Letzte Woche hat das OLG den Antrag auf Erlass einer einstweiligen Verfügung wegen der Nutzung von Daten aus Facebook und Instagram für KI-Training abgelehnt. Damit kann Meta jedenfalls nicht kurzfristig gerichtlich untersagt werden, ab dem 27.5.2025 die Daten wir angekündigt zu nutzen. Eine Entscheidung in der Hauptsache steht noch aus. Weitere Zusammenhänge stellt David Wasilewski bei LTO dar.
Wie geht es jetzt weiter? Ein Blick auf drei wichtige Vorschriften aus dem DMA. Aber vorher schauen wir uns die Entscheidung zum DMA doch noch einmal an, soweit dies auf der Grundlage der Pressemitteilung möglich ist.
Verständnis des Gerichts vom Verbot der Datenzusammenführung
Das OLG Köln hat sich laut der Pressemitteilung im Wesentlichen auf das Datenschutzrecht gestützt. Demnach bestünden seitens Meta berechtigte Interessen an einer Verwendung der personenbezogenen Daten zum KI-Training. Ob dies datenschutzrechtlich so passt, wird an anderer Stelle bezweifelt. Insbesondere die BfDI sieht die Entscheidung als falsch.
Erstaunlicherweise hat das Gericht den sich aus meiner Sicht aufdrängenden Verstoß gegen das Verbot der Datenzusammenführung aus Art. 5 Abs. 2 DMA abgelehnt. Bislang ist nur die Pressemitteilung bekannt. Laut dieser fehle es an einer Datenzusammenführung, weil Meta nicht im Hinblick auf einen einzelnen Nutzer Daten aus Nutzerprofilen bei verschiedenen Diensten oder aus anderen Quellen kombiniere. Es fehle hierzu an einschlägiger Rechtsprechung und es sei dem Senat keine Kooperation mit der Kommission möglich gewesen.
Der Aussage des Gerichts lässt sich entnehmen, dass es eine Zusammenführung von personenbezogenen Daten jeweils desselben Nutzers verlangt. Mit anderen Worten scheint es davon auszugehen, dass ein Verstoß nur dann in Betracht kommt, wenn ein Datensatz von Person A mit einem weiteren Datensatz von Person A kombiniert wird. Die Kombination eines Datensatzes von Person A mit Datensätzen von Person X stelle demnach keinen Verstoß dar.
Eine derartige Auslegung entspricht aber schon nicht dem Wortlaut der Vorschrift. Die Rede ist nur von personenbezogenen Daten, also irgendwelchen, ohne dass es auf eine betroffene Person ankäme. Das entspricht auch dem wettbewerblichen Zweck der Vorschrift, die Ansammlung von großen und schlecht bestreitbaren Datenschätzen durch Gatekeeper zu verhindern. Erfasst ist also jede Kombination jeglicher personenbezogener Daten über die Dienste des Gatekeepers hinaus. Dieses Fehlverständnis kann das Gericht nicht einfach auf noch nicht vorhandene Rechtsprechung schieben, sondern es hätte gerade seine eigene Rechtsprechung stichhaltig begründen müssen.
Effektivitätsgebot, Umgehungsverbot und Behinderungsverbot
Die Auslegung des Gerichts ist aber nicht nur aus der unmittelbaren Verbotsvorschrift heraus zweifelhaft. Dem Gericht hätten sich mindestens noch drei weitere Regelungskomplexe aufdrängen müssen. Allein ein Blick in Art. 13 DMA hätte geholfen.
Hierzu vorab eine Klarstellung: Die folgenden Ausführungen gelten allein für die Anwendung des DMA. Der DMA gilt für designierte Gatekeeper. Er sieht erheblich schärfere Vorschriften für die Gatekeeper vor. Aus der Anwendung des DMA lässt sich nicht zwingend ein Rückschluss auf die Anwendung der allgemeinen DSGVO ziehen, die auch für Nicht-Gatekeeper gilt.
