Die EU-Kommission hat festgestellt, dass Apple Ads und Apple Maps keine Gatekeeper im Sinn des Digital Markets Act (DMA) sind-
Die Pressemitteilung der EU-Kommission: Kommission stellt fest, dass Apple Ads und Apple Maps nicht nach dem Gesetz über digitale Märkte benannt werden sollten
Die Europäische Kommission hat heute festgestellt, dass Apples Online-Werbedienst Apple Ads und Apples Online-Vermittlungsdienst Apple Maps nicht nach dem Gesetz über digitale Märkte (Digital Markets Act, DMA) benannt werden sollten.
Die heutige Entscheidung, keine Apple Ads und Apple Maps zu benennen, folgt auf die Mitteilung von Apple über diese Dienste vom 27. November 2025.Apple brachte Argumente vor und erläuterte, warum die angemeldeten Dienste seiner Ansicht nach nicht als wichtige Zugangstore zwischen gewerblichen Nutzern und Endnutzern gelten sollten.
Nach einer Überprüfung der Argumente von Apple kam die Kommission zu dem Schluss, dass Apple in Bezug auf Apple Ads und Apple Maps nicht als Gatekeeper gilt, da keiner dieser Plattformdienste ein wichtiges Zugangstor für gewerbliche Nutzer darstellt, um Endnutzer zu erreichen. Diese Bewertung stützt sich auf eine Reihe von Erwägungen, darunter, dass Apple Maps eine relativ niedrige Gesamtnutzungsrate in der EU aufweist und dass Apple Ads im Online-Werbesektor in der EU nur einen sehr begrenzten Umfang hat.
Die Kommission wird die Marktentwicklungen in Bezug auf diese Dienstleistungen im Falle wesentlicher Änderungen weiterhin überwachen. Dieser Beschluss berührt nicht die Benennung von Apple als Gatekeeper im September 2023 und April 2024 für andere zentrale Plattformdienste.
Die EU-Kommission hat ein Verfahren gegen Google nach dem DMA eingeleitet. Dabei geht es insbesondere um die Interoperabilität im Zusammenhang mit KI und den Zugriff auf Suchmaschinendaten.
Die Pressemitteilung des EU-Kommission: Kommission leitet Verfahren ein, um Google bei Einhaltung der Verpflichtungen zur Inteorperabilität und zur Weitergabe von Online-Suchdaten gemäß dem Gesetz über digitale Märkte zu unterstützen
Die Europäische Kommission hat heute zwei Präzisierungsverfahren eingeleitet, um Google bei der Einhaltung seiner Verpflichtungen aus dem Gesetz über digitale Märkte (DMA) zu unterstützen. Mit den Verfahren wird der Regulierungsdialog der Kommission mit Google zu bestimmten Aspekten der Einhaltung zweier Verpflichtungen aus dem DMA formalisiert.
Das erste Präzisierungsverfahren betrifft die Verpflichtung von Google nach Artikel 6 Absatz 7 DMA, Drittentwicklern kostenlos wirksame Interoperabilität mit Hardware- und Softwarefunktionen zu ermöglichen, die über das Google-Betriebssystem Android gesteuert werden. Im Mittelpunkt stehen Funktionen, die von Google-eigenen KI-Diensten wie Gemini genutzt werden. Die Kommission will genauer festlegen, wie Google Drittanbietern von KI-Diensten gleichermaßen wirksamen Zugang zu denselben Funktionen gewähren sollte wie den Google-eigenen Diensten. Ziel ist es, in der sich rasch entwickelnden KI-Landschaft dafür zu sorgen, dass Drittanbieter in Bezug auf Innovation und Wettbewerb auf intelligenten Mobilgeräten die gleichen Chancen haben.
Das zweite Präzisierungsverfahren betrifft die Verpflichtung von Google nach Artikel 6 Absatz 11 DMA, Drittanbietern von Online-Suchmaschinen zu fairen, zumutbaren und diskriminierungsfreien Bedingungen (sog. „FRAND“-Bedingungen) Zugang zu anonymisierten Ranking-, Anfrage-, Klick- und Ansichtsdaten zu gewähren, über die Google Search verfügt. In diesem Verfahren geht es in erster Linie um den Datenumfang, die Anonymisierungsmethode, die Zugangsbedingungen und die Zugriffsrechte von KI-Chatbot-Anbietern auf die Daten. Wenn Google seine Verpflichtungen wirksam einhält und Drittanbietern von Online-Suchmaschinen wirksamen Zugang zu einem nützlichen Datensatz bietet, können diese Anbieter ihre Dienste optimieren und den Nutzern echte Alternativen zur Google-Suche anbieten.
