BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Schleswig-Holstein
Urteil vom 12.08.202
6 UKI 3/25

Das OLG Schleswig-Holstein hat den Antrag auf Erlass einer einstweiligen Verfügung gegen Meta wegen der Verwendung von Nutzerdaten als KI-Trainingsdaten mangels Dringlichkeit abgelehnt.

Die Pressemitteilung des Gerichts:
Eilantrag einer niederländischen Verbraucherschutzstiftung gegen Meta auf Untersagung der Nutzung bestimmter Kundendaten scheitert an fehlender Dringlichkeit

Der 6. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts hat mit Urteil vom heutigen Tag den Antrag einer niederländischen Verbraucherschutzstiftung gegen Meta Platforms Ireland Limited (Meta) auf Untersagung der Nutzung bestimmter Kundendaten von Facebook und Instagram für KI-Lernzwecke wegen fehlender Dringlichkeit zurückgewiesen.

Meta hatte am 27.05.2025 nach Vorankündigung begonnen, bestimmte Nutzerdaten der Dienste Facebook und Instagram für KI-Trainingszwecke ohne Einverständnis der Profilinhaber zu nutzen. Meta berief sich dafür auf ein berechtigtes Interesse an der Entwicklung und Verbesserung ihrer KI-Technologien für die Plattformen und den KI-Dienst Llama. Der Datenschutz sei gewährleistet. Es würden nur bestimmte Daten von öffentlichen Profilen volljähriger Kunden genutzt und die Daten würden für das KI-Training de-identifiziert und tokenisiert. Ein Antrag der Verbraucherzentrale Nordrhein-Westfalen auf einstweilige Untersagung dieser Nutzung war vor dem Oberlandesgericht Köln (Urteil vom 23.05.2025; Az. I-15 UKl 2/25) gescheitert.

Die niederländische Verbraucherschutzstiftung Stichtung Onderzoek Marktinformatie (SOMI) hatte am 27.06.2025 vor dem Schleswig-Holsteinischen Oberlandesgericht einen Antrag auf einstweilige Untersagung der Nutzung gegen Meta eingereicht. Die tatsächliche Nutzung der Daten ohne Einverständnis der Nutzer habe nun begonnen, und die Interessen und Grundrechte der Verbraucher seien höher zu bewerten als das Interesse von Meta.

Der Senat hat den Antrag nach mündlicher Verhandlung und Anhörung des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit zurückgewiesen. Die Angelegenheit sei nicht eilbedürftig und rechtfertige daher nicht den Erlass eines einstweiligen Nutzungsverbotes. SOMI muss etwaige Ansprüche mit einer Hauptsacheklage verfolgen. Der Senat weist in seiner Entscheidung darauf hin, dass Meta bereits im Jahr 2024 gegenüber der Öffentlichkeit und dann insbesondere per E-Mails im April 2025 konkret gegenüber den Nutzern - und damit auch der SOMI - bekannt gegeben habe, die Daten entsprechend nutzen zu wollen. Während es der Verbraucherzentrale Nordrhein-Westfalen (in dem Verfahren vor dem OLG Köln) möglich gewesen sei, aufgrund der Ankündigungen zügig im Mai 2025 noch vor Beginn der Datennutzung gegen Meta vorzugehen, habe SOMI mit der Beantragung bis zum 27.06.2025 gewartet. Zu diesem Zeitpunkt habe Meta die Kundendaten bereits einen Monat lang genutzt.

Durch das lange Abwarten vor der Inanspruchnahme gerichtlichen Rechtsschutzes stehe fest, dass die Angelegenheit aus Sicht von SOMI nicht derart eilbedürftig sei, dass es der Regelung durch eine einstweilige Verfügung bedürfe. Die behaupteten Datenschutzverstöße durch das Verhalten von Meta seien spätestens seit April 2025 erkennbar gewesen. Meta habe auch nicht etwa Dinge angekündigt, die sich dann bei Beginn der Datenverarbeitung anders dargestellt hätten. So sei bereits seit einer Pressemitteilung vom 14.04.2025 erkennbar gewesen, dass die Datensätze aus Beiträgen, Kommentaren und Bildern von öffentlichen Profilen volljähriger Nutzer auch personenbezogene Daten von Kindern und nichtregistrierten Dritten enthalten könnten. Diese wüssten im Zweifel nichts von der Nutzung und könnten demnach auch nicht widersprechen. Zudem könnten sie ihre Daten nicht im Trainingsdatensatz oder innerhalb der Daten des KI-Modells selbst identifizieren, um eine unzulässige Datenverarbeitung zu beanstanden. Gleiches gelte für besonders geschützte personenbezogene Daten im Sinne von Art. 9 Datenschutzgrundverordnung (DSGVO). Solche Daten können etwa Angaben zur ethnischen oder rassischen Herkunft, sexuellen Orientierung oder politischen Meinungen enthalten. Sofern die Betroffenen ihre Daten nicht selbst öffentlich gemacht haben, ist eine Verarbeitung dieser Daten in der Regel untersagt. Nach eigener Aussage von Meta sei - so der Senat - nicht ausgeschlossen, dass solche Daten ohne Einverständnis der Betroffenen verarbeitet und von KI-Modellen ausgegeben würden. Die Möglichkeit der unzulässigen Nutzung von Verbraucherdaten sei SOMI spätestens durch eine E-Mail von Meta vom 19.04.2025 bekannt gewesen. Ein einstweiliges Verbot habe also zügig vor Beginn der Datenverarbeitung beantragt werden können.

OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25

Wir hatten bereits in dem Beitrag OLG Köln: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.

a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.

aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.

bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).

Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.

Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).

Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.

Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:

Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.

Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.

b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.

aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).

Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).

bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).

cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.

aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).

bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.

Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.

ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.

(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).

(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).

Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.

Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.

(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).

Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).

ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.

Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).

Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).

Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).

Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.

Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.

Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es

„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“

als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.

"Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA" vollständig lesen

OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25

Das OLG Köln hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass Meta Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden darf. Das Gericht sah insbesondere keinenn Verstoß gegen die Vorgaben der DSGVO und des DMA.

Die Pressemitteilung des Gerichts:
Meta darf Daten aus öffentlich gestellten Nutzerprofilen für KI-Training verwenden

Der 15. Zivilsenat des Oberlandesgerichts Köln hat heute (23.05.2025) in einem Eilverfahren einen Antrag der Verbraucherzentrale NRW e.V. gegen den Mutterkonzern von "Facebook" und "Instagram" abgelehnt, mit dem eine Verarbeitung öffentlich gestellter Nutzerdaten ab der kommenden Woche verhindert werden sollte.

Im April 2025 kündigte die Meta Platforms Ireland Limited (nachfolgend: Meta) öffentlich an, ab dem 27.05.2025 personenbezogene Daten aus öffentlichen Profilen ihrer Nutzer zum Training von Künstlicher Intelligenz zu verwenden. Meta betreibt unter anderem die Dienste "Facebook" und "Instagram". Die Verbraucherzentrale Nordrhein-Westfalen e.V. ist ein qualifizierter Verbraucherverband. Sie geht mit ihrem Antrag vom 12.05.2025 auf Grundlage des Unterlassungsklagengesetzes (UKlaG) gegen Meta vor. Betroffen sind Daten von Verbrauchern und von Dritten in öffentlich gestellten Profilen, soweit die Nutzer keinen Widerspruch eingelegt haben.

Nach vorläufiger und summarischer Prüfung im Rahmen des am 12.05.2025 eingeleiteten Eilverfahrens liegt weder ein Verstoß von Meta gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) noch gegen den Digital Markets Act (DMA) vor. Diese Einschätzung stimmt mit der aufsichtsrechtlichen Bewertung durch die für Meta zuständige irische Datenschutzbehörde überein. Diese führt wegen des Sachverhalts keine aufsichtsrechtlichen Maßnahmen durch und hat angekündigt, die Handlungen zu begleiten. Hinsichtlich der Daten, die von Nutzern nach Mitte des Jahres 2024 öffentlich gestellt wurden, sieht auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Verarbeitung als rechtlich möglich an. Er wurde in der mündlichen Verhandlung am 22.05.2025 angehört.

Die angekündigte Verwendung der Daten für KI-Trainingszwecke stellt sich bei vorläufiger Betrachtung auch ohne Einwilligung der Betroffenen als rechtmäßig im Sinne des Art. 6 Abs. 1 Buchstabe f) DSGVO dar. Meta verfolgt mit der Verwendung zum Training von Systemen Künstlicher Intelligenz einen legitimen Zweck. Dieser Zweck kann nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden. Unzweifelhaft werden für das Training große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können. Im Rahmen der Abwägung der Rechte von Nutzern und Meta als Betreiberin überwiegen die Interessen an der Datenverarbeitung. Diese heutige Bewertung beruht unter anderem auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) aus Dezember 2024, welcher die Beklagte durch verschiedene Maßnahmen Rechnung getragen hat. Es sollen ausschließlich öffentlich gestellte Daten verarbeitet werden, die auch von Suchmaschinen gefunden werden. Der Umstand, dass große Mengen von Daten, auch von Dritten einschließlich Minderjährigen und auch sensible Daten im Sinne des Art. 9 DSGVO, betroffen sind, überwiegt bei der Abwägung nicht. Meta hat insoweit wirkungsvolle Maßnahmen ergriffen, welche den Eingriff wesentlich abmildern. Die geplante Verarbeitung wurde bereits im Jahre 2024 angekündigt. Die Nutzer wurden über die Apps und - soweit möglich - auf anderem Wege informiert. Sie haben die Möglichkeit, die Datenverarbeitung durch Umstellung ihrer Daten auf "nicht-öffentlich" oder durch einen Widerspruch zu verhindern. Die verwendeten Daten enthalten keine eindeutigen Identifikatoren wie Name, E-Mail-Adresse oder Postanschrift einzelner Nutzer.

Nach Ansicht des Senats liegt bei vorläufiger und summarischer Prüfung im Rahmen des vorliegenden Eilverfahrens auch kein Verstoß gegen Art. 5 Abs. 2 DMA vor. Es fehlt bei vorläufiger rechtlicher Würdigung an einer "Zusammenführung" von Daten, weil Meta im Rahmen der beabsichtigten Vorgehensweise keine Daten aus Nutzerprofilen bei verschiedenen Diensten oder aus anderen Quellen im Hinblick auf einen einzelnen konkreten Nutzer kombiniert. Insoweit fehlt es an einschlägiger Rechtsprechung. Dem Senat war im Eilverfahren auch keine in der Rechtsgrundlage vorgesehene Kooperation mit der Europäischen Kommission möglich.

Das heutige Urteil ist in einem Eilverfahren infolge einer summarischen Prüfung ergangen. Es gelten hier abweichende rechtliche Anforderungen, insbesondere an die Beurteilung von streitigem Tatsachenvortrag. Die Parteien können ihre Rechte in einem gesonderten Hauptsacheverfahren wahrnehmen.

Das heute verkündete Urteil ist rechtskräftig. Die Revision zum Bundesgerichtshof findet nicht gegen Entscheidungen eines Oberlandesgerichts im einstweiligen Rechtschutz statt (§ 542 Abs. 2 Satz 1 ZPO). Für Verfahren nach dem Unterlassungsklagengesetz sind die Oberlandesgerichte in erster Instanz zuständig. Die örtliche Zuständigkeit des Oberlandesgerichts Köln folgt aus dem behaupteten Ort des drohenden Verstoßes gegen Verbraucherschutzgesetze (vergleiche § 6 Abs. 1 Satz 2 Nr. 2 UKlG).

Aktenzeichen: 15 UKl 2/25

Die EU-Kommission hat gegen Apple eine Geldbuße in Höhe von 500 Mio. Euro und gegen Meta in Höhe 200 Mio. Euro wegen Verstößen gegen den Digital Markets Act (DMA) verhängt.

