Die europäischen Regulierungsbehörden stehen vor der anspruchsvollen Aufgabe, den digitalen Markt durch neue Gesetzgebungen transparenter und fairer zu gestalten. Besonders die Digital Markets Act (DMA) Verordnung verfolgt das Ziel, die Macht großer Technologiekonzerne, sogenannte Gatekeeper, einzudämmen und Wettbewerb zu fördern. Ein zentraler Teil dieser Gesetzgebung ist Artikel 6 Absatz 11, der von Unternehmen wie Google verlangt, umfangreiche Suchdaten – darunter Ranking-, Query-, Klick- und Sichtbarkeitsdaten – an Drittanbieter von Suchmaschinen zu teilen. Google wiederum sieht sich daher in einer besonderen Verantwortung und Herausforderung, diese Vorgaben mit den strengen Datenschutzanforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) in Einklang zu bringen. Die DSGVO hat sehr hohe Anforderungen an den Schutz personenbezogener Daten gesetzt, insbesondere betrachtet sie den Begriff der Anonymisierung äußerst restriktiv.
Dadurch entsteht eine interessante Spannung zwischen den gesetzlichen Bestimmungen der DMA, die eine Offenlegung von Daten verlangt, und dem Schutz der Privatsphäre, den die DSGVO gewährleistet. Dieses Spannungsfeld bringt Google dazu, spezielle technische und organisatorische Lösungen zu entwickeln, um beide Anforderungen zu erfüllen. Google hat im März 2024 einen Bericht veröffentlicht, in dem es seine Lösung für die Umsetzung von Artikel 6(11) vorstellt. Diese Lösung manifestiert sich in einem umfangreichen europäischen Suchdatensatz-Lizenzierungsprogramm, das Dritten Zugang zu aggregierten Suchdaten gewährt. Im Fokus steht ein Datensatz, der über eine Milliarde unterschiedliche Suchanfragen aus den 30 Ländern des Europäischen Wirtschaftsraums (EWR) umfasst.
Die übermittelten Daten beinhalten Suchbegriffe, Klicks, Sichtungszahlen und das Ranking der Suchergebnisse. Die größte Herausforderung bei der Umsetzung dieses Programms ist die Anonymisierung der Daten, um den Datenschutz zu gewährleisten. Google entschied sich, dafür ein Verfahren namens Frequenz-Schwellenwertsetzung anzuwenden. Dieses Verfahren bedeutet, dass nur jene Suchanfragen in den Datensatz aufgenommen werden, die mindestens 30-mal von angemeldeten Nutzern weltweit innerhalb der letzten 13 Monate eingegeben wurden. Außerdem gilt eine weitere Schwelle von mindestens fünf Nutzern pro Land und Gerätetyp, wenn zusätzliche Metadaten wie Ranking oder Klicks hinzugefügt werden.
Diese Maßnahmen sollen verhindern, dass einzelne Nutzer oder spezifische kleine Gruppen identifizierbar bleiben. Das technische Volumen des Datensatzes ist erheblich: Google stellt vierteljährlich etwa 1,5 Terabyte an Suchdaten bereit, die circa 53 Milliarden Datensätze und Suchanfragen umfassen. Lizenznehmer können den gesamten EWR-Datensatz oder auch regionale Teilmengen erwerben. Das Angebot wird über die Google Cloud in einem maschinenfreundlichen JSON-Format bereitgestellt. Preislich bewegt sich die Gebühr bei etwa drei Euro pro tausend unterschiedliche Suchanfragen, mit Rabatten bei kleineren regionalen Datensätzen.
Um am Programm teilnehmen zu können, müssen Suchmaschinenbetreiber verschiedene Voraussetzungen erfüllen. Sie müssen ihre Tätigkeit innerhalb des EWR ausüben, einen nachweisbaren Schutz der Nutzerdaten gewährleisten, wirtschaftlich stabil sein und dürfen keiner Verbindung zu Drittstaatenakteuren außerhalb des EWR nachgehen. Dies soll sicherstellen, dass sensible Daten nicht unkontrolliert in unsichere Hände geraten. Trotz dieser Maßnahmen hat Googles Lösung Kritik ausgelöst, vor allem von Konkurrenten im Suchmaschinenmarkt. So monierte beispielsweise DuckDuckGo, dass die Restriktionen durch die Anonymisierung und die Wettbewerbsbedingungen der Lizenzierung die Wirksamkeit und den Nutzen des Programms für kleinere Anbieter stark begrenzen würden.