Nächste Schritte
Die Kommission wird die Verfahren innerhalb von sechs Monaten abschließen. In spätestens drei Monaten wird die Kommission in an Google gerichteten vorläufigen Beurteilungen einen ersten Entwurf der Maßnahmen vorlegen, die Google für eine wirksame Einhaltung des DMA ergreifen muss. Damit Dritte dazu Stellung nehmen können, werden nichtvertrauliche Zusammenfassungen der vorläufigen Beurteilungen und die vorgesehenen Maßnahmen veröffentlicht.
Im Rahmen der nun eingeleiteten Verfahren wird nicht zur Frage der Einhaltung des DMA Stellung genommen. Die Befugnis der Kommission, einen Beschluss über die Nichteinhaltung einer im DMA festgelegten Verpflichtung durch einen Torwächter (Gatekeeper) zu erlassen, einschließlich der Möglichkeit, Geldbußen oder Zwangsgelder zu verhängen, bleibt unberührt.
Hintergrund
Ziel des DMA ist es, für bestreitbare und faire Märkte im digitalen Sektor zu sorgen. Das Gesetz regelt die Verpflichtungen der Torwächter, bei denen es sich um große digitale Plattformen handelt, die gewerblichen Nutzern als wichtiges Zugangstor zu Kunden dienen und die aufgrund ihrer Stellung die Macht haben, den Marktzugang in der digitalen Wirtschaft zu kanalisieren.
Am 6. September 2023 benannte die Europäische Kommission die Google Inc.-eigenen Dienste Google Search, Google Play, Google Maps, YouTube, das Google-Betriebssystem Android, Google Chrome, Google Shopping und die Online-Werbedienste von Google als zentrale Plattformdienste. Google muss seit dem 7. März 2024 alle anwendbaren Verpflichtungen aus dem DMA in Bezug auf die benannten Dienste in vollem Umfang erfüllen.
Die Kommission hat einen Jahresbericht über die Umsetzung des DMA und die Fortschritte bei der Erreichung der damit verfolgten Ziele veröffentlicht.
Das LG Mainz hat entschieden, dass Google nach dem DMA bei Einrichtung eines Android-Smartphones nicht zwingend eine Gmail-Adresse voraussetzen darf, weill dadurch Drittenanbieter von E-Mail-Adressen benachteiligt werden. Geklagt hatte die 1&1 Mail & Media GmbH, welche GMX und Web.de betreibt.
OLG Schleswig-Holstein
Urteil vom 12.08.202 6 UKI 3/25
Das OLG Schleswig-Holstein hat den Antrag auf Erlass einer einstweiligen Verfügung gegen Meta wegen der Verwendung von Nutzerdaten als KI-Trainingsdaten mangels Dringlichkeit abgelehnt.
Die Pressemitteilung des Gerichts: Eilantrag einer niederländischen Verbraucherschutzstiftung gegen Meta auf Untersagung der Nutzung bestimmter Kundendaten scheitert an fehlender Dringlichkeit
Der 6. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts hat mit Urteil vom heutigen Tag den Antrag einer niederländischen Verbraucherschutzstiftung gegen Meta Platforms Ireland Limited (Meta) auf Untersagung der Nutzung bestimmter Kundendaten von Facebook und Instagram für KI-Lernzwecke wegen fehlender Dringlichkeit zurückgewiesen.
Meta hatte am 27.05.2025 nach Vorankündigung begonnen, bestimmte Nutzerdaten der Dienste Facebook und Instagram für KI-Trainingszwecke ohne Einverständnis der Profilinhaber zu nutzen. Meta berief sich dafür auf ein berechtigtes Interesse an der Entwicklung und Verbesserung ihrer KI-Technologien für die Plattformen und den KI-Dienst Llama. Der Datenschutz sei gewährleistet. Es würden nur bestimmte Daten von öffentlichen Profilen volljähriger Kunden genutzt und die Daten würden für das KI-Training de-identifiziert und tokenisiert. Ein Antrag der Verbraucherzentrale Nordrhein-Westfalen auf einstweilige Untersagung dieser Nutzung war vor dem Oberlandesgericht Köln (Urteil vom 23.05.2025; Az. I-15 UKl 2/25) gescheitert.
Die niederländische Verbraucherschutzstiftung Stichtung Onderzoek Marktinformatie (SOMI) hatte am 27.06.2025 vor dem Schleswig-Holsteinischen Oberlandesgericht einen Antrag auf einstweilige Untersagung der Nutzung gegen Meta eingereicht. Die tatsächliche Nutzung der Daten ohne Einverständnis der Nutzer habe nun begonnen, und die Interessen und Grundrechte der Verbraucher seien höher zu bewerten als das Interesse von Meta.