Die Pressemitteilung der EU-Kommission:
Kommission stellt fest, dass Apple und Meta gegen das Gesetz über digitale Märkte verstoßen

Die Europäische Kommission hat heute festgestellt, dass Apple gegen seine Anti-Steering-Verpflichtung gemäß dem Gesetz über digitale Märkte (DMA) verstoßen hat und dass Meta gegen die DMA-Verpflichtung verstoßen hat, den Verbrauchern die Wahl eines Dienstes zu geben, der weniger ihrer personenbezogenen Daten verwendet. Daher hat die Kommission gegen Apple und Meta Geldbußen in Höhe von 500 Mio. EUR bzw. 200 Mio. EUR verhängt.

Die beiden Entscheidungen erfolgen nach einem intensiven Dialog mit den betroffenen Unternehmen, der es ihnen ermöglicht, ihre Ansichten und Argumente ausführlich darzulegen.

Nichteinhaltungsentscheidung zu Apples Lenkungsbedingungen
Im Rahmen des DMA sollten App-Entwickler, die ihre Apps über den Apple App Store vertreiben, in der Lage sein, Kunden kostenlos über alternative Angebote außerhalb des App Stores zu informieren, sie auf diese Angebote zu lenken und ihnen zu ermöglichen, Einkäufe zu tätigen.

Die Kommission stellte fest, dass Apple dieser Verpflichtung nicht nachkommt. Aufgrund einer Reihe von Einschränkungen, die von Apple auferlegt wurden, können App-Entwickler nicht in vollem Umfang von den Vorteilen alternativer Vertriebskanäle außerhalb des App Store profitieren. Ebenso können Verbraucher nicht in vollem Umfang von alternativen und günstigeren Angeboten profitieren, da Apple App-Entwickler daran hindert, die Verbraucher direkt über solche Angebote zu informieren. Das Unternehmen hat nicht nachgewiesen, dass diese Beschränkungen objektiv notwendig und verhältnismäßig sind.

Im Rahmen der heutigen Entscheidung hat die Kommission Apple angewiesen, die technischen und kommerziellen Lenkungsbeschränkungen aufzuheben und davon abzusehen, das nicht konforme Verhalten in Zukunft fortzusetzen, wozu auch die Annahme eines Verhaltens mit einem gleichwertigen Zweck oder einer gleichwertigen Wirkung gehört.

Die gegen Apple verhängte Geldbuße berücksichtigt die Schwere und Dauer der Nichteinhaltung.

Die Kommission hat heute auch die Untersuchung der Nutzerwahlverpflichtungen von Apple eingestellt, da Apple frühzeitig und proaktiv an einer Compliance-Lösung beteiligt war. Weitere Informationen zu diesen Entscheidungen finden Sie hier.

Entscheidung über die Nichteinhaltung des „Zustimmungs- oder Vergütungsmodells“ von Meta
Gemäß dem Gesetz über digitale Märkte müssen Gatekeeper die Zustimmung der Nutzer zur Kombination ihrer personenbezogenen Daten zwischen Diensten einholen. Nutzer, die nicht zustimmen, müssen Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben.

Im November 2023 führte Meta ein binäres „Consent or Pay“-Werbemodell ein. Nach diesem Modell hatten die EU-Nutzer von Facebook und Instagram die Wahl zwischen der Zustimmung zur Kombination personenbezogener Daten für personalisierte Werbung oder der Zahlung eines monatlichen Abonnements für einen werbefreien Dienst.

Die Kommission stellte fest, dass dieses Modell nicht mit dem Gesetz über digitale Märkte vereinbar ist, da es den Nutzern nicht die erforderliche spezifische Wahlmöglichkeit gab, sich für einen Dienst zu entscheiden, der weniger personenbezogene Daten verwendet, aber ansonsten dem Dienst „personalisierte Anzeigen“ gleichwertig ist. Das Modell von Meta erlaubte es den Nutzern auch nicht, ihr Recht auf freiwillige Zustimmung zur Kombination ihrer personenbezogenen Daten auszuüben.

Im November 2024 führte Meta nach zahlreichen Austauschen mit der Kommission eine weitere Version des Modells der kostenlosen personalisierten Werbung ein, die eine neue Option bietet, bei der angeblich weniger personenbezogene Daten für die Anzeige von Werbung verwendet werden. Die Kommission prüft derzeit diese neue Option und setzt ihren Dialog mit Meta fort und fordert das Unternehmen auf, Nachweise für die Auswirkungen dieses neuen Anzeigenmodells in der Praxis vorzulegen.

Unbeschadet dieser laufenden Bewertung betrifft die heutige Entscheidung, mit der Verstöße festgestellt werden, den Zeitraum, in dem Endnutzern in der EU die binäre Option „Consent or Pay“ nur zwischen März 2024, als die DMA-Verpflichtungen rechtsverbindlich wurden, und November 2024, als das neue Anzeigenmodell von Meta eingeführt wurde, angeboten wurde.

Die gegen Meta verhängte Geldbuße berücksichtigt auch die Schwere und Dauer der Nichteinhaltung, wobei darauf hingewiesen wird, dass die heutigen Entscheidungen gegen Apple und Meta die ersten im Rahmen des DMA erlassenen Entscheidungen über die Nichteinhaltung sind.

Die Kommission hat heute auch festgestellt, dass der Online-Vermittlungsdienst Facebook Marketplace von Meta nicht mehr im Rahmen des DMA benannt werden sollte. Der Beschluss folgt auf einen Antrag von Meta vom 5. März 2024, die Benennung des Marktplatzes zu überdenken. Nach einer sorgfältigen Prüfung der Argumente von Meta und infolge der zusätzlichen Durchsetzungs- und kontinuierlichen Überwachungsmaßnahmen von Meta, um der Nutzung von Marketplace durch Unternehmen gegenüber Verbrauchern entgegenzuwirken, stellte die Kommission fest, dass Marketplace im Jahr 2024 weniger als 10 000 gewerbliche Nutzer hatte. Meta erfüllt daher nicht mehr den maßgeblichen Schwellenwert, der die Vermutung begründet, dass Marketplace ein wichtiges Zugangstor für gewerbliche Nutzer ist, um Endnutzer zu erreichen.

Die nächsten Schritte
Apple und Meta sind verpflichtet, den Entscheidungen der Kommission innerhalb von 60 Tagen nachzukommen, andernfalls riskieren sie Zwangsgelder.

Die Kommission setzt ihre Zusammenarbeit mit Apple und Meta fort, um die Einhaltung der Entscheidungen der Kommission und des Gesetzes über digitale Märkte im Allgemeinen sicherzustellen.

Hintergrund
Am 25. März 2024 leitete die Kommission Verstöße gegen die Vorschriften von Apple über die Lenkung im App Store und das „Pay-or-Consent-Modell“ von Meta ein. Am 24. Juni 2024 bzw. 1. Juli 2024 unterrichtete die Kommission Apple und Meta über ihre vorläufige Auffassung, dass die Unternehmen gegen das Gesetz über digitale Märkte verstoßen.

Apple und Meta hatten die Möglichkeit, ihre Verteidigungsrechte wahrzunehmen, indem sie alle Dokumente in den Untersuchungsakten der Kommission eingehend prüften und umfassend schriftlich auf die vorläufigen Feststellungen der Kommission antworteten. Die Kommission kann gegen Unternehmen, die die Vorschriften nicht einhalten, Geldbußen in Höhe von bis zu 10 % ihres weltweiten Jahresumsatzes verhängen.

OLG München
Urteil vom 11.11.2024
19 U 200/24 e

Das OLG München hat sich in diesem Rechtsstreit mit der Abgabe und Formwirksamkeit von Willenserklärungen sowie Vertragsschluss bzw. Vertragsänderungen per Emoji im WhatsApp-Chat befasst. Das Gericht hat vorliegend entschieden, dass das "Grimassen schneidendes Gesicht“-Emoji nicht als Zustimmung zu Lieferfristverlängerung auszulegen ist.

Aus den Entscheidungsgründen:
bb) Aus dem Chatverlauf der Parteien lässt sich – entgegen der Ansicht des Beklagten – keine einvernehmliche Lieferfristverlängerung bis 30.06.2022 erblicken.

aaa) So ist bereits umstritten, ob WhatsApp-Mitteilungen bei rechtsgeschäftlich vereinbarter Schriftform – wie hier – die Voraussetzungen des § 127 Abs. 2 S. 1 BGB erfüllen.

α) Danach genügt zur Wahrung der durch Rechtsgeschäft bestimmten schriftlichen Form, soweit nicht ein anderer Wille anzunehmen ist, die telekommunikative Übermittlung.

Das gilt für alle Arten der Telekommunikation mittels technischer Telekommunikationsanlagen i.S.v. § 3 Nr. 22, 23 TKG in der bis zum 30.11.2021 geltenden Fassung bzw. § 3 Nr. 59, 60 TKG in der seit dem 01.12.2021 geltenden Fassung, soweit durch diese in Schriftzeichen lesbare verkörperte Erklärungen übersandt werden, die Übermittlung also nicht in der Form von Sprache (z.B. fernmündlich oder per Voice-Mail oder Voice-Message) erfolgt (s. BT-Drs. 14/4987, S. 20 f.; Wendtland in: BeckOK BGB, 71. Ed., Stand: 01.08.2024, § 127 Rz. 3; Wollenschläger in: beck-online.GROSSKOMMENTAR, Stand: 01.09.2024, § 127 BGB Rz. 53 f.; Einsele in: Münchener Kommentar zum BGB, 9. Aufl., § 127 Rz. 10; Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., § 127 BGB Rz. 3). Der Begriff der telekommunikativen Übermittlung ist nicht auf bestimmte Medien verengt, vielmehr bewusst entwicklungsoffen (Schäfer, NJOZ 2023, 1376 [1378]).

Es reicht eine wechselseitige elektronische bzw. digitale Datenübermittlung (Wendtland in: BeckOK BGB, 71. Ed., Stand: 01.08.2024, § 127 Rz. 4), die dabei verwendeten Medien können unterschiedliche sein (Borges in: BeckOK IT-Recht, 15. Ed., Stand: 01.04.2024, § 127 BGB Rz. 12).

Der Text muss so zugehen, dass er dauerhaft aufbewahrt werden oder der Empfänger einen Ausdruck anfertigen kann (BAG, Urteil v. 16.12.2009, Az. 5 AZR 888/08, Rz. 36; OLG Zweibrücken, Beschluss v. 04.03.2013, Az. 3 W 149/12, juris Rz. 7; Ellenberger in: Grüneberg, BGB, 83. Aufl., § 127 Rz. 2; Preis in: Erfurter Kommentar zum Arbeitsrecht, 24. Aufl., § 127 BGB Rz. 44).

β) αα) Teilweise wird vertreten (so z.B. OLG Frankfurt a.M., Urteil v. 21.12.2023, Az. 15 U 211/21, juris Rz. 68 ff.; ähnlich AG Kassel, Urteil v. 15.03.2022, Az. 410 C 1583/22, juris Rz. 16 f.), diesen Anforderungen entspreche die Übermittlung per Messengerdienst nicht.

Es fehle es an einer hinreichend sicheren Möglichkeit der dauerhaften Archivierung und des Ausdrucks. Hinzu komme der Umstand, dass selbst der bloße Namenszusatz nicht ohne weiteres hinreichend sichere Gewähr biete, welche Person die darin enthaltene Erklärung rechtlich verantworte. Ferner sei zu berücksichtigen, dass ein Formerfordernis auch die Bedeutung habe, die erklärende Person zu warnen und vor übereilter Abgabe der Erklärung zu schützen. Die typische Art und Weise der Benutzung eines Messengerdienstes stehe dem entgegenstehe.

ββ) Die aus Sicht des Senats vorzugswürdige Ansicht bejaht die Voraussetzungen der gewillkürten Schriftform nach § 127 Abs. 2 S. 1 BGB auch bei der Übermittlung einer Textnachricht oder eines Attachments in Gestalt einer Textverarbeitungs- oder PDF-Datei oder eines ausreichend guten Fotos per WhatsApp – nicht jedoch bei einer WhatsApp-Sprachnachricht oder einem Video- oder Audio-Attachment (vgl. ausführl. Schäfer, NJOZ 2023, 1376 [1378 f. m.w.N.]; i. Erg. bspw. ebenso Wollenschläger in: beck-online.GROSSKOMMENTAR, Stand: 01.09.2024, § 127 BGB Rz. 54; Härting, Internetrecht, 7. Aufl., Rz. 534).