Effektivitätsgrundsatz
Art. 13 Abs. 3 DMA sieht vor, dass der Torwächter sicherstellen muss, dass seine Verpflichtungen aus den Art. 5, 6 und 7 DMA vollständig und wirksam eingehalten werden. Ebenso sieht Art. 8 Abs. 1 S. 1 DMA vor, dass die Maßnahmen eines Torwächters zur Einhaltung der genannten Artikel dazu führen müssen, dass „die Zielsetzungen dieser Verordnung und der jeweiligen Verpflichtung wirksam erreicht werden“. Die Verordnung verlangt also nicht nur eine strenge Wortlautbefolgung der Verbote, sondern der Gatekeeper muss das hinter dem Verbot stehende Regelungsziel sicherstellen. Später — etwa bei Art. 13 Abs. 4 DMA, dazu sogleich — spricht der DMA von der wirksamen Einhaltung.
Dies entspricht dem bereits aus dem Kartellrecht bekannten Verbot von Maßnahmen mit gleicher Wirkung, welches auch der DMA in seinen Erwägungsgründen anspricht. Das Gericht hätte hier prüfen müssen, ob die geplanten Maßnahmen Metas eine gleiche Wirkung wie der ausdrückliche Verbotswortlaut des Art. 5 Abs. 2 DMA haben. Mit anderen Worten: ist eine Kombination von personenbezogenen Daten jeglicher Personen über einen Dienst hinaus wettbewerblich vergleichbar mit der Kombination von personenbezogenen derselben Person? Ich würde meinen, die wettbewerbliche Wirkung ist dabei sogar noch intensiver, gerade weil der Gatekeeper auf eine breitere Datenbasis zurückgreift.
Umgehungsverbot
Gemäß Art. 13 Abs. 4 DMA darf der Gatekeeper kein Verhalten an den Tag legen, das die wirksame Einhaltung der Verpflichtungen aus den Artikeln 5, 6 und 7 untergräbt, also umgeht. Erfasst sind Umgehungsmaßnahmen vertraglicher, kommerzieller, technischer oder sonstiger Art. Auch die Verhaltenslenkung oder Schnittstellengestaltung wird vom DMA nagesprochen.
Gerade in diesem Fall, wenn es um den Gegensatz von Metas Opt-out-Lösung zu der gesetzlich in Art. 5 Abs. 2 DMA vorgesehenen Opt-in-Vorgabe geht, hätte sich dem Gericht aber aufdrängen müssen, dass hier das Nutzerverhalten gezielt in ein bloßes Dulden gelenkt wird. Sie sollen nach Metas Wunsch gerade nicht in die Verwendung ihrer personenbezogenen Daten einwilligen, sondern sich höchstens noch aktiv dagegen entscheiden können.
Behinderungsverbot
Gemäß Art. 13 Abs. 6 DMA darf der Gatekeeper die Ausübung von Rechten und Möglichkeiten der Nutzer aus den Vorschriftin Art. 5, 6 und 7 DMA nicht übermäßig erschweren. Dies darf insbesondere nicht dadurch erfolgen, dass der Gatekeeper die Autonomie, Entscheidungsfreiheit oder freie Auswahl von Endnutzern durch die Struktur, Gestaltung, Funktion oder Art der Bedienung einer Benutzerschnittstelle oder eines Teils davon untergräbt.
Sofern also aufgrund der Vorgaben für Gatekeeper ein Nutzerrecht besteht, wie etwa bei Art. 5 Abs. 2 DMA die Einwilligung, darf der Gatekeeper also nicht die dahinter stehende Entscheidungsfreiheit gestalterisch einschränken. Die Gestaltung als gewillkürter Opt-out-Prozess ist eine derartige Einschränkung, da sie dem Nutzer die Autonomie seiner personenbezogenen Daten gegenüber dem Gatekeeper nimmt.
Wiederholte Verstöße und erhöhter Bußgeldrahmen
Schon aus dem wohl vorliegenden Verstoß gegen Art. 5 Abs. 2 DMA kann die Kommission ein Nichteinhaltungsverfahren gegenüber Meta einleiten. Dies muss sie sogar, um die wirksame Einhaltung des DMA sicherzustellen. Wegen Art. 13 Abs. 7 DMA kann die Kommission ein Verfahren auch bei Verstößen gegen die Umgehungsverbote einleiten.