Der Senat hat den Antrag nach mündlicher Verhandlung und Anhörung des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit zurückgewiesen. Die Angelegenheit sei nicht eilbedürftig und rechtfertige daher nicht den Erlass eines einstweiligen Nutzungsverbotes. SOMI muss etwaige Ansprüche mit einer Hauptsacheklage verfolgen. Der Senat weist in seiner Entscheidung darauf hin, dass Meta bereits im Jahr 2024 gegenüber der Öffentlichkeit und dann insbesondere per E-Mails im April 2025 konkret gegenüber den Nutzern - und damit auch der SOMI - bekannt gegeben habe, die Daten entsprechend nutzen zu wollen. Während es der Verbraucherzentrale Nordrhein-Westfalen (in dem Verfahren vor dem OLG Köln) möglich gewesen sei, aufgrund der Ankündigungen zügig im Mai 2025 noch vor Beginn der Datennutzung gegen Meta vorzugehen, habe SOMI mit der Beantragung bis zum 27.06.2025 gewartet. Zu diesem Zeitpunkt habe Meta die Kundendaten bereits einen Monat lang genutzt.
Durch das lange Abwarten vor der Inanspruchnahme gerichtlichen Rechtsschutzes stehe fest, dass die Angelegenheit aus Sicht von SOMI nicht derart eilbedürftig sei, dass es der Regelung durch eine einstweilige Verfügung bedürfe. Die behaupteten Datenschutzverstöße durch das Verhalten von Meta seien spätestens seit April 2025 erkennbar gewesen. Meta habe auch nicht etwa Dinge angekündigt, die sich dann bei Beginn der Datenverarbeitung anders dargestellt hätten. So sei bereits seit einer Pressemitteilung vom 14.04.2025 erkennbar gewesen, dass die Datensätze aus Beiträgen, Kommentaren und Bildern von öffentlichen Profilen volljähriger Nutzer auch personenbezogene Daten von Kindern und nichtregistrierten Dritten enthalten könnten. Diese wüssten im Zweifel nichts von der Nutzung und könnten demnach auch nicht widersprechen. Zudem könnten sie ihre Daten nicht im Trainingsdatensatz oder innerhalb der Daten des KI-Modells selbst identifizieren, um eine unzulässige Datenverarbeitung zu beanstanden. Gleiches gelte für besonders geschützte personenbezogene Daten im Sinne von Art. 9 Datenschutzgrundverordnung (DSGVO). Solche Daten können etwa Angaben zur ethnischen oder rassischen Herkunft, sexuellen Orientierung oder politischen Meinungen enthalten. Sofern die Betroffenen ihre Daten nicht selbst öffentlich gemacht haben, ist eine Verarbeitung dieser Daten in der Regel untersagt. Nach eigener Aussage von Meta sei - so der Senat - nicht ausgeschlossen, dass solche Daten ohne Einverständnis der Betroffenen verarbeitet und von KI-Modellen ausgegeben würden. Die Möglichkeit der unzulässigen Nutzung von Verbraucherdaten sei SOMI spätestens durch eine E-Mail von Meta vom 19.04.2025 bekannt gewesen. Ein einstweiliges Verbot habe also zügig vor Beginn der Datenverarbeitung beantragt werden können.
Aus den Entscheidungsgründen: Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.
a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.
aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.
bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).
Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.
Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).
Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.
Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.
b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.
aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).
Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).
bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).
cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.
aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).
bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.
Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.
ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.
(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).
(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).
Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.
Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.
(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).
Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).
ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.
Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).
Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).
Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.
Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es
„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“
als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.
Das OLG Köln hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass Meta Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden darf. Das Gericht sah insbesondere keinenn Verstoß gegen die Vorgaben der DSGVO und des DMA.
Die Pressemitteilung des Gerichts: Meta darf Daten aus öffentlich gestellten Nutzerprofilen für KI-Training verwenden
Der 15. Zivilsenat des Oberlandesgerichts Köln hat heute (23.05.2025) in einem Eilverfahren einen Antrag der Verbraucherzentrale NRW e.V. gegen den Mutterkonzern von "Facebook" und "Instagram" abgelehnt, mit dem eine Verarbeitung öffentlich gestellter Nutzerdaten ab der kommenden Woche verhindert werden sollte.
Im April 2025 kündigte die Meta Platforms Ireland Limited (nachfolgend: Meta) öffentlich an, ab dem 27.05.2025 personenbezogene Daten aus öffentlichen Profilen ihrer Nutzer zum Training von Künstlicher Intelligenz zu verwenden. Meta betreibt unter anderem die Dienste "Facebook" und "Instagram". Die Verbraucherzentrale Nordrhein-Westfalen e.V. ist ein qualifizierter Verbraucherverband. Sie geht mit ihrem Antrag vom 12.05.2025 auf Grundlage des Unterlassungsklagengesetzes (UKlaG) gegen Meta vor. Betroffen sind Daten von Verbrauchern und von Dritten in öffentlich gestellten Profilen, soweit die Nutzer keinen Widerspruch eingelegt haben.