Die Einwände der gegenteiligen Auffassung erweisen sich als nicht stichhaltig. Die Dauerhaftigkeit und Reproduzierbarkeit sind bei WhatsApp-Nachrichten oder -Attachments in der vorgeschilderten Form gegeben. Dazu ist zum einen zu berücksichtigen, dass der Chatverlauf bei Whats-App – soweit diese Funktion nicht ausgeschaltet ist – regelmäßig per Backup in der Cloud gesichert wird, also dauerhaft gespeichert wird. Zum anderen ist zu sehen, dass – abgesehen von der nur kurzzeitig für ein eng begrenztes Zeitfenster nach dem Versand für den Absender eröffneten Option „Für alle löschen“ – Nachrichten den Empfängern nicht mehr „entrissen“ werden können. Die Reproduktion ist sowohl physisch durch (screenshot- oder exportbasierten) Ausdruck möglich als auch digital durch Weiterleiten der Nachricht.

Die Ansicht, dass Messengerdienste weit überwiegend nur zum raschen Austausch rein privater Nachrichten und gerade nicht zur Abgabe rechtsgeschäftlicher Erklärungen benutzt würden und dabei die Emotionalität privater Nachrichten und nicht das überlegte Handeln mit entsprechenden rechtlichen Konsequenzen im Vordergrund stünde (so OLG Frankfurt a.M., Urteil v. 21.12.2023, Az. 15 U 211/21, juris Rz. 74), erscheint angesichts der mittlerweile weiten Verbreitung dieser elektronischen Kommunikationsform auch im Rechts- und Geschäftsverkehr als überholt und wird namentlich durch den streitgegenständlichen Fall widerlegt.

bbb) Völlig ungeachtet der Frage, ob hier § 127 Abs. 2 S. 1 ZPO erfüllt ist, weist der Chatverlauf der Parteien nicht den vom Beklagten darin erblickten Inhalt auf. Insbesondere signalisierte der Kläger – anders als der Beklagte meint – nicht, insbesondere nicht mit den von ihm verwendeten Emojis, seine Zustimmung zu einer Lieferfristverlängerung bis zum 30.06.2022.

α) Das Zustandekommen einer den ursprünglichen Kaufvertrag hinsichtlich des Liefertermins und der unechten Nachfrist abändernden Abrede zwischen den Parteien setzt zwei übereinstimmende Willenserklärungen in Gestalt von Antrag (§ 145 BGB) und Annahme (§ 147 BGB) voraus.

Willenserklärungen können sowohl ausdrücklich – mündlich oder in schriftlicher Form – als auch konkludent – d.h. durch schlüssiges Verhalten – erfolgen. Bei Nachrichten, die per Messenger-dienst gesendet werden, handelt es sich um elektronisch übermittelte Willenserklärungen (Säcker in: Münchener Kommentar zum BGB, 9. Aufl, Einl. Rz. 209). Auch elektronische Erklärungen sind echte Willenserklärungen (Ellenberger in: Grüneberg, BGB, 83. Aufl., Einf. v. § 116 Rz. 1). Diese unterliegen den allgemeinen Regeln der Rechtsgeschäftslehre.

Der Erklärende kann seinen Willen mittels Zeichen kundtun (Singer in: Staudinger, BGB, Neubearb. 2021, § 133 Rz. 8; Biehl, JuS 2010, 195 [197]), d.h. auch durch digitale Piktogramme – wie Emojis. Diese werden häufig genutzt, um eine Aussage zu unterstreichen oder zu verstärken oder sollen klarstellen, in welchem Sinne etwas zu verstehen ist (z.B. ironisch). In dieser Funktion erfüllen Emojis im digitalen Diskurs ähnliche Funktionen wie Intonation, Gestik, Mimik und andere körpersprachliche Elemente in realen Gesprächen (Pendl, NJW 2022, 1054 [1056 Rz. 12]). Teilweise werden aber auch Worte innerhalb eines Satzes durch ein Emoji ersetzt. Ob der Verwender von Emojis einen Rechtsbindungswillen zum Ausdruck bringen oder lediglich seine Stimmungs- oder Gefühlslage mitteilen möchte, ist eine Frage der Auslegung (Freyler, JA 2018, 732 [733]).

Emojis besitzen als Zeichen Interpretationsmöglichkeiten, die heranzuziehen sind; dabei spielen allerdings nur solche eine Rolle, die der Empfänger auch verstehen konnte (Freyler, JA 2018, 732 [734]). Umstände, die dem Erklärungsempfänger weder bekannt noch erkennbar waren, bleiben außer Betracht (BGH, Urteil v. 05.10.2006, Az. III ZR 166/05, Rz. 18: Ellenberger in: Grüneberg, BGB, 83. Aufl., § 133 Rz. 9). Faktoren wie Nationalität und Muttersprache, kultureller Hintergrund sowie Alter, Geschlecht oder Persönlichkeitsstruktur können sowohl die Nutzung als auch das Verständnis von Emojis beeinflussen, wobei sich besonders deutliche Einschnitte zwischen den Altersgruppen ergeben (Pendl, NJW 2022, 1054 [1056 Rz. 13]). Emojis bergen somit die Gefahr von Missverständnissen und Fehlschlüssen, weil die konkret verwendeten Symbole möglicherweise auf einem spezifischen „Emoji-Soziolekt“ beruhen, der bloß innerhalb einer bestimmten Gruppe existiert (Pendl, NJW 2022, 1054 [1056 Rz. 14]; illustrativ auch Püttmann/Opfer, LTO v. 02.11.2024: Vorsicht mit Emojis, https://www.lto.de/persistent/a_id/55764 [abgerufen: 11.11.2024], zum Emoji ).

Es ist – ebenso wie sonst – zu fragen, wie ein verständiger Empfänger der Nachricht die Willenserklärung nach Treu und Glauben unter Berücksichtigung der Verkehrssitte verstehen durfte, § 133, § 157 BGB. Dabei können die Begleitumstände Berücksichtigung finden, soweit diese einen Anhaltspunkt für den Sinngehalt des Erklärten bieten (BGH, Urteil v. 19.01.2000, Az. VIII ZR 275/98, juris Rz. 20; Ellenberger in: Grüneberg, BGB, 83. Aufl., § 133 Rz. 15). Zu Bestimmung des Bedeutungsgehalts von Emojis kann der Rechtsanwender gegebenenfalls Emoji-Lexika zurate ziehen (Pendl, NJW 2022, 1054 [1056 Rz. 18]). Hinweise auf das Verständnis eines Emojis können auch aus dem Begleittext folgen.

β) Eingedenk des Vorstehenden ist die Verwendung des Emojis in der WhatsApp-Nachricht des Klägers vom 23.09.2021 nicht als Zustimmung zur Aussage des Beklagten in der Nachricht zuvor zu werten „Der SF 90 Stradale rutscht leider auf erstes Halbjahr 2022.“

Ausgehend von seiner in den gebräuchlichen Emoji-Lexika Emojipedia (https://emojipedia.org/de/grimassen-schneidendes-gesicht [abgerufen: 11.11.2024]) und Emojiterra (https://emojiterra.com/de/grimassen-schneidender-smiley [abgerufen: 11.11.2024]) angegebenen Bedeutung stellt der sog. „Grimassen schneidendes Gesicht“-Emoji (Unicode: U+1F62C) grundsätzlich negative oder gespannte Emotionen dar, besonders Nervosität, Verlegenheit, Unbehagen oder Peinlichkeit. Dass die Parteien des Rechtsstreits – individuell oder aus Zugehörigkeit zu einer bestimmten sozialen Gruppe – diesem eine davon abweichende Bedeutung beimaßen, ist weder vorgetragen noch sonst ersichtlich. Zudem ist der spezifische Kontext zu berücksichtigen, in dem der Emoji verwendet wurde. Der daneben vom Kläger verwendete Ausdruck „Ups“ ist allenfalls als Ausruf der Überraschung oder des Erstaunens zu werten, keinesfalls ist damit eine zustimmende Aussage verbunden. Die folgende Aussage des Klägers ändert daran nichts mehr.

γ) Die Verwendung des Emojis in der Nachricht vom 29.09.2021 durch den Kläger hat ebenso nicht diesen, ihm vom Beklagten zugemessenen Bedeutungsinhalt.

Zwar signalisiert der sog. „Daumen hoch“-Emoji (Unicode: U+1F44D) – was dem Beklagten zuzugeben ist – laut der oben angegebenen Emoji-Lexika und in Übereistimmung mit dem überwiegenden Verständnis dieser Geste bei physischer Verwendung regelmäßig Zustimmung, Einverständnis oder Anerkennung. Die Nachricht bezog sich aber ersichtlich nicht mehr auf die erste Nachricht des Beklagten vom 23.09.2021, sondern die dazwischen geführte Konversation der Parteien am 28. und 29.09.2021 und diese drehte sich um die Umstände der Verbindlichkeit der Bestellung des Pkw und dessen Konfiguration – und in keiner Weise den Liefertermin.

δ) Selbst die klägerische WhatsApp-Nachricht vom 27.01.2022 unter Verwendung des Emojis ist nicht im vom Beklagten gewünschten Sinne auszulegen.

Der sog. „Grinsendes Gesicht mit lachenden Augen“-Emoji (Unicode: U+1F604) hat in der Regel schon keine eindeutige Bedeutung. Er vermittelt laut Emoji-Lexika oftmals allgemeine Freude, Glücksgefühle, eine warme, positive Stimmung oder gutmütige Belustigung, kann aber auch Stolz oder Aufregung vermitteln.

Außerdem ist er vorliegend eingebettet in folgende Nachricht:
„Erstes Halbjahr hat angefangen. schon ein Lebenszeichen von Ferrari wann mit dem Auto zu rechnen ist?“

Dass dadurch zum Ausdruck kommen soll, dass der Kläger nunmehr mit einer Verlängerung der Lieferfrist für den Pkw bis zum 30.06.2022 sein Einverständnis zum Ausdruck gebracht habe, ergibt sich aus nichts. Allenfalls kann darin der Ausdruck einer unspezifischen Vorfreude oder Hoffnung, keinesfalls auch nur ein Erklärungsbewusstsein des Klägers erkannt werden.

Den Volltext der Entscheidung finden Sie hier:

Das Bundeskartellamt hat das Verfahrens gegen Facebook / Meta hinsichtlich der Zusammenführung von Nutzerdaten aus verschiedenen Angeboten und Diensten abgeschlossen.

Die Pressemitteilung des Bundeskartellamts:
Abschluss des Facebook-Verfahrens

Das Bundeskartellamt hat sein Facebook-Verfahren abgeschlossen. Ergebnis des Verfahrens ist ein Gesamtpaket von Maßnahmen, das den Nutzenden des sozialen Netzwerkes Facebook deutlich verbesserte Wahlmöglichkeiten hinsichtlich der Verknüpfung ihrer Daten einräumt.

Im Februar 2019 hatte das Bundeskartellamt Meta (vormals Facebook) untersagt, personenbezogene Daten der Nutzenden ohne Einwilligung aus verschiedenen Quellen zusammenzuführen. Gegen die Entscheidung hatte Meta Beschwerde eingelegt. Neben einer jahrelangen gerichtlichen Auseinandersetzung und der Bestätigung des Bundeskartellamtes in Grundsatzfragen durch den Bundesgerichtshof (2020) sowie den Europäischen Gerichtshof (2023) haben Meta und das Bundeskartellamt intensiv über konkrete Maßnahmen zur Umsetzung der Entscheidung verhandelt. Nun wurden die Einzelmaßnahmen Metas als hinreichend wirkungsvolles Gesamtpaket angesehen, um das Verfahren abzuschließen. Meta hat seinerseits die vor dem Oberlandesgericht Düsseldorf (OLG Düsseldorf) anhängige Beschwerde gegen die Entscheidung des Bundeskartellamtes zurückgenommen. Die Entscheidung ist damit bestandskräftig.

