Die Frage aus der Überschrift tauchte in einer Diskussion vor einiger Zeit auf. Sie ist insofern nicht ganz neu, denn auch im Kartellrecht oder im sektorspezifischen Regulierungsrecht könnte sie sich stellen. Wenn ein Unternehmen im Zusammenhang mit Daten von einem anderen Unternehmen in Anspruch genommen wird, könnte es den Einwand erheben, die begehrten Daten wiesen Personenbezug auf und es gelte das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt.
Das Problem hierbei: sollte keine Pflicht zur Anonymisierung bestehen, kann ein Unternehmen den Zugang zu Daten regelmäßig mit Verweis auf das Datenschutzrecht verweigern. Im Kartellrecht käme es hierbei dann auf die Frage an, ob dies missbräuchlich wäre und unter besonderen Umständen des Einzelfalls doch ein Zugang geboten sein könnte. Im sektorspezifischen Recht gibt es teilweise ausdrückliche Regelungen, die eine nicht-anonymisierte Verarbeitung personenbezogener Daten zum Zweck der Erfüllung anordnen.
Für den DMA existieren ebenso Datenzugangspflichten. Da es sich um sektorspezifische Marktregulierung handelt, scheint auch eine Aussage zur Anonymisierungspflicht naheliegend; anderenfalls könnte der Zweck der Vorschrift gegebenenfalls nicht erfüllt werden.
Der DMA trifft vereinzelt Aussagen hierzu, etwa ausdrücklich bei der Pflicht in Art. 6 Abs. 11 DMA zum Zugang von Drittunternehmen zu Daten von Online-Suchmaschinen. Alle im Rahmen dieses Zugangs bereitgestellten Anfrage‑, Klick- und Ansichtsdaten müssen danach anonymisiert werden. Erwägungsgrund 61 führt hierzu dann weiter aus:
“Bei der Bereitstellung des Zugangs zu seinen Suchdaten sollte ein Torwächter den Schutz der personenbezogenen Daten von Endnutzern, auch vor möglichen Risiken einer erneuten Identifizierung, durch geeignete Mittel wie die Anonymisierung solcher personenbezogenen Daten sicherstellen, ohne die Qualität oder die Nutzbarkeit der Daten wesentlich zu beeinträchtigen. Die betreffenden Daten gelten als anonymisiert, wenn personenbezogene Daten irreversibel so verändert wurden, dass sich die Informationen nicht mehr auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder wenn personenbezogene Daten in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.”
In den Pflichten aus Art. 5, 6 und 7 DMA ist weiterhin keine Anonymisierungspflicht enthalten. Daraus ergibt sich dann aber nicht im Umkehrschluss, dass in allen anderen Fällen keine Anonymisierung erforderlich ist. Art. 13 Abs. 5 DMA sieht die Anonymisierung von Daten als geeignete Maßnahme verpflichtend zur Einhaltung der Vorschriften des Datenschutzrechts vor, um die Einhaltung der Verordnung zu gewährleisten. Alternativ muss ein Torwächter es ermöglichen, dass gewerbliche Nutzer eine für eine Verarbeitung erforderliche Einwilligung unmittelbar erhalten können. Letzteres würde bedeuten, dass ein Torwächter die gewerblichen Nutzer “in sein System” lässt. Dagegen kann eine anonymisierte Aufbereitung der Daten die bessere Alternative darstellen. Diese Vorschriften stehen im Zusammenhang mit dem Umgehungsverbot, das für die Erfüllung der Pflichten der Verordnung sehr wesentlich ist.
Mittelbar ergibt sich eine Pflicht zur Anonymisierung aus den Darlegungspflichten im Anhang zum DMA, dort Buchst. B Ziff. 1. Danach müssen Unternehmen aggregierte anonymisierte Daten über die Zahl der eindeutigen Endnutzer pro zentralem Plattformdienst übermitteln. Weiterhin müssen sie aggregierte anonymisierte Daten über die Zahl der eindeutigen Nutzer außerhalb von Umgebungen übermitteln, bei denen sich Nutzer registrieren oder anmelden.