Nach vorläufiger und summarischer Prüfung im Rahmen des am 12.05.2025 eingeleiteten Eilverfahrens liegt weder ein Verstoß von Meta gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) noch gegen den Digital Markets Act (DMA) vor. Diese Einschätzung stimmt mit der aufsichtsrechtlichen Bewertung durch die für Meta zuständige irische Datenschutzbehörde überein. Diese führt wegen des Sachverhalts keine aufsichtsrechtlichen Maßnahmen durch und hat angekündigt, die Handlungen zu begleiten. Hinsichtlich der Daten, die von Nutzern nach Mitte des Jahres 2024 öffentlich gestellt wurden, sieht auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Verarbeitung als rechtlich möglich an. Er wurde in der mündlichen Verhandlung am 22.05.2025 angehört.
Die angekündigte Verwendung der Daten für KI-Trainingszwecke stellt sich bei vorläufiger Betrachtung auch ohne Einwilligung der Betroffenen als rechtmäßig im Sinne des Art. 6 Abs. 1 Buchstabe f) DSGVO dar. Meta verfolgt mit der Verwendung zum Training von Systemen Künstlicher Intelligenz einen legitimen Zweck. Dieser Zweck kann nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden. Unzweifelhaft werden für das Training große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können. Im Rahmen der Abwägung der Rechte von Nutzern und Meta als Betreiberin überwiegen die Interessen an der Datenverarbeitung. Diese heutige Bewertung beruht unter anderem auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) aus Dezember 2024, welcher die Beklagte durch verschiedene Maßnahmen Rechnung getragen hat. Es sollen ausschließlich öffentlich gestellte Daten verarbeitet werden, die auch von Suchmaschinen gefunden werden. Der Umstand, dass große Mengen von Daten, auch von Dritten einschließlich Minderjährigen und auch sensible Daten im Sinne des Art. 9 DSGVO, betroffen sind, überwiegt bei der Abwägung nicht. Meta hat insoweit wirkungsvolle Maßnahmen ergriffen, welche den Eingriff wesentlich abmildern. Die geplante Verarbeitung wurde bereits im Jahre 2024 angekündigt. Die Nutzer wurden über die Apps und - soweit möglich - auf anderem Wege informiert. Sie haben die Möglichkeit, die Datenverarbeitung durch Umstellung ihrer Daten auf "nicht-öffentlich" oder durch einen Widerspruch zu verhindern. Die verwendeten Daten enthalten keine eindeutigen Identifikatoren wie Name, E-Mail-Adresse oder Postanschrift einzelner Nutzer.
Nach Ansicht des Senats liegt bei vorläufiger und summarischer Prüfung im Rahmen des vorliegenden Eilverfahrens auch kein Verstoß gegen Art. 5 Abs. 2 DMA vor. Es fehlt bei vorläufiger rechtlicher Würdigung an einer "Zusammenführung" von Daten, weil Meta im Rahmen der beabsichtigten Vorgehensweise keine Daten aus Nutzerprofilen bei verschiedenen Diensten oder aus anderen Quellen im Hinblick auf einen einzelnen konkreten Nutzer kombiniert. Insoweit fehlt es an einschlägiger Rechtsprechung. Dem Senat war im Eilverfahren auch keine in der Rechtsgrundlage vorgesehene Kooperation mit der Europäischen Kommission möglich.
Das heutige Urteil ist in einem Eilverfahren infolge einer summarischen Prüfung ergangen. Es gelten hier abweichende rechtliche Anforderungen, insbesondere an die Beurteilung von streitigem Tatsachenvortrag. Die Parteien können ihre Rechte in einem gesonderten Hauptsacheverfahren wahrnehmen.
Das heute verkündete Urteil ist rechtskräftig. Die Revision zum Bundesgerichtshof findet nicht gegen Entscheidungen eines Oberlandesgerichts im einstweiligen Rechtschutz statt (§ 542 Abs. 2 Satz 1 ZPO). Für Verfahren nach dem Unterlassungsklagengesetz sind die Oberlandesgerichte in erster Instanz zuständig. Die örtliche Zuständigkeit des Oberlandesgerichts Köln folgt aus dem behaupteten Ort des drohenden Verstoßes gegen Verbraucherschutzgesetze (vergleiche § 6 Abs. 1 Satz 2 Nr. 2 UKlG).
Die EU-Kommission hat gegen Apple eine Geldbuße in Höhe von 500 Mio. Euro und gegen Meta in Höhe 200 Mio. Euro wegen Verstößen gegen den Digital Markets Act (DMA) verhängt.