Andreas Mundt, Präsident des Bundeskartellamtes: „Die Facebook-Entscheidung aus dem Jahr 2019 kann bis heute als bahnbrechend gelten. Auf Grundlage unserer seinerzeitigen Entscheidung hat Meta ganz wesentliche Anpassungen beim Umgang mit Nutzerdaten vorgenommen. Zentral ist dabei, dass die Nutzung von Facebook nicht mehr voraussetzt, dass man in eine grenzenlose Sammlung und Zuordnung von Daten zum eigenen Nutzerkonto einwilligt, auch wenn die Daten gar nicht im Facebook-Dienst anfallen. Das betrifft etwa Konzerndienste wie Instagram oder Drittseiten und -Apps. Das bedeutet, dass Nutzende nun deutlich bessere Kontrollmöglichkeiten hinsichtlich der Zusammenführung ihrer Daten haben. Neben diesen ganz konkreten Verbesserungen hat die Entscheidung des Bundeskartellamtes darüber hinaus zu einer wichtigen Leitentscheidung des Europäischen Gerichtshofes geführt und auf der nationalen wie europäischen Ebene Gesetzgebungsinitiativen inspiriert. Dies bedeutet auch, dass wir im Hinblick auf die Rechtsklarheit und die Eingriffsinstrumente in diesem Bereich heute einen ganz anderen Stand haben als noch vor fünf Jahren.“

Vor der Entscheidung des Bundeskartellamtes konnte das soziale Netzwerk Facebook nur unter der Voraussetzung genutzt werden, dass Facebook die Möglichkeit eingeräumt wurde, Daten über die Nutzenden auch außerhalb des Facebook-Angebots zu erheben und dem jeweiligen Facebook-Nutzerkonto zuzuordnen. Dies betraf zum einen Daten aus anderen unternehmenseigenen Diensten (wie Instagram) und zum anderen Daten, die in Apps und auf Websites von Drittanbietern erhoben wurden. Nutzende hatten insoweit nur die Wahl, entweder einer nahezu unbegrenzten Datenzusammenführung zuzustimmen oder auf die Nutzung des sozialen Netzwerks zu verzichten. Das Bundeskartellamt hatte diese Geschäftsbedingungen untersagt und verlangt, dass eine Zusammenführung der Daten nur nach gesonderter Einwilligung erfolgt, die gerade nicht zur Voraussetzung für die Nutzung von Facebook gemacht werden darf (vgl. Pressemitteilung vom 7. Februar 2019).

Der Beendigung des Verfahrens war ein intensiver Diskussionsprozess zwischen Meta und dem Bundeskartellamt vorausgegangen, innerhalb dessen Meta schrittweise folgende Maßnahmen zur Umsetzung der Entscheidung ergriffen bzw. zugesagt hat:

Einführung einer Kontenübersicht (vgl. Pressemitteilung vom 7. Juni 2023) zur Datentrennung zwischen einzelnen Meta-Diensten: Die Kontenübersicht erlaubt es Nutzenden, selbst zu entscheiden, welche Meta-Dienste (z. B. Facebook und Instagram) sie miteinander verknüpfen und damit einen Datenaustausch auch zu Werbezwecken erlauben wollen. Eine getrennte Nutzung der Dienste bleibt ohne wesentliche Qualitätseinbußen möglich.
Einführung von „Cookie“-Einstellungen zur Trennung von Facebook-Daten und anderen Daten: Im Hinblick auf Daten, die Meta über seine sog. Business Tools von Webseiten oder Apps anderer Unternehmen erhält, können Nutzende jetzt im Rahmen der „Cookie“-Einstellungen von Facebook entscheiden, ob sie eine Verknüpfung mit ihren in dem Dienst gespeicherten Daten erlauben möchten. Gleiches gilt für Instagram.
Sonderstellung des Facebook-Logins: Wer sich dafür entscheidet, seine Facebook-Daten nicht mit seinen Nutzungsdaten von anderen Websites oder Apps zusammenzuführen, kann hiervon für das Facebook-Login eine Ausnahme machen, wenn er diese Anmeldemöglichkeit in Apps oder auf Websites von Dritten benutzen möchte. Zuvor mussten Nutzende Meta sämtliche Datenzusammenführungen mit Daten aus Drittapps bzw. von Drittwebsites erlauben, wenn sie auf das Facebook-Login nicht verzichten wollten.
Prägnante Kundeninformation: Damit Metas Kundinnen und Kunden schnell zu den einschlägigen Einstellungen gelangen, mit denen ungewollte Datenverknüpfungen unterbunden werden können, werden Nutzende, die einer Datenverknüpfung in der Vergangenheit zugestimmt haben, beim Aufruf von Facebook auffällig gestaltete Benachrichtigungen erhalten, die jeweils direkte Verlinkungen zu den neu gestalteten Auswahlinstrumenten enthalten.
Vorgeschalteter Wegweiser: Meta hat am Anfang seiner Datenrichtlinie einen deutlichen Hinweis auf die Wahlmöglichkeiten der Nutzenden eingeführt (https://de-de.facebook.com/privacy/policy/ „So verwaltest du die Informationen, die wir verwenden“). Dieser enthält einen kurzen Erläuterungstext und Links zur Kontenübersicht und den „Cookie“-Einstellungen.
Eingeschränkte Datenverknüpfung für Sicherheitszwecke: Unabhängig von den von den Nutzenden vorgenommenen Einstellungen in Facebook oder Instagram speichert und verknüpft Meta Nutzungsdaten zu Sicherheitszwecken. Dies geschieht indessen nur vorübergehend und – sofern sich kein Verdacht auf unzulässiges Verhalten ergibt – längstens für einen vorab einheitlich festgelegten Zeitraum.
Andreas Mundt: „In der Gesamtschau ermöglichen diese Instrumente den Nutzenden eine erheblich verbesserte Kontrolle über das Ausmaß der Zuordnung von persönlichen Daten aus anderen Meta-Diensten sowie von Webseiten oder Apps anderer Unternehmen zu ihrem jeweiligen Facebook-Konto.“

Die oben beschriebenen Maßnahmen sind bereits umgesetzt oder werden in den nächsten Wochen realisiert.

Der Abschluss des Verfahrens bedeutet nicht, dass alle kartellrechtlichen Bedenken restlos ausgeräumt worden wären. Vielmehr wurden die Maßnahmen Metas als hinreichend geeignetes Gesamtpaket angesehen, um auf Vollstreckungsmaßnahmen zu verzichten und das Verfahren im Ermessenswege abzuschließen. Dies gilt auch vor dem Hintergrund, dass andere Behörden über wirksame und gut geeignete Instrumentarien verfügen, um ggf. weiterreichende Verbesserungen für die Nutzenden von Meta-Diensten in der Europäischen Union zu erreichen. Der Abschluss des Verfahrens auf der Basis des oben beschriebenen Maßnahmenpakets enthält daher keine Wertung, ob Meta die sich aus diesen Instrumentarien ergebenden Pflichten erfüllt. So hat die Europäische Kommission inzwischen die Befugnis, auf der Grundlage von Art. 5 Abs. 2 des Digital Markets Act (DMA), welcher die Problematik der Facebook-Entscheidung des Bundeskartellamtes aufgreift und weiterentwickelt, gegen Datenzusammenführungen zwischen verschiedenen Diensten von sog. Torwächtern vorzugehen, sofern keine wirksame Einwilligung vorliegt. Die Datenschutzbehörden können in Anwendung der Datenschutzgrundverordnung prüfen, inwieweit Einwilligungen tatsächlich freiwillig erfolgt sind und ob Datenverarbeitungen – auch innerhalb einzelner Dienste – ggf. exzessiv sind. Auch könnten hinsichtlich Metas Gestaltung der Nutzerdialoge verbraucherschützende Vorschriften zum Zug kommen.

Aufgrund z. T. ähnlicher Fragestellungen in Kartell- und Datenschutzrecht hat sich das Bundeskartellamt während des Verfahrens regelmäßig mit Datenschutzbehörden ausgetauscht. Zudem wurde das Bundeskartellamt in technischen Fragen vom Bundesamt für Sicherheit in der Informationstechnik unterstützt. Ferner war der Verbraucherzentrale Bundesverband (vzbv) als Beigeladene an dem Verfahren beteiligt.

Hintergrund:

Am 6. Februar 2019 untersagte das Bundeskartellamt Meta (vormals Facebook) per Beschluss, Daten ohne Einwilligung der Nutzenden aus verschiedenen Quellen zusammenzuführen. Hiergegen legte Meta Beschwerde beim OLG Düsseldorf ein. Dieses ordnete auf Antrag Metas am 26. August 2019 die aufschiebende Wirkung der Beschwerde an. Diese Anordnung hob der Bundesgerichtshof auf Antrag des Bundeskartellamtes mit Beschluss vom 23. Juni 2020 auf und lehnte Metas Antrag auf Anordnung der aufschiebenden Wirkung der Beschwerde ab. Am 24. März 2021 legte das OLG Düsseldorf dem Europäischen Gerichtshof (EuGH) diverse Fragen vor und setzte das Verfahren bis zur Entscheidung des EuGH aus. Der EuGH sollte u. a. klären, ob das Bundeskartellamt im Rahmen von kartellrechtlichen Abwägungsentscheidungen auch DSGVO-Normen auslegen darf. Der Europäische Gerichtshof hat dies in seiner Entscheidung am 4. Juli 2023 (Rechtssache C-252/21) bejaht. Der Rechtsstreit vor dem OLG Düsseldorf wurde angesichts der Gespräche zwischen den Parteien zuletzt nicht aktiv betrieben und ist jetzt mit der Rücknahme der Beschwerde durch Meta beendet.

Aktuell wird die Rechtmäßigkeit von Metas „Pay or consent“-Modell diskutiert, welches eine werbefreie Nutzung von Facebook bzw. Instagram gegen Gebühr ermöglicht. Mehrere europäische Verbraucherverbände haben hiergegen Beschwerde bei ihren jeweiligen nationalen Datenschutzbehörden eingelegt (siehe https://www.beuc.eu/press-releases/consumer-groups-launch-complaints-against-metas-massive-illegal-data-processing). Auch der Europäische Datenschutzausschuss hat entsprechende Modelle in einer Stellungnahme vom 17. April 2024 kritisiert (siehe https://www.edpb.europa.eu/system/files/2024-04/edpb_opinion_202408_consentorpay_en.pdf). Die Europäische Kommission sieht im „Pay or consent“-Modell von Meta einen möglichen Verstoß gegen den seit 7. März 2024 durchsetzbaren Digital Markets Act (DMA) und hat Meta hierzu am 1. Juli 2024 ihre vorläufigen Feststellungen mitgeteilt (siehe https://ec.europa.eu/commission/presscorner/detail/de/ip_24_3582).

Den Fallbericht des Bundeskartellamts finden Sie hier:

EuG
Urteil vom 17.07.2024
T-1077/23
Bytedance ./. Kommission

Das EuG hat entschieden, dass die Einordnung von TikTok / Bytedance als Gatekeeper (Torwächter) im Sinn des Digital Markets Act (DMA) durch die EU-Kommission rechtmäßig ist.

Die Pressemitteilung des Gerichts:
Gesetz über digitale Märkte: Abweisung der Klage von Bytedance (TikTok) gegen den Beschluss der Kommission, mit dem Bytedance als Torwächter benannt wird

Die Gesellschaft Bytedance Ltd stellt über ihre Tochtergesellschaften die Plattform für das soziale Netzwerk TikTok bereit. Mit Beschluss vom 5. September 2023 benannte die Kommission Bytedance nach dem Gesetz über digitale Märkte (Digital Markets Act, im Folgenden: DMA) 1 als Torwächter. Im November 2023 erhob Bytedance gegen diesen Beschluss eine Nichtigkeitsklage. Das Gericht hat auf Antrag von Bytedance beschlossen, in der vorliegenden Rechtssache im beschleunigten Verfahren zu entscheiden.