Ein derartiges Verfahren wird zwar einerseits erneut seine Zeit dauern. Allerdings gab es vor kurzem erst einen ersten Nichteinhaltungsbeschluss gegenüber Meta wegen eines Verstoßes gegen Art. 5 Abs. 2 DMA. Stellt die Kommission innerhalb eines Zeitraums von acht Jahren einen erneuten identischen oder ähnlichen Verstoß gegen eine Verfpflichtung aus den Art. 5, 6 und 7 DMA, so kann sie gemäß Art. 30 Abs. 2 DMA eine Geldbuße von bis zu 20 % des weltweiten Vorjahresumsatzes verhängen.
Strukturelle Maßnahmen
Der Eilantrag vor dem OLG Köln wurde zurecht darauf gestützt, dass Meta mit seiner Opt-out-Lösung Fakten schafft. Technisch ließe sich demnach ein derartiger Verstoß nicht mehr rückgängig machen. Das Gericht hat eine einstweilige Verfügung jedoch nicht erlassen. Es kann jetzt im Hauptsacheverfahren dennoch weiterhin die Rechtswidrigkeit der Maßnahme festgestellt werden. Auch andere Privatpersonen oder die Kommission könnten grundsätzlich tätig werden. Die Zusammenführung wäre jedenfalls aber schon erfolgt.
Ist damit die Sache zuende? Besteht keine Möglichkeit mehr?
Die Kommission hat einerseits die Möglichkeit, einem Gatekeeper ein bestimmtes Verhalten durch einen Nichteinhaltungsbeschluss zu untersagen und diese Untersagung durchzusetzen. Das liegt insbesondere bei Gatekeeper-Verhalten mit behindernder Wirkung nahe. Auch die fortdauernde Zusammenführung könnte die Kommission untersagen.
Es könnte allerdings auch sein, dass die Kommission die Frage schlicht austestet, ob personenbezogene Daten wirklich nicht mehr aus der KI entfernt werden könnten. Dies wurde bereit in anderen Zusammenhängen bezweifelt und gegebenenfalls schließt sich die Kommission dem an. Dann könnt der Umsetzung des Nichteinhaltungsbeschlusses auch seine Durchsetzung in der Form einer rückwirkenden Entflechtung folgen. Hier würden sich dann spannende Durchsetzungsfragen stellen.
Andererseits besteht unter strengen Voraussetzung die Möglichkeit, dass die Kommission strukturelle Maßnahmen vorgibt. Art. 18 DMA räumt der Kommission die Befugnis einer Marktuntersuchung bei systematischer Nichteinhaltung ein. Von einer systemtischen Nichteinhaltung ist bei mindestens drei Nichteinhaltungsbeschlüssen innerhalb eines Zeitraums von acht Jahren auszugehen. Stellt die Kommission eine solche systematische Nichteinhaltung fest und hat das Unternehmen seine Gatekeeper-Stellung mindestens beibehalten, so kann die Kommission einen Durchführungsrechtsakt erlassen. Dieser kann verhaltensbezogene oder strukturelle Abhilfemaßnahmen enthalten. Sie müssen angemessen und erforderlich sein, um die wirksame Einhaltung der Vorgaben des DMA zu gewährleisten.
Strukturelle Maßnahmen könnten etwa eine strukturelle Separierung sein, eine Veräußerungspflicht oder eine Open-Access-Pflicht. Bei den letzten Maßnahmen würde zwar der eigentliche Verstoß gegenüber den Nutzern nicht mehr rückgängig gemacht. Die wettbewerblichen Vorteile kämen aber nicht mehr allein Meta zugute. Die Öffnung für den Wettbewerb könnte dann zudem aufgefangen werden, indem spezifische inhaltliche Vorgaben an den Umgang mit den zusammengeführten Daten gemacht werden.