Die Pressemitteilung der EU-Kommission: Kommission stellt fest, dass Apple und Meta gegen das Gesetz über digitale Märkte verstoßen
Die Europäische Kommission hat heute festgestellt, dass Apple gegen seine Anti-Steering-Verpflichtung gemäß dem Gesetz über digitale Märkte (DMA) verstoßen hat und dass Meta gegen die DMA-Verpflichtung verstoßen hat, den Verbrauchern die Wahl eines Dienstes zu geben, der weniger ihrer personenbezogenen Daten verwendet. Daher hat die Kommission gegen Apple und Meta Geldbußen in Höhe von 500 Mio. EUR bzw. 200 Mio. EUR verhängt.
Die beiden Entscheidungen erfolgen nach einem intensiven Dialog mit den betroffenen Unternehmen, der es ihnen ermöglicht, ihre Ansichten und Argumente ausführlich darzulegen.
Nichteinhaltungsentscheidung zu Apples Lenkungsbedingungen
Im Rahmen des DMA sollten App-Entwickler, die ihre Apps über den Apple App Store vertreiben, in der Lage sein, Kunden kostenlos über alternative Angebote außerhalb des App Stores zu informieren, sie auf diese Angebote zu lenken und ihnen zu ermöglichen, Einkäufe zu tätigen.
Die Kommission stellte fest, dass Apple dieser Verpflichtung nicht nachkommt. Aufgrund einer Reihe von Einschränkungen, die von Apple auferlegt wurden, können App-Entwickler nicht in vollem Umfang von den Vorteilen alternativer Vertriebskanäle außerhalb des App Store profitieren. Ebenso können Verbraucher nicht in vollem Umfang von alternativen und günstigeren Angeboten profitieren, da Apple App-Entwickler daran hindert, die Verbraucher direkt über solche Angebote zu informieren. Das Unternehmen hat nicht nachgewiesen, dass diese Beschränkungen objektiv notwendig und verhältnismäßig sind.
Im Rahmen der heutigen Entscheidung hat die Kommission Apple angewiesen, die technischen und kommerziellen Lenkungsbeschränkungen aufzuheben und davon abzusehen, das nicht konforme Verhalten in Zukunft fortzusetzen, wozu auch die Annahme eines Verhaltens mit einem gleichwertigen Zweck oder einer gleichwertigen Wirkung gehört.
Die gegen Apple verhängte Geldbuße berücksichtigt die Schwere und Dauer der Nichteinhaltung.
Die Kommission hat heute auch die Untersuchung der Nutzerwahlverpflichtungen von Apple eingestellt, da Apple frühzeitig und proaktiv an einer Compliance-Lösung beteiligt war. Weitere Informationen zu diesen Entscheidungen finden Sie hier.
Entscheidung über die Nichteinhaltung des „Zustimmungs- oder Vergütungsmodells“ von Meta
Gemäß dem Gesetz über digitale Märkte müssen Gatekeeper die Zustimmung der Nutzer zur Kombination ihrer personenbezogenen Daten zwischen Diensten einholen. Nutzer, die nicht zustimmen, müssen Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben.
Im November 2023 führte Meta ein binäres „Consent or Pay“-Werbemodell ein. Nach diesem Modell hatten die EU-Nutzer von Facebook und Instagram die Wahl zwischen der Zustimmung zur Kombination personenbezogener Daten für personalisierte Werbung oder der Zahlung eines monatlichen Abonnements für einen werbefreien Dienst.
Die Kommission stellte fest, dass dieses Modell nicht mit dem Gesetz über digitale Märkte vereinbar ist, da es den Nutzern nicht die erforderliche spezifische Wahlmöglichkeit gab, sich für einen Dienst zu entscheiden, der weniger personenbezogene Daten verwendet, aber ansonsten dem Dienst „personalisierte Anzeigen“ gleichwertig ist. Das Modell von Meta erlaubte es den Nutzern auch nicht, ihr Recht auf freiwillige Zustimmung zur Kombination ihrer personenbezogenen Daten auszuüben.
Im November 2024 führte Meta nach zahlreichen Austauschen mit der Kommission eine weitere Version des Modells der kostenlosen personalisierten Werbung ein, die eine neue Option bietet, bei der angeblich weniger personenbezogene Daten für die Anzeige von Werbung verwendet werden. Die Kommission prüft derzeit diese neue Option und setzt ihren Dialog mit Meta fort und fordert das Unternehmen auf, Nachweise für die Auswirkungen dieses neuen Anzeigenmodells in der Praxis vorzulegen.
Unbeschadet dieser laufenden Bewertung betrifft die heutige Entscheidung, mit der Verstöße festgestellt werden, den Zeitraum, in dem Endnutzern in der EU die binäre Option „Consent or Pay“ nur zwischen März 2024, als die DMA-Verpflichtungen rechtsverbindlich wurden, und November 2024, als das neue Anzeigenmodell von Meta eingeführt wurde, angeboten wurde.