Mit seinem heutigen Urteil, das acht Monate nach Klageerhebung ergeht, weist das Gericht die Klage von Bytedance ab.

Das Gericht verweist zunächst auf die Entstehungsgeschichte und den Regelungsgehalt des DMA. Insbesondere betont es, dass der Unionsgesetzgeber mit der Verabschiedung des DMA durch die Festlegung von Regeln zur Gewährleistung der Bestreitbarkeit und Fairness der Märkte im digitalen Sektor im Allgemeinen und zugunsten von gewerblichen Nutzern und Endnutzern der von den Torwächtern bereitgestellten zentralen Plattformdienste im Besonderen einen Beitrag zum reibungslosen Funktionieren des Binnenmarkts leisten wollte.

Sodann stellt das Gericht fest, dass die Kommission zu Recht davon ausgehen durfte, dass es sich bei Bytedance um einen Torwächter handelt. Bytedance erreicht unstreitig die im DMA vorgesehenen quantitativen Schwellenwerte, die u. a. ihren globalen Marktwert, die Zahl der Nutzer von TikTok in der Union und die Anzahl der Jahre betreffen, in denen der letztgenannte Schwellenwert für die Zahl der Nutzer erfüllt worden ist, weshalb vermutet werden kann, dass Bytedance ein Torwächter ist. Ferner war das Vorbringen von Bytedance nicht hinreichend substantiiert, um eindeutig die Vermutung zu entkräften, dass Bytedance erheblichen Einfluss auf den Binnenmarkt hat, TikTok den gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dient und Bytedance eine gefestigte und dauerhafte Position innehat.

Insbesondere weist das Gericht erstens das Argument von Bytedance zurück, wonach der Umstand, dass ihr globaler Marktwert hauptsächlich auf ihre Tätigkeiten in China zurückzuführen sei, zeige, dass sie keinen erheblichen Einfluss auf den Binnenmarkt habe, was durch ihren geringen Umsatz in der Union belegt werde. Nach Ansicht des Gerichts durfte die Kommission zu Recht davon ausgehen, dass der hohe Marktwert, den Bytedance weltweit hat, in Verbindung mit der großen Zahl der Nutzer von TikTok in der Union die finanzielle Leistungsfähigkeit von Bytedance und ihr Potenzial zur Monetarisierung dieser Nutzer widerspiegelt.

Zweitens weist das Gericht auch das Argument von Bytedance zurück, wonach der Umstand, dass sie nicht über ein Plattformökosystem verfüge und von keinen Netzwerk- oder Bindungseffekten profitiert habe sowie dass TikTok, dessen Nutzer sich zu einem erheblichen Teil zugunsten einer Parallelverwendung mehrerer Dienste entschieden hätten, eine geringere Größenordnung aufweise als andere Onlinedienste sozialer Netzwerke wie Facebook und Instagram, zeige, dass TikTok den gewerblichen Nutzern nicht als wichtiges Zugangstor zu Endnutzern diene.

Insoweit stellt das Gericht u. a. fest, dass es TikTok trotz der von Bytedance geltend gemachten Umstände seit seiner Einführung in der Union im Jahr 2018 gelungen ist, die Zahl seiner Nutzer sehr schnell und exponentiell zu steigern, um in kurzer Zeit eine halb so große Verbreitung wie Facebook und Instagram zu erzielen sowie namentlich bei jungen Nutzern, die auf TikTok mehr Zeit als in anderen sozialen Netzwerken verbringen, eine besonders hohe Bindungsquote zu erreichen.

Drittens weist das Gericht das Vorbringen von Bytedance zurück, mit dem dargetan werden sollte, dass sie keine gefestigte und dauerhafte Position innehabe. Insofern hat Bytedance geltend gemacht, ein neuer Marktteilnehmer zu sein, dem Wettbewerber wie Meta und Alphabet, die neue Dienste wie Reels und Shorts in den Verkehr gebracht hätten und durch die Nachahmung wesentlicher Merkmale von TikTok schnell gewachsen seien, seine Position erfolgreich streitig gemacht hätten. Das Gericht stellt u. a. fest, dass TikTok zwar im Jahr 2018 ein neuer Marktteilnehmer im Binnenmarkt war, mit dem gut etablierten Betreibern wie Meta und Alphabet deren Position streitig gemacht werden sollte, und dass sich seine Position in den folgenden Jahren schnell gefestigt, wenn nicht gar gestärkt hat, und dies trotz der Einführung konkurrierender Dienste wie Reels und Shorts, um in kurzer Zeit, gemessen an der Zahl der Nutzer in der Union, eine halb so große Verbreitung wie Facebook und Instagram zu erreichen.

Das Gericht gelangt ferner zu dem Ergebnis, dass die von der Kommission angewandten Beweisanforderungen richtig waren und dass die Kommission bei ihrer Beurteilung des Vorbringens von Bytedance zwar einige Fehler begangen hat, diese aber keinen Einfluss auf die Rechtmäßigkeit des angefochtenen Beschlusses hatten.

Schließlich weist das Gericht das Vorbringen von Bytedance zur angeblichen Verletzung ihrer Verteidigungsrechte und des Grundsatzes der Gleichbehandlung zurück.

Den Volltext der Entscheidung finden Sie hier:

Die EU-Kommission hat Verfahren nach dem Digital Markets Act (DMA) wegen möglicher Verstöße gegen Alphabet / Google, Apple and Meta eingeleitet.

Die Pressemitteilung der EU-Kommission:
Commission opens non-compliance investigations against Alphabet, Apple and Meta under the Digital Markets Act

Today, the Commission has opened non-compliance investigations under the Digital Markets Act (DMA) into Alphabet's rules on steering in Google Play and self-preferencing on Google Search, Apple's rules on steering in the App Store and the choice screen for Safari and Meta's “pay or consent model”.

The Commission suspects that the measures put in place by these gatekeepers fall short of effective compliance of their obligations under the DMA.

In addition, the Commission has launched investigatory steps relating to Apple's new fee structure for alternative app stores and Amazon's ranking practices on its marketplace. Finally, the Commission has ordered gatekeepers to retain certain documents to monitor the effective implementation and compliance with their obligations.

Alphabet's and Apple's steering rules

The Commission has opened proceedings to assess whether the measures implemented by Alphabet and Apple in relation to their obligations pertaining to app stores are in breach of the DMA. Article 5(4) of the DMA requires gatekeepers to allow app developers to “steer” consumers to offers outside the gatekeepers' app stores, free of charge.

The Commission is concerned that Alphabet's and Apple's measures may not be fully compliant as they impose various restrictions and limitations. These constrain, among other things, developers' ability to freely communicate and promote offers and directly conclude contracts, including by imposing various charges.

Alphabet's measures to prevent self-preferencing

The Commission has opened proceedings against Alphabet, to determine whether Alphabet's display of Google search results may lead to self-preferencing in relation to Google's vertical search services (e.g., Google Shopping; Google Flights; Google Hotels) over similar rival services.

The Commission is concerned that Alphabet's measures implemented to comply with the DMA may not ensure that third-party services featuring on Google's search results page are treated in a fair and non-discriminatory manner in comparison with Alphabet's own services, as required by Article 6(5) of the DMA.

Apple's compliance with user choice obligations

The Commission has opened proceedings against Apple regarding their measures to comply with obligations to (i) enable end users to easily uninstall any software applications on iOS, (ii) easily change default settings on iOS and (iii) prompt users with choice screens which must effectively and easily allow them to select an alternative default service, such as a browser or search engine on their iPhones.

The Commission is concerned that Apple's measures, including the design of the web browser choice screen, may be preventing users from truly exercising their choice of services within the Apple ecosystem, in contravention of Article 6(3) of the DMA.

Meta's “pay or consent” model

Finally, the Commission has opened proceedings against Meta to investigate whether the recently introduced “pay or consent” model for users in the EU complies with Article 5(2) of the DMA which requires gatekeepers to obtain consent from users when they intend to combine or cross-use their personal data across different core platform services.

The Commission is concerned that the binary choice imposed by Meta's “pay or consent” model may not provide a real alternative in case users do not consent, thereby not achieving the objective of preventing the accumulation of personal data by gatekeepers.

Other investigatory and enforcement steps

The Commission is also taking other investigatory steps to gather facts and information to clarify whether:

Amazon may be preferencing its own brand products on the Amazon Store in contravention of Article 6(5) of the DMA, and
Apple's new fee structure and other terms and conditions for alternative app stores and distribution of apps from the web (sideloading) may be defeating the purpose of its obligations under Article 6(4) of the DMA.
The Commission has also adopted five retention orders addressed to Alphabet, Amazon, Apple, Meta, and Microsoft, asking them to retain documents which might be used to assess their compliance with the DMA obligations, so as to preserve available evidence and ensure effective enforcement.

Finally, the Commission has granted Meta an extension of 6 months to comply with the interoperability obligation (Article 7 DMA) for Facebook Messenger. The decision is based on a specific provision in Article 7(3)DMA and follows a reasoned request submitted by Meta. Facebook Messenger remains subject to all other DMA obligations.

Next steps

The Commission intends to conclude the proceedings opened today within 12 months. If warranted following the investigation, the Commission will inform the concerned gatekeepers of its preliminary findings and explain the measures it is considering taking or the gatekeeper should take in order to effectively address the Commission's concerns.

In case of an infringement, the Commission can impose fines up to 10% of the company's total worldwide turnover. Such fines can go up to 20% in case of repeated infringement. Moreover, in case of systematic infringements, the Commission may also adopt additional remedies such as obliging a gatekeeper to sell a business or parts of it, or banning the gatekeeper from acquisitions of additional services related to the systemic non-compliance.

Background

The DMA aims to ensure contestable and fair markets in the digital sector. It regulates gatekeepers, which are large digital platforms that provide an important gateway between business users and consumers, whose position can grant them the power to create a bottleneck in the digital economy.

Alphabet, Amazon, Apple, ByteDance, Meta and Microsoft, the six gatekeepers designated by the Commission in September 2023, had to fully comply with all DMA obligations by 7 March 2024. The Commission has assessed the compliance reports setting out gatekeepers' compliance measures, and gathered feedback from stakeholders, including in the context of workshops.

Today's formal non-compliance proceedings against Alphabet, Apple and Meta have been opened pursuant to Article 20 DMA in conjunction with Articles 13 and 29 DMA for breach of Articles 5(2), 5(4), 6(3) and 6(5) DMA respectively.

Präsiden des EuG
Beschluss vom 09.20.2024
T-1077/23
Bytedance / EU-Kommission

Der Präsident des EuG hat den Eilantrag von TikTok / Bytedance gegen die Einordnung als Gatekeeper im Sinn des Digital Markets Act (DMA) durch die EU-Kommission abgelehnt.

Die Pressemitteilung des Gerichts:
Verordnung über digitale Märkte: Der Antrag von ByteDance (TikTok) auf Aussetzung des Beschlusses der Kommission, mit dem ByteDance als Torwächter benannt wird, wird zurückgewiesen

ByteDance hat die Dringlichkeit einer vorläufigen Entscheidung zur Verhinderung eines schweren und nicht wiedergutzumachenden Schadens nicht dargetan.

Die ByteDance Ltd ist eine 2012 in China gegründete nicht operative Holdinggesellschaft, die über lokale Tochtergesellschaften die Unterhaltungsplattform TikTok bereitstellt.

Mit Beschluss vom 5. September 2023 benannte die Kommission ByteDance als Torwächter gemäß der Verordnung über digitale Märkte.

Im November 2023 erhob ByteDance Klage auf Nichtigerklärung dieses Beschlusses. Mit gesondertem Schriftsatz hat sie einen Antrag auf vorläufigen Rechtsschutz gestellt, mit dem sie die Aussetzung des Kommissionsbeschlusses begehrt. Mit seinem heutigen Beschluss weist der Präsident des Gerichts den Antrag von ByteDance auf vorläufigen Rechtsschutz zurück.

