf Verfahren zu verzichten, die zu einer eindeutigen Identifikation der betroffenen Person führen. Vielmehr sei ein solches Verfahren, z.B. durch das Vorlegen eines offiziellen Ausweisdokumentes, nicht allein aufgrund der Anforderungen des Art. 28 DSA datenschutzrechtlich zulässig.28 Dies gilt auch im Zusammenhang mit den Pflichten von Anbietern sehr großer Onlineplattformen, die gemäß den Art. 34 und 35 DSA besondere Verfahren zur Risikobewertung und Risikominderung für systematische Risiken vorhalten müssen, zu denen auch Gefahren für Minderjährige gehören. Wie auch im Rahmen der Anforderungen des Art. 28 DSA ist auch hier im Einzelfall mit Blick auf die Erforderlichkeit und Angemessenheit der Datenverarbeitung zu entscheiden, welche Maßnahmen zur Altersverifikation angewendet werden müssen.29
H. Auswirkungen auf die Praxis
Die Leitlinien des EDSA zeigen exemplarisch auf, wie viel Überschneidungspotenzial zwischen den verschiedenen Unions-Rechtsakten zur Regulierung der digitalen Welt bestehen. Dabei wird auch klar, dass sich die Normen der verschiedenen Rechtsakte nicht unbedingt widersprechen müssen, sondern auch ohne besonderes Kollisionsrecht miteinander in Einklang gebracht werden können. Den Aufwand für die betroffenen Akteure bei der Umsetzung der jeweiligen Rechtsakte reduziert dies jedoch nicht. Insbesondere, da die Einhaltung der Vorgaben des einen Rechtsaktes nicht zwangsläufig dazu führt, dass auch die Vorgaben des anderen eingehalten werden. Zudem kann sich aufgrund der Gleichrangigkeit der Vorschriften nicht generell auf den Vorrang des einen Rechtsaktes vor dem anderen verlassen werden. Insofern ist es zu begrüßen, wenn die EU-Kommission plant, die verschiedenen Rechtsakte und deren Anwendungsbereich zu konsolidieren und aus dem bisherigem „Flickenteppich“ ein kohärentes System zu schaffen. Ob dies mit den Vorgaben des digitalen Omnibusses erreicht wird, bleibt jedoch abzuwarten. Bis dies so weit ist, bieten die Auslegungshilfen der verschiedenen Gremien der Europäischen Union, wie dem EDSA, in jedem Fall eine wertvolle und unverzichtbare Grundlage, um in der Praxis die Einhaltung aller Rechtsvorschriften zu garantieren.