Die gegen Meta verhängte Geldbuße berücksichtigt auch die Schwere und Dauer der Nichteinhaltung, wobei darauf hingewiesen wird, dass die heutigen Entscheidungen gegen Apple und Meta die ersten im Rahmen des DMA erlassenen Entscheidungen über die Nichteinhaltung sind.
Die Kommission hat heute auch festgestellt, dass der Online-Vermittlungsdienst Facebook Marketplace von Meta nicht mehr im Rahmen des DMA benannt werden sollte. Der Beschluss folgt auf einen Antrag von Meta vom 5. März 2024, die Benennung des Marktplatzes zu überdenken. Nach einer sorgfältigen Prüfung der Argumente von Meta und infolge der zusätzlichen Durchsetzungs- und kontinuierlichen Überwachungsmaßnahmen von Meta, um der Nutzung von Marketplace durch Unternehmen gegenüber Verbrauchern entgegenzuwirken, stellte die Kommission fest, dass Marketplace im Jahr 2024 weniger als 10 000 gewerbliche Nutzer hatte. Meta erfüllt daher nicht mehr den maßgeblichen Schwellenwert, der die Vermutung begründet, dass Marketplace ein wichtiges Zugangstor für gewerbliche Nutzer ist, um Endnutzer zu erreichen.
Die nächsten Schritte
Apple und Meta sind verpflichtet, den Entscheidungen der Kommission innerhalb von 60 Tagen nachzukommen, andernfalls riskieren sie Zwangsgelder.
Die Kommission setzt ihre Zusammenarbeit mit Apple und Meta fort, um die Einhaltung der Entscheidungen der Kommission und des Gesetzes über digitale Märkte im Allgemeinen sicherzustellen.
Hintergrund
Am 25. März 2024 leitete die Kommission Verstöße gegen die Vorschriften von Apple über die Lenkung im App Store und das „Pay-or-Consent-Modell“ von Meta ein. Am 24. Juni 2024 bzw. 1. Juli 2024 unterrichtete die Kommission Apple und Meta über ihre vorläufige Auffassung, dass die Unternehmen gegen das Gesetz über digitale Märkte verstoßen.
Apple und Meta hatten die Möglichkeit, ihre Verteidigungsrechte wahrzunehmen, indem sie alle Dokumente in den Untersuchungsakten der Kommission eingehend prüften und umfassend schriftlich auf die vorläufigen Feststellungen der Kommission antworteten. Die Kommission kann gegen Unternehmen, die die Vorschriften nicht einhalten, Geldbußen in Höhe von bis zu 10 % ihres weltweiten Jahresumsatzes verhängen.
Die EU-Kommission hat entschieden, dass X / Twitter kein Gatekeeper im Sinne des Digital Markets Act (DMA) ist, da der Onlinedienst kein wichtiges Gateway für Geschäftsnutzer ist, um Endnutzer zu erreichen.
Die Pressemitteilung der EU-Kommission: EU-Kommission: Onlinedienst X ist kein zentraler Plattformdienst nach dem DMA
Die EU-Kommission hat entschieden, dass der Onlinedienst X nicht als zentraler Plattformdienst nach dem Gesetz über digitale Märkte (Digital Markets Act, DMA) eingestuft werden sollte.
Die heutige Entscheidung folgt auf eine eingehende Marktuntersuchung, die am 13. Mai 2024 eingeleitet wurde, nachdem X seinen Status als potenzieller Gatekeeper angemeldet hatte.
Zusammen mit der Notifizierung reichte X auch Gegenargumente ein, in denen erläutert wurde, warum sein Onlinedienst für soziale Netzwerke seiner Ansicht nach nicht als wichtiges Gateway zwischen Unternehmen und Verbrauchern gelten sollte, selbst wenn davon ausgegangen wird, dass X die im DMA festgelegten quantitativen Schwellenwerte erfüllt.
Entscheidung der Kommission
Nach einer gründlichen Bewertung aller Argumente, einschließlich der Beiträge der relevanten Interessengruppen, und nach Rücksprache mit dem Beratungsausschuss für digitale Märkte kam die EU-Kommission zu dem Schluss, dass X in der Tat nicht als Gatekeeper in Bezug auf seinen Online-Dienst für soziale Netzwerke gilt, da die Untersuchung ergab, dass X kein wichtiges Gateway für Geschäftsnutzer ist, um Endnutzer zu erreichen.
Die Kommission wird die Entwicklungen auf dem Markt in Bezug auf diesen Dienst weiterhin beobachten, falls sich wesentliche Änderungen ergeben sollten.
Die nichtvertrauliche Fassung der Entscheidung wird auf der DMA-Website der Kommission veröffentlicht.