ByteDance hat danach nicht dargetan, dass es erforderlich wäre, den streitigen Beschluss bis zum Abschluss des Verfahrens zur Hauptsache auszusetzen, um zu verhindern, dass sie einen schweren und nicht wiedergutzumachenden Schaden erleidet.

ByteDance machte u. a. geltend, dass bei sofortiger Durchführung des streitigen Beschlusses die Gefahr bestehe, dass sonst nicht öffentliche, hochstrategische Informationen über die Praktiken von TikTok bei der Erstellung von Nutzerprofilen verbreitet würden. Diese Informationen würden es, so ByteDance, den Wettbewerbern von TikTok und sonstigen Dritten ermöglichen, über die TikTok betreffenden Geschäftsstrategien in einer Weise informiert zu sein, die ihren Tätigkeiten erheblich abträglich wäre. Ausweislich des heutigen Beschlusses hat ByteDance jedoch weder das Bestehen einer tatsächlichen Gefahr der Verbreitung vertraulicher Informationen noch einen etwaigen schweren und nicht wiedergutzumachenden Schaden infolge einer solchen Gefahr dargetan.

Den Volltext des Beschlusses finden Sie hier:

EuGH
Urteil vom 09.11.2023
C-376/22
Google Ireland, Meta Platforms Ireland, TikTok

Der EuGH hat entschieden, dass Anbietern wie Google, Meta Platforms und Tik Tok zusätzliche Verpflichtungen in einem anderen Mitgliedstaat als dem ihres Sitzes nur im konkreten Einzelfall auferlegt werden dürfen.

Die Pressemitteilung des EuGH:
Bekämpfung rechtswidriger Inhalte im Internet: Ein Mitgliedstaat darf einem Anbieter einer Kommunikationsplattform, der in einem anderen Mitgliedstaat niedergelassen ist, keine generell-abstrakten Verpflichtungen auferlegen

Eine solche nationale Herangehensweise verstößt gegen das Unionsrecht, das den freien Verkehr von Diensten der Informationsgesellschaft durch den Grundsatz der Aufsicht im Herkunftsmitgliedstaat des betreffenden Dienstes gewährleiste.

Im Jahr 2021 hat Österreich ein Gesetz eingeführt, das inländische und ausländische Anbieter von Kommunikationsplattformen verpflichtet, Melde- und Überprüfungsverfahren für potenziell rechtswidrige Inhalte einzurichten. Dieses Gesetz sieht auch eine regelmäßige und transparente Veröffentlichung von Meldungen rechtswidriger Inhalte vor. Eine Verwaltungsbehörde stellt die Einhaltung der gesetzlichen Bestimmungen sicher und kann Geldstrafen in Höhe von bis zu 10 Mio. Euro verhängen.

Google Ireland, Meta Platforms Ireland und TikTok, drei in Irland ansässige Plattformen, machen geltend, dass das österreichische Gesetz gegen das Unionsrecht, konkret gegen die Richtlinie über Dienste der Informationsgesellschaft , verstoße.

Hierzu von einem österreichischen Gericht befragt, weist der Gerichtshof auf das Ziel der Richtlinie hin: Schaffung eines rechtlichen Rahmens, um den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherzustellen. Unter diesem Gesichtspunkt beseitigt die Richtlinie durch den Grundsatz der Aufsicht im Herkunftsmitgliedstaat die Hemmnisse, die die verschiedenen nationalen, auf diese Dienste anwendbaren Regelungen darstellen.

Zwar können andere Mitgliedstaaten als der Herkunftsmitgliedstaat des betreffenden Dienstes unter eng gefassten Bedingungen und in bestimmten Fällen tatsächlich Maßnahmen ergreifen, um die öffentliche Ordnung, den Schutz der öffentlichen Gesundheit, die öffentliche Sicherheit oder den Schutz der Verbraucher zu gewährleisten. Diese konkreten Ausnahmen sind der Europäischen Kommission und dem Herkunftsmitgliedstaat mitzuteilen.

Jedoch dürfen andere Mitgliedstaaten als der Herkunftsmitgliedstaat des betreffenden Dienstes keine generell-abstrakten Maßnahmen ergreifen, die unterschiedslos für alle Anbieter einer Kategorie von Diensten der Informationsgesellschaft gelten. Unterschiedslos bedeutet ohne Unterschied zwischen in diesem Mitgliedstaat ansässigen Diensteanbietern und solchen, die in anderen Mitgliedstaaten niedergelassen sind.

Hätten diese Mitgliedstaaten die Möglichkeit, solche generell-abstrakten Verpflichtungen zu erlassen, würde dies nämlich den Grundsatz der Aufsicht im Herkunftsmitgliedstaat des betreffenden Dienstes, auf dem die Richtlinie beruht, in Frage stellen. Wäre der Bestimmungsmitgliedstaat (hier Österreich) ermächtigt, solche Maßnahmen zu erlassen, würde in die Regelungskompetenz des Herkunftsmitgliedstaats (hier Irlands) eingegriffen. Im Übrigen würde dies das gegenseitige Vertrauen zwischen den Mitgliedstaaten untergraben und gegen den Grundsatz der gegenseitigen Anerkennung verstoßen. Zudem unterlägen die betreffenden Plattformen unterschiedlichen Rechtsvorschriften, was auch dem freien Dienstleistungsverkehr und damit dem reibungslosen Funktionieren des Binnenmarkts zuwiderlaufen würde.

Den Volltext der Entscheidung finden Sie hier:

Der Europäische Datenschutzausschuss (EDSA) hat Meta / Facebook / Instagram die Nutzung personenbezogener Daten für personalisierte Werbung untersagt.

Die Pressemitteilung der EDSA:
EDPB Urgent Binding Decision on processing of personal data for behavioural advertising by Meta

Launch of coordinated enforcement

On 27 October, the EDPB adopted an urgent binding decision instructing the Irish (IE) DPA as lead supervisory authority (LSA) to take, within two weeks, final measures regarding Meta Ireland Limited (Meta IE) and to impose a ban on the processing of personal data for behavioural advertising on the legal bases of contract and legitimate interest across the entire European Economic Area (EEA).

The urgent binding decision followed a request from the Norwegian Data Protection Authority (NO DPA) to take final measures in this matter that would have effect in the entire European Economic Area (EEA).

The ban on processing will become effective one week after the notification of the final measures by the IE SA to the controller.
The Irish DPC has notified Meta on 31/10 about the EDPB Urgent Binding Decision.
The EDPB takes note of Meta's proposal to rely on a consent based approach as legal basis, as it was reported on 30/10. The Irish DPC is currently evaluating this together with the Concerned Supervisory Authorities (CSAs).

EDPB Chair Anu Talus said: “After careful consideration, the EDPB considered it necessary to instruct the IE SA to impose an EEA-wide processing ban, addressed to Meta IE. Already in December 2022, the EDPB Binding Decisions clarified that contract is not a suitable legal basis for the processing of personal data carried out by Meta for behavioural advertising. In addition, Meta has been found by the IE SA to not have demonstrated compliance with the orders imposed at the end of last year. It is high time for Meta to bring its processing into compliance and to stop unlawful processing.”

Die EU-Kommission hat festgestellt, dass Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft Gatekeeper im Sinn des Digital Markets Act (DMA) sind.

Die Pressemitteilung der EU-Kommission:
Die Europäische Kommission hat heute im Rahmen des Gesetzes über digitale Märkte erstmals sechs Torwächter (Gatekeeper) benannt: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Insgesamt wurden 22 zentrale Plattformdienste, die von Torwächtern bereitgestellt werden, benannt. Die sechs Torwächter haben nun sechs Monate Zeit, um die vollständige Einhaltung der Verpflichtungen gemäß dem Gesetz über digitale Märkte für jeden ihrer benannten zentralen Plattformdienste sicherzustellen.

Im Rahmen des Gesetzes über digitale Märkte kann die Europäische Kommission digitale Plattformen als „Torwächter“ benennen, wenn diese für Unternehmen über zentrale Plattformdienste ein wichtiges Zugangstor zu Verbraucherinnen und Verbrauchern darstellen. Die heutigen Benennungsbeschlüsse sind das Ergebnis einer Überprüfung durch die Kommission über 45 Tage, nachdem Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft und Samsung ihren potenziellen Torwächter-Status mitgeteilt hatten. Insbesondere hat die Kommission den Torwächter-Status für die folgenden zentralen Plattformdienste festgestellt:

Parallel dazu hat die Kommission vier Marktuntersuchungen eingeleitet, um die eingereichten Mitteilungen von Microsoft und Apple weiter zu prüfen, denen zufolge einige ihrer zentralen Plattformdienste nicht als Zugangstore anzusehen sind, obwohl sie die Schwellenwerte erreichen:

Microsoft: Bing, Edge und Microsoft Advertising
Apple: iMessage
Nach dem Gesetz über digitale Märkte soll im Rahmen dieser Untersuchungen festgestellt werden, ob durch eine hinreichend stichhaltige Widerlegung durch die Unternehmen nachgewiesen wird, dass die betreffenden Dienste nicht benannt werden sollten. Die Untersuchung sollte innerhalb von fünf Monaten abgeschlossen werden.

Darüber hinaus hat die Kommission eine Marktuntersuchung eingeleitet, um weiter zu prüfen, ob Apples iPadOS zu den Torwächtern gezählt werden sollte, obwohl es die Schwellenwerte nicht erreicht. Diese Untersuchung im Rahmen des Gesetzes über digitale Märkte sollte innerhalb von höchstens 12 Monaten abgeschlossen werden.

Darüber hinaus kam die Kommission zu dem Schluss, dass Gmail, Outlook.com und Samsung Internet Browser zwar die Schwellenwerte des Gesetzes über digitale Märkte für die Einstufung ihrer Betreiber als Torwächter erreichen, Alphabet, Microsoft und Samsung jedoch hinreichend begründete Argumente dafür vorgelegt haben, dass diese Dienste nicht als Zugangstor für die jeweiligen zentralen Plattformdienste anzusehen sind. Daher beschloss die Kommission, Gmail, Outlook.com und Samsung Internet Browser nicht als zentrale Plattformdienste zu benennen. Dementsprechend wurde Samsung nicht als Torwächter in Bezug auf einen zentralen Plattformdienst eingestuft.

Nächste Schritte für benannte Torwächter
Nach ihrer Benennung haben die Torwächter nun sechs Monate Zeit, um sich an die vollständige Liste der Gebote und Verbote zu halten, die im Gesetz für digitale Märkte vorgesehen sind, sodass Endnutzern und gewerblichen Nutzern der Dienste des Torwächters eine größere Auswahl geboten und mehr Freiheit eingeräumt wird. Einige der Verpflichtungen gelten jedoch direkt ab dem Zeitpunkt der Benennung, z. B. die Verpflichtung, die Kommission über jeden geplanten Zusammenschluss zu unterrichten. Es liegt bei den benannten Unternehmen, die wirksame Einhaltung der Vorschriften zu gewährleisten und nachzuweisen. Zu diesem Zweck müssen sie innerhalb von sechs Monaten einen ausführlichen Compliance-Bericht vorlegen, in dem sie darlegen, wie sie die einzelnen Verpflichtungen des Gesetzes über digitale Märkte erfüllen.

Die Kommission wird die wirksame Umsetzung und Einhaltung dieser Verpflichtungen überwachen. Kommt ein Torwächter den im Gesetz über digitale Märkte festgelegten Verpflichtungen nicht nach, kann die Kommission Geldbußen bis zu einem Höchstbetrag von 10 % des weltweit erzielten Gesamtumsatzes des Unternehmens verhängen, der bei wiederholter Zuwiderhandlung auf bis zu 20 % hochgesetzt werden kann. Im Falle systematischer Zuwiderhandlungen ist die Kommission auch befugt, zusätzliche Abhilfemaßnahmen aufzuerlegen. Beispielsweise kann sie einen Torwächter dazu verpflichten, ein Unternehmen oder Teile davon zu verkaufen, oder sie kann dem Torwächter verbieten, zusätzliche Dienste zu erwerben, die mit der systematischen Nichteinhaltung in Verbindung stehen.