Google wiederum argumentiert, dass die datenschutzrechtlichen Anforderungen besonders in kleineren Ländern mit einer geringeren Nutzerbasis eine Herausforderung darstellen. Hier könne das Risiko, einzelne Nutzer zu identifizieren, trotz der angewandten Anonymisierungsmethoden nicht vollständig ausgeschlossen werden. Aus datenschutzrechtlicher Perspektive ist Googles Ansatz durchaus innovativ, insbesondere durch die Einführung der Schwellenwerte und die strikte Fokussierung auf anonymisierte Daten. Diese Maßnahmen verringern das Risiko, dass personenbezogene Informationen preisgegeben werden, ohne die Datenqualität komplett einzuschränken. Allerdings bleiben Zweifel bestehen, ob die Schwellenwerte ausreichen, um eine vollständige Anonymisierung zu garantieren.
Gerade in kleineren sprachlichen und geografischen Gemeinden könnten seltene oder sehr spezifische Suchanfragen potenziell Rückschlüsse auf einzelne Nutzer erlauben. Ein weiterer Punkt, der kritische Aufmerksamkeit verdient, ist die fehlende Klarheit über die Speicherdauer der Daten bei den Lizenznehmern. Eine längere Speicherung vergrößert das Risiko eines Datenmissbrauchs erheblich. Um dem entgegenzuwirken, wären bindende Löschpflichten bei Vertragsende und klare Zeitlimits wünschenswert. Ohne solche Regelungen bliebe die Möglichkeit bestehen, dass die bereitgestellten Daten länger als nötig genutzt oder gar missbraucht werden können.
Abseits der wissenschaftlichen und regulatorischen Diskussion im Umfeld des Datenschutzes reflektiert Googles Programm auch die wirtschaftliche Realität großer Gatekeeper. Indem das Unternehmen kontrollierte Datenbereitstellung anbietet, wahrt es seinen Vorteil als Dateninhaber und sichert sich zugleich ein zugeneigtes Umfeld für Mitbewerber. Mit anderen Worten, das Programm balanciert einerseits die Verpflichtungen aus der DMA mit den eigenen Geschäftsinteressen und andererseits den Schutz der Privatsphäre der Nutzer. Aus Sicht der Europäischen Union stellt das Google-Programm eine praktische Umsetzung der DMA-Vorschrift dar, die eine Offenlegung von Daten verlangt, um fairen Wettbewerb zu fördern. Allerdings könnte die restriktive Auslegung der DSGVO-Anforderungen diesen Wettbewerb einschränken.
Regulierungsbehörden stehen somit vor der komplexen Aufgabe, einen Mittelweg zu finden, der die Interessen aller Beteiligten berücksichtigt. Interessanterweise gab es bislang von den europäischen Datenschutzbehörden kaum öffentliche Stellungnahmen zur konkreten Umsetzung der DMA-Anforderungen im Lichte der DSGVO. Möglicherweise liegt dies daran, dass eine klare Positionierung zwischen den widerstreitenden Interessen der Nutzer-Privatsphäre, Wettbewerbsförderung und den wirtschaftlichen Interessen der Gatekeeper politisch kompliziert wäre. Die mangelnde Kommunikation lässt allerdings Raum für Spekulationen über mögliche zukünftige Anpassungen der Regulierung und die Rolle, die Datenschutz in den kommenden Jahren bei der Gestaltung digitaler Märkte spielen wird. Abschließend lässt sich festhalten, dass Googles europäisches Suchdatensatz-Lizenzierungsprogramm ein bedeutender Schritt im Spannungsfeld zwischen Datenschutz und Wettbewerb ist.