EuG
Urteil vom 17.07.2024 T-1077/23
Bytedance ./. Kommission
Das EuG hat entschieden, dass die Einordnung von TikTok / Bytedance als Gatekeeper (Torwächter) im Sinn des Digital Markets Act (DMA) durch die EU-Kommission rechtmäßig ist.
Die Pressemitteilung des Gerichts: Gesetz über digitale Märkte: Abweisung der Klage von Bytedance (TikTok) gegen den Beschluss der Kommission, mit dem Bytedance als Torwächter benannt wird
Die Gesellschaft Bytedance Ltd stellt über ihre Tochtergesellschaften die Plattform für das soziale Netzwerk TikTok bereit. Mit Beschluss vom 5. September 2023 benannte die Kommission Bytedance nach dem Gesetz über digitale Märkte (Digital Markets Act, im Folgenden: DMA) 1 als Torwächter. Im November 2023 erhob Bytedance gegen diesen Beschluss eine Nichtigkeitsklage. Das Gericht hat auf Antrag von Bytedance beschlossen, in der vorliegenden Rechtssache im beschleunigten Verfahren zu entscheiden.
Mit seinem heutigen Urteil, das acht Monate nach Klageerhebung ergeht, weist das Gericht die Klage von Bytedance ab.
Das Gericht verweist zunächst auf die Entstehungsgeschichte und den Regelungsgehalt des DMA. Insbesondere betont es, dass der Unionsgesetzgeber mit der Verabschiedung des DMA durch die Festlegung von Regeln zur Gewährleistung der Bestreitbarkeit und Fairness der Märkte im digitalen Sektor im Allgemeinen und zugunsten von gewerblichen Nutzern und Endnutzern der von den Torwächtern bereitgestellten zentralen Plattformdienste im Besonderen einen Beitrag zum reibungslosen Funktionieren des Binnenmarkts leisten wollte.
Sodann stellt das Gericht fest, dass die Kommission zu Recht davon ausgehen durfte, dass es sich bei Bytedance um einen Torwächter handelt. Bytedance erreicht unstreitig die im DMA vorgesehenen quantitativen Schwellenwerte, die u. a. ihren globalen Marktwert, die Zahl der Nutzer von TikTok in der Union und die Anzahl der Jahre betreffen, in denen der letztgenannte Schwellenwert für die Zahl der Nutzer erfüllt worden ist, weshalb vermutet werden kann, dass Bytedance ein Torwächter ist. Ferner war das Vorbringen von Bytedance nicht hinreichend substantiiert, um eindeutig die Vermutung zu entkräften, dass Bytedance erheblichen Einfluss auf den Binnenmarkt hat, TikTok den gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dient und Bytedance eine gefestigte und dauerhafte Position innehat.
Insbesondere weist das Gericht erstens das Argument von Bytedance zurück, wonach der Umstand, dass ihr globaler Marktwert hauptsächlich auf ihre Tätigkeiten in China zurückzuführen sei, zeige, dass sie keinen erheblichen Einfluss auf den Binnenmarkt habe, was durch ihren geringen Umsatz in der Union belegt werde. Nach Ansicht des Gerichts durfte die Kommission zu Recht davon ausgehen, dass der hohe Marktwert, den Bytedance weltweit hat, in Verbindung mit der großen Zahl der Nutzer von TikTok in der Union die finanzielle Leistungsfähigkeit von Bytedance und ihr Potenzial zur Monetarisierung dieser Nutzer widerspiegelt.
Zweitens weist das Gericht auch das Argument von Bytedance zurück, wonach der Umstand, dass sie nicht über ein Plattformökosystem verfüge und von keinen Netzwerk- oder Bindungseffekten profitiert habe sowie dass TikTok, dessen Nutzer sich zu einem erheblichen Teil zugunsten einer Parallelverwendung mehrerer Dienste entschieden hätten, eine geringere Größenordnung aufweise als andere Onlinedienste sozialer Netzwerke wie Facebook und Instagram, zeige, dass TikTok den gewerblichen Nutzern nicht als wichtiges Zugangstor zu Endnutzern diene.
Insoweit stellt das Gericht u. a. fest, dass es TikTok trotz der von Bytedance geltend gemachten Umstände seit seiner Einführung in der Union im Jahr 2018 gelungen ist, die Zahl seiner Nutzer sehr schnell und exponentiell zu steigern, um in kurzer Zeit eine halb so große Verbreitung wie Facebook und Instagram zu erzielen sowie namentlich bei jungen Nutzern, die auf TikTok mehr Zeit als in anderen sozialen Netzwerken verbringen, eine besonders hohe Bindungsquote zu erreichen.
Drittens weist das Gericht das Vorbringen von Bytedance zurück, mit dem dargetan werden sollte, dass sie keine gefestigte und dauerhafte Position innehabe. Insofern hat Bytedance geltend gemacht, ein neuer Marktteilnehmer zu sein, dem Wettbewerber wie Meta und Alphabet, die neue Dienste wie Reels und Shorts in den Verkehr gebracht hätten und durch die Nachahmung wesentlicher Merkmale von TikTok schnell gewachsen seien, seine Position erfolgreich streitig gemacht hätten. Das Gericht stellt u. a. fest, dass TikTok zwar im Jahr 2018 ein neuer Marktteilnehmer im Binnenmarkt war, mit dem gut etablierten Betreibern wie Meta und Alphabet deren Position streitig gemacht werden sollte, und dass sich seine Position in den folgenden Jahren schnell gefestigt, wenn nicht gar gestärkt hat, und dies trotz der Einführung konkurrierender Dienste wie Reels und Shorts, um in kurzer Zeit, gemessen an der Zahl der Nutzer in der Union, eine halb so große Verbreitung wie Facebook und Instagram zu erreichen.
Das Gericht gelangt ferner zu dem Ergebnis, dass die von der Kommission angewandten Beweisanforderungen richtig waren und dass die Kommission bei ihrer Beurteilung des Vorbringens von Bytedance zwar einige Fehler begangen hat, diese aber keinen Einfluss auf die Rechtmäßigkeit des angefochtenen Beschlusses hatten.
Schließlich weist das Gericht das Vorbringen von Bytedance zur angeblichen Verletzung ihrer Verteidigungsrechte und des Grundsatzes der Gleichbehandlung zurück.
Die EU-Kommission kommt zu dem vorläufigen Erghebnis, dass das “Pay or Consent" Werbemodell / Bezahlmodell von Meta für Facebook und Instagram gegen Art. 5 Abs. 2 Digital Markets Act (DMA) verstößt.
Die Pressemitteilung der EU-Kommission: Commission sends preliminary findings to Meta over its “Pay or Consent” model for breach of the Digital Markets Act
Today, the Commission has informed Meta of its preliminary findings that its “pay or consent” advertising model fails to comply with the Digital Markets Act (DMA). In the Commission's preliminary view, this binary choice forces users to consent to the combination of their personal data and fails to provide them a less personalised but equivalent version of Meta's social networks
Preliminary findings on Meta's “pay or consent” model
Online platforms often collect personal data across their own and third party services to provide online advertising services. Due to their significant position in digital markets, gatekeepers have been able to impose terms of services on their large user base allowing them to collect vast amounts of personal data. This has given them potential advantages compared to competitors who do not have access to such a vast amount of data, thereby raising high barriers to providing online advertising services and social network services.
Under Article 5(2) of the DMA, gatekeepers must seek users' consent for combining their personal data between designated core platform services and other services, and if a user refuses such consent, they should have access to a less personalised but equivalent alternative. Gatekeepers cannot make use of the service or certain functionalities conditional on users' consent.
In response to regulatory changes in the EU, Meta introduced in November 2023 a binary “pay or consent” offer whereby EU users of Facebook and Instagram have to choose between: (i) the subscription for a monthly fee to an ads-free version of these social networks or (ii) the free-of-charge access to a version of these social networks with personalised ads.
he Commission takes the preliminary view that Meta's “pay or consent” advertising model is not compliant with the DMA as it does not meet the necessary requirements set out under Article 5(2). In particular, Meta's model:
- Does not allow users to opt for a service that uses less of their personal data but is otherwise equivalent to the “personalised ads” based service.
- Does not allow users to exercise their right to freely consent to the combination of their personal data.
To ensure compliance with the DMA, users who do not consent should still get access to an equivalent service which uses less of their personal data, in this case for the personalisation of advertising.
Throughout its investigation, the Commission has been coordinating with the relevant data protection authorities.
Next steps
By sending preliminary findings, the Commission informs Meta of its preliminary view that the company is in breach of the DMA. This is without prejudice to the outcome of the investigation. Meta now has the possibility to exercise its rights of defence by examining the documents in the Commission's investigation file and replying in writing to the Commission's preliminary findings. The Commission will conclude its investigation within 12 months from the opening of proceedings on 25 March 2024.
If the Commission's preliminary views were to be ultimately confirmed, the Commission would adopt a decision finding that Meta's model does not comply with Article 5(2) of the DMA.
In case of non-compliance, the Commission can impose fines up to 10% of the gatekeeper's total worldwide turnover. Such fines can go up to 20% in case of repeated infringement. Moreover, in case of systematic non-compliance, the Commission is also empowered to adopt additional remedies such as obliging a gatekeeper to sell a business or parts of it or banning the gatekeeper from acquisitions of additional services related to the systemic non-compliance.
The Commission continues its constructive engagement with Meta to identify a satisfactory path towards effective compliance.