In Zukunft könnten weitere Unternehmen der Kommission auf der Grundlage ihrer Selbstbeurteilung Mitteilungen im Rahmen des Gesetzes über digitale Märkte in Bezug auf die einschlägigen Schwellenwerte übermitteln. In diesem Zusammenhang führt die Kommission konstruktive Gespräche mit allen relevanten Unternehmen.



Hintergrund
Das Gesetz über digitale Märkte soll verhindern, dass Torwächter den Unternehmen und Endnutzern unfaire Bedingungen aufzwingen, und so die Offenheit wichtiger digitaler Märkte gewährleisten.

Zusammen mit dem Gesetz über digitale Märkte schlug die Kommission im Dezember 2020 das Gesetz über digitale Dienste vor, um die negativen Folgen bestimmter Verhaltensweisen von Online-Plattformen, die als digitale Torwächter fungieren, für den EU-Binnenmarkt anzugehen.

Das Gesetz über digitale Märkte, das seit November 2022 in Kraft ist und seit Mai 2023 angewendet wird, zielt darauf ab, bestreitbare und faire Märkte im digitalen Sektor zu gewährleisten. Es reguliert die sogenannten Torwächter: große Online-Plattformen, die gewerblichen Nutzern als wichtiges Zugangstor zu Verbrauchern dienen und die aufgrund dieser Stellung die Macht haben, den Marktzugang in der digitalen Wirtschaft zu kanalisieren.

Unternehmen, die mindestens einen der zehn im Gesetz über digitale Märkte aufgeführten zentralen Plattformdienste betreiben, werden als Torwächter angesehen, wenn sie die nachstehenden Kriterien erfüllen. Zu diesen zentralen Plattformdiensten gehören Online-Vermittlungsdienste wie Dienste zum Herunterladen von Computer- oder Handy-Apps, Online-Suchmaschinen, soziale Netzwerke, bestimmte Kommunikationsdienste, Video-Sharing-Plattform-Dienste, virtuelle Assistenten, Webbrowser, Cloud-Computing-Dienste, Betriebssysteme, Online-Marktplätze und Online-Werbedienste. Ein Unternehmen kann dabei auch für mehrere zentrale Plattformdienste als Torwächter benannt werden.

Es gibt drei quantitative Hauptkriterien, die die Annahme begründen, dass ein Unternehmen ein Torwächter im Sinne des Gesetzes über digitale Märkte ist: i) Das Unternehmen erzielt einen bestimmten Jahresumsatz im Europäischen Wirtschaftsraum und erbringt in mindestens drei EU-Mitgliedstaaten einen zentralen Plattformdienst, ii) das Unternehmen betreibt einen zentralen Plattformdienst mit monatlich mehr als 45 Millionen aktiven Endnutzern, die in der EU niedergelassen sind oder sich dort aufhalten, und mit jährlich mehr als 10 000 aktiven gewerblichen Nutzern mit Niederlassung in der EU und iii) das Unternehmen hat das zweite Kriterium in den drei vorhergehenden Geschäftsjahren erfüllt.

Im Gesetz über digitale Märkte ist eine Reihe spezifischer Verpflichtungen festgelegt, die Torwächter einhalten müssen, und bestimmte Verhaltensweisen werden ihnen untersagt mithilfe einer Liste von Geboten und Verboten.

Mit dem Gesetz über digitale Märkte wird der Kommission auch die Befugnis übertragen, Marktuntersuchungen durchzuführen, um i) Unternehmen aus qualitativen Gründen als Torwächter zu benennen, ii) die Verpflichtungen für Torwächter erforderlichenfalls zu aktualisieren, iii) Abhilfemaßnahmen zu konzipieren, mit denen gegen systematische Zuwiderhandlungen gegen die Vorschriften des Gesetzes über digitale Märkte vorgegangen wird.

Weitere Informationen finden Sie hier:

Die Bundesnetzagentur hat bislang im Jahr 2023 5.898 Rufnummern abgeschaltet, die von Betrügern für den sogenannten "Enkeltrick" missbraucht werden.

Die Pressemitteilung des Bundesnetzagentur:
Bundesnetzagentur schaltet Rufnummern zu Enkeltrick ab
Die Bundesnetzagentur hat im Jahr 2023 bisher 7.799 Rufnummern abgeschaltet. Allein 5.898 betrafen Fälle des sog. Enkeltricks, bei denen die Kontaktaufnahme per SMS oder Messenger erfolgte.

„Auch nach 20 Jahren hat die Bekämpfung von Rufnummernmissbrauch nichts von ihrer Bedeutung verloren. Immer wieder tauchen neue Szenarien auf und wir gehen konsequent dagegen vor“, sagt Klaus Müller, Präsident der Bundesnetzagentur. „Aktuell betreffen über zwei Drittel der von uns abgeschalteten Rufnummern das Enkeltrick-Szenario.“

Enkeltrick als aktueller Schwerpunkt
Unter dem Begriff „Enkeltrick“ werden Fälle zusammengefasst, in denen insbesondere ältere Menschen von angeblichen Verwandten, meistens Enkelkinder und Kinder, oder guten Bekannten kontaktiert werden. Er oder sie schildert eine akute Notsituation, die nur durch eine sofortige Geldüberweisung aufgelöst werden kann. Die Kontaktierten sind planmäßig erschrocken und bereit, alles zu tun, was den vermeintlichen Verwandten aus seiner misslichen Lage befreit. In der aktuellen Konstellation beginnt die Kontaktaufnahme mit „Hallo Papa oder Mama, das ist meine neue Nummer“.

Bei Tricknachrichten richtig verhalten
Betroffene sollten keinesfalls auf entsprechende Kontaktversuche eingehen:

Erhalten Sie eine SMS, in der Sie jemand auffordert, Geld zu überweisen oder persönliche Daten einzugeben, ignorieren Sie die Nachricht.
Geben Sie auf keinen Fall persönliche Informationen wie Namen oder Orte heraus. Jegliche Informationen dieser Art können Betrüger verwenden, um ihre Geschichten glaubwürdiger zu machen.
Verifizieren Sie den Absender. Meldet sich zum Beispiel Ihre Enkelin oder Ihr Enkel oder Ihr Kind mit einer Ihnen unbekannten Nummer, kontaktieren Sie sie persönlich. Erkundigen Sie sich über die Ihnen bekannten bisherigen Rufnummern.
Warnen Sie Ihr Umfeld vor diesen Tricks. Erzählen Sie insbesondere älteren Menschen davon, damit sie vorbereitet sind.

BAG
Urteil vom 24.08.2023
2 AZR 17/23

Das Bundesarbeitsgericht hat entschieden, dass stark beleidigende Äußerungen über Vorgesetzte und Kollegen in einer privaten WhatsApp-Chatgruppe eine außerordentliche Kündigung rechtfertigen können.

Die Pressemitteilung des BAG:
Kündigung wegen Äußerungen in einer Chatgruppe

Sitzungsergebnis
Ein Arbeitnehmer, der sich in einer aus sieben Mitgliedern bestehenden privaten Chatgruppe in stark beleidigender, rassistischer, sexistischer und zu Gewalt aufstachelnder Weise über Vorgesetzte und andere Kollegen äußert, kann sich gegen eine dies zum Anlass nehmende außerordentliche Kündigung seines Arbeitsverhältnisses nur im Ausnahmefall auf eine berechtigte Vertraulichkeitserwartung berufen.

Der bei der Beklagten beschäftigte Kläger gehörte seit 2014 einer Chatgruppe mit fünf anderen Arbeitnehmern an. Im November 2020 wurde ein ehemaliger Kollege als weiteres Gruppenmitglied aufgenommen. Alle Gruppenmitglieder waren nach den Feststellungen der Vorinstanz „langjährig befreundet“, zwei miteinander verwandt. Neben rein privaten Themen äußerte sich der Kläger – wie auch mehrere andere Gruppenmitglieder – in beleidigender und menschenverachtender Weise ua. über Vorgesetzte und Arbeitskollegen. Nachdem die Beklagte hiervon zufällig Kenntnis erhielt, kündigte sie das Arbeitsverhältnis des Klägers außerordentlich fristlos.

Beide Vorinstanzen haben der vom Kläger erhobenen Kündigungsschutzklage stattgegeben. Die Revision der Beklagten hatte vor dem Zweiten Senat des Bundesarbeitsgerichts Erfolg. Das Berufungsgericht hat rechtsfehlerhaft eine berechtigte Vertraulichkeitserwartung des Klägers betreffend der ihm vorgeworfenen Äußerungen angenommen und das Vorliegen eines Kündigungsgrundes verneint. Eine Vertraulichkeitserwartung ist nur dann berechtigt, wenn die Mitglieder der Chatgruppe den besonderen persönlichkeitsrechtlichen Schutz einer Sphäre vertraulicher Kommunikation in Anspruch nehmen können. Das wiederum ist abhängig von dem Inhalt der ausgetauschten Nachrichten sowie der Größe und personellen Zusammensetzung der Chatgruppe. Sind Gegenstand der Nachrichten – wie vorliegend – beleidigende und menschenverachtende Äußerungen über Betriebsangehörige, bedarf es einer besonderen Darlegung, warum der Arbeitnehmer berechtigt erwarten konnte, deren Inhalt werde von keinem Gruppenmitglied an einen Dritten weitergegeben.

Das Bundesarbeitsgericht hat das Berufungsurteil insoweit aufgehoben und die Sache an das Landesarbeitsgericht zurückverwiesen. Dieses wird dem Kläger Gelegenheit für die ihm obliegende Darlegung geben, warum er angesichts der Größe der Chatgruppe, ihrer geänderten Zusammensetzung, der unterschiedlichen Beteiligung der Gruppenmitglieder an den Chats und der Nutzung eines auf schnelle Weiterleitung von Äußerungen angelegten Mediums eine berechtigte Vertraulichkeitserwartung haben durfte.

Bundesarbeitsgericht, Urteil vom 24. August 2023 – 2 AZR 17/23 –
Vorinstanz: Landesarbeitsgericht Niedersachsen, Urteil vom 19. Dezember 2022 – 15 Sa 284/22 –

EuGH
Urteil vom 04.07.2023
C-252/21
Meta Platforms Inc., vormals Facebook Inc., Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd, Facebook Deutschland GmbH
gegen
Bundeskartellamt,
Beteiligte:
Verbraucherzentrale Bundesverband e. V.,
(Allgemeine Nutzungsbedingungen eines sozialen Netzwerks)

Der EuGH hat entschieden, dass das Bundeskartellamt im Rahmen eines Missbrauchsverfahrens auch DSGVO-Verstöße feststellen darf, wobei das Bundeskartellamt etwaige Entscheidungen und Feststellungen der zuständigen Datenschutzbehörde berücksichtigen muss.

Die Pressemitteilung des EuGH:
Eine nationale Wettbewerbsbehörde kann im Rahmen der Prüfung, ob eine beherrschende Stellung missbraucht wird, einen Verstoß gegen die DSGVO feststellen

Aufgrund ihrer Bindung an den Grundsatz der loyalen Zusammenarbeit muss sie jedoch eine etwaige Entscheidung oder Untersuchung seitens der nach der DSGVO zuständigen Aufsichtsbehörde berücksichtigen.

Meta Platforms Ireland betreibt in der Union das soziale Online-Netzwerk Facebook. Durch die Anmeldung bei Facebook stimmen die Nutzer den von diesem Unternehmen festgelegten Allgemeinen Nutzungsbedingungen und damit auch den Richtlinien für die Verwendung von Daten und Cookies zu. Nach diesen Richtlinien erfasst Meta Platforms Ireland Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Bei den Daten, die Aktivitäten außerhalb des sozialen Netzwerks betreffen (auch „Off-Facebook-Daten“ genannt), handelt es sich zum einen um Daten über den Aufruf dritter Websites und Apps und zum anderen um Daten über die Nutzung anderer zum Meta-Konzern gehörender OnlineDienste (darunter Instagram und WhatsApp). Die dementsprechend erhobenen Daten ermöglichen es insbesondere, die an die Facebook-Nutzer gerichteten Werbenachrichten zu personalisieren.

Das deutsche Bundeskartellamt verbot es insbesondere, in den Allgemeinen Nutzungsbedingungen die Nutzung des sozialen Netzwerks Facebook durch in Deutschland wohnhafte private Nutzer von der Verarbeitung ihrer OffFacebook-Daten abhängig zu machen und diese Daten ohne ihre Einwilligung zu verarbeiten. Es begründete seinen Beschluss damit, dass diese Verarbeitung, da sie nicht mit der Datenschutz-Grundverordnung (DSGVO)1 im Einklang stehe, eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms Ireland auf dem deutschen Markt für soziale Online-Netzwerke darstelle.

Das Oberlandesgericht Düsseldorf, bei dem eine Beschwerde gegen diesen Beschluss anhängig ist, fragt den Gerichtshof, ob die nationalen Wettbewerbsbehörden prüfen dürfen, ob eine Datenverarbeitung den Anforderungen der DSGVO entspricht. Außerdem fragt dieses Gericht, wie bestimmte Vorschriften der DSGVO auszulegen und auf eine Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks anzuwenden sind.

In seinem heute verkündeten Urteil führt der Gerichtshof aus, dass es sich für die Wettbewerbsbehörde des betreffenden Mitgliedstaats im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, als notwendig erweisen kann, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO, vereinbar ist. Wenn die nationale Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststellt, tritt sie allerdings nicht an die Stelle der durch diese Verordnung eingerichteten Aufsichtsbehörden. Die Prüfung, ob die DSGVO eingehalten wird, erfolgt nämlich ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen.

Um eine kohärente Anwendung der DSGVO zu gewährleisten, sind die nationalen Wettbewerbsbehörden verpflichtet, sich abzustimmen und loyal mit den Behörden, die die Einhaltung dieser Verordnung überwachen, zusammenzuarbeiten. Hält es eine nationale Wettbewerbsbehörde für erforderlich, die Vereinbarkeit des Verhaltens eines Unternehmens mit der DSGVO zu prüfen, so muss sie insbesondere ermitteln, ob dieses oder ein ähnliches Verhalten bereits Gegenstand einer Entscheidung durch die zuständige Aufsichtsbehörde oder auch durch den Gerichtshof war. Ist dies der Fall, darf sie davon nicht abweichen, wobei es ihr aber freisteht, daraus eigene Schlussfolgerungen unter dem Gesichtspunkt der Anwendung des Wettbewerbsrechts zu ziehen.

Darüber hinaus weist der Gerichtshof darauf hin, dass die von Meta Platforms Ireland vorgenommene Datenverarbeitung offenbar auch besondere Kategorien von Daten betrifft, die u. a. die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die sexuelle Orientierung offenbaren können und deren Verarbeitung nach der DSGVO grundsätzlich untersagt ist. Das nationale Gericht wird daher zu prüfen haben, ob bestimmte der erhobenen Daten tatsächlich die Offenlegung solcher Informationen ermöglichen, unabhängig davon, ob diese Informationen einen Nutzer des sozialen Netzwerks oder eine andere natürliche Person betreffen.

Was die Frage betrifft, ob die Verarbeitung solcher sogenannten „sensiblen Daten“ ausnahmsweise zulässig ist, weil die betroffene Person diese Daten offensichtlich öffentlich gemacht hat, stellt der Gerichtshof klar, dass die bloße Tatsache, dass ein Nutzer Websites oder Apps aufruft, die solche Informationen offenbaren können, keineswegs bedeutet, dass er seine Daten im Sinne der DSGVO offensichtlich öffentlich macht. Ebenso verhält es sich, wenn ein Nutzer Daten auf solchen Websites oder in solchen Apps eingibt oder darin eingebundene Schaltflächen betätigt, es sei denn, er hat zuvor explizit seine Entscheidung zum Ausdruck gebracht, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.

In Bezug auf die von Meta Platforms Ireland vorgenommene Verarbeitung in einem allgemeineren Sinne (einschließlich der Verarbeitung „nicht sensibler“ Daten) prüft der Gerichtshof sodann, ob diese unter die in der DSGVO genannten Rechtfertigungsgründe fällt, nach denen eine Datenverarbeitung rechtmäßig sein kann, ohne dass die betroffene Person ihre Einwilligung erteilt hat. Insoweit stellt der Gerichtshof fest, dass die Erforderlichkeit, den mit dieser Person geschlossenen Vertrag zu erfüllen, die streitige Praxis nur dann rechtfertigt, wenn die Datenverarbeitung insofern objektiv unerlässlich ist, als der Hauptgegenstand des Vertrags ohne sie nicht erfüllt werden könnte. Vorbehaltlich einer Überprüfung durch das nationale Gericht äußert der Gerichtshof Zweifel daran, dass die Personalisierung der Inhalte oder die durchgängige und nahtlose Nutzung der Dienste des Meta-Konzerns diese Kriterien erfüllen können. Zudem befindet der Gerichtshof, dass die Personalisierung der Werbung, mit der das soziale Netzwerk Facebook finanziert wird, nicht als berechtigtes Interesse von Meta Platforms Ireland die fragliche Datenverarbeitung rechtfertigen kann, sofern keine Einwilligung der betroffenen Person vorliegt.

Abschließend stellt der Gerichtshof fest, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks als für die Verarbeitung Verantwortlicher eine beherrschende Stellung auf dem Markt für soziale Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer dieses Netzwerks im Sinne der DSGVO wirksam in die Verarbeitung ihrer Daten durch diesen Betreiber einwilligen können. Da eine solche Stellung aber geeignet ist, die Wahlfreiheit der Nutzer zu beeinträchtigen und ein klares Ungleichgewicht zwischen den Nutzern und dem Verantwortlichen zu schaffen, ist sie ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.

Tenor der Entscheidung:

1. Die Art. 51 ff. der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sowie Art. 4 Abs. 3 EUV

sind dahin auszulegen, dass

eine mitgliedstaatliche Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Missbrauch einer beherrschenden Stellung durch ein Unternehmen im Sinne von Art. 102 AEUV vorliegt, vorbehaltlich der Erfüllung ihrer Pflicht zur loyalen Zusammenarbeit mit den Aufsichtsbehörden feststellen kann, dass die Allgemeinen Nutzungsbedingungen dieses Unternehmens, soweit sie sich auf die Verarbeitung personenbezogener Daten beziehen, und die Durchführung dieser Nutzungsbedingungen nicht mit der Verordnung 2016/679 vereinbar sind, wenn diese Feststellung erforderlich ist, um das Vorliegen eines solchen Missbrauchs zu belegen.

Angesichts dieser Pflicht zur loyalen Zusammenarbeit darf die nationale Wettbewerbsbehörde von einer Entscheidung der zuständigen nationalen Aufsichtsbehörde oder der zuständigen federführenden Aufsichtsbehörde in Bezug auf diese Allgemeinen Nutzungsbedingungen oder ähnliche allgemeine Bedingungen nicht abweichen. Wenn sie Zweifel hinsichtlich der Tragweite einer solchen Entscheidung hat, wenn die fraglichen Bedingungen oder ähnliche Bedingungen gleichzeitig Gegenstand einer Prüfung durch diese Behörden sind oder wenn sie bei Nichtvorliegen einer Untersuchung oder Entscheidung dieser Behörden der Auffassung ist, dass die fraglichen Bedingungen nicht mit der Verordnung 2016/679 vereinbar sind, muss die Wettbewerbsbehörde diese Aufsichtsbehörden konsultieren und um deren Mitarbeit bitten, um ihre Zweifel auszuräumen oder zu klären, ob sie eine Entscheidung der Aufsichtsbehörden abwarten muss, bevor sie mit ihrer eigenen Beurteilung beginnt. Wird von den Aufsichtsbehörden innerhalb einer angemessenen Frist kein Einwand erhoben oder keine Antwort erteilt, so kann die nationale Wettbewerbsbehörde ihre eigene Untersuchung fortsetzen.

2. Art. 9 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

in dem Fall, dass ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps mit Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien aufruft und dort gegebenenfalls Daten eingibt, indem er sich registriert oder Online-Bestellungen aufgibt, die Verarbeitung personenbezogener Daten durch den Betreiber dieses sozialen Online-Netzwerks, die darin besteht, dass dieser Betreiber die aus dem Aufruf dieser Websites und Apps stammenden Daten sowie die vom Nutzer eingegebenen Daten über integrierte Schnittstellen, Cookies oder ähnliche Speichertechnologien erhebt, die Gesamtheit dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und diese Daten verwendet, als eine „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne dieser Bestimmung anzusehen ist, die vorbehaltlich der in Art. 9 Abs. 2 der Verordnung 2016/679 vorgesehenen Ausnahmen grundsätzlich untersagt ist, wenn diese Datenverarbeitung die Offenlegung von Informationen ermöglicht, die in eine dieser Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen.

3. Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679

ist dahin auszulegen, dass

ein Nutzer eines sozialen Online-Netzwerks, wenn er Websites oder Apps mit Bezug zu einer oder mehreren der in Art. 9 Abs. 1 dieser Verordnung genannten Kategorien aufruft, die diesen Aufruf betreffenden Daten, die der Betreiber dieses sozialen Online-Netzwerks über Cookies oder ähnliche Speichertechnologien erhebt, nicht im Sinne der erstgenannten Bestimmung offensichtlich öffentlich macht.

Gibt ein solcher Nutzer Daten auf solchen Websites oder in solchen Apps ein oder betätigt er darin eingebundene Schaltflächen – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf diesen Websites oder in diesen Apps unter Verwendung der Anmeldedaten, die mit seinem Konto als Nutzer des sozialen Netzwerks, seiner Telefonnummer oder seiner E‑Mail-Adresse verknüpft sind, zu identifizieren –, so macht er die eingegebenen oder sich aus der Betätigung dieser Schaltflächen ergebenden Daten nur dann im Sinne von Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 offensichtlich öffentlich, wenn er zuvor, gegebenenfalls durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen, explizit seine Entscheidung zum Ausdruck gebracht hat, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.

4. Art. 6 Abs. 1 Unterabs. 1 Buchst. b der Verordnung 2016/679

ist dahin auszulegen, dass

die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden kann, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte.

5. Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung 2016/679

ist dahin auszulegen, dass

die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses absolut notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

6. Art. 6 Abs. 1 Unterabs. 1 Buchst. c der Verordnung 2016/679

ist dahin auszulegen, dass

die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nach dieser Vorschrift gerechtfertigt ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche gemäß einer Vorschrift des Unionsrechts oder des Rechts des betreffenden Mitgliedstaats unterliegt, tatsächlich erforderlich ist, diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Verarbeitung in den Grenzen des absolut Notwendigen erfolgt.

7. Art. 6 Abs. 1 Unterabs. 1 Buchst. d und e der Verordnung 2016/679

ist dahin auszulegen, dass

die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, grundsätzlich – vorbehaltlich einer Überprüfung durch das vorlegende Gericht – nicht als im Sinne von Buchst. d erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder als im Sinne von Buchst. e für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, angesehen werden kann.

8. Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a der Verordnung 2016/679

sind dahin auszulegen, dass

der Umstand, dass der Betreiber eines sozialen Online-Netzwerks eine beherrschende Stellung auf dem Markt für soziale Online-Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer eines solchen Netzwerks im Sinne von Art. 4 Nr. 11 dieser Verordnung wirksam in die Verarbeitung ihrer personenbezogenen Daten durch diesen Betreiber einwilligen können. Gleichwohl ist dieser Umstand ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.

Den Volltext der Entscheidung finden Sie hier: