Prof. Dr. Maximilian Becker, Siegen*

INHALT

Der Beitrag analysiert die jüngere Rechtsprechung von EuGH und BGH zur DSGVO als Marktverhaltensregel (§ 3a UWG). Er zeigt, dass sich die neu entstehende Klagemöglichkeit gerade für europäische KI-Unternehmen zu einem wichtigen Instrument im Wettbewerb mit Konkurrenten aus Drittstaaten entwickeln könnte. Entscheidend ist, ob Datenschutzrecht (auch) als Ressourcenregelung zu verstehen ist und ob die Rechtsfolgen aus §§ 8, 9 UWG – gegebenenfalls de lege ferenda – einen Anspruch auf Marktbereinigung umfassen sollten. 

I. Einleitung

1 Die lauterkeitsrechtliche Durchsetzung der DSGVO fällt unter das Oberthema „Datenschutzrecht auf dem Weg ins Zivilrecht“. Schon lange steht im Fokus des Datenschutzrechts nicht mehr die Auseinandersetzung mit Behörden, sondern der mit zivilrechtlichen Mitteln wie insbesondere Schadensersatz- und auch Unterlassungsansprüchen1) geführte Kampf Betroffener gegen datenschutzverletzende Unternehmen. Dabei könnten sie in Zukunft Unterstützung von deren Mitbewerbern bekommen.

2 Die Sprengkraft der lauterkeitsrechtlichen Durchsetzung der DSGVO liegt darin, dass Datenschutzrecht Legal Risk Management ist. Für (Digital-)Unternehmen ist es illusorisch, mit Sicherheit alle Datenschutzvorschriften einzuhalten. Dadurch entstehen ein erheblicher Graubereich und damit großes Missbrauchspotential.

3 Andererseits kann Datenschutzrecht jede Verstärkung gebrauchen – speziell im EU-Wettbewerb mit den sog. „US-Tech-Giganten“. Beispiele sind die intransparente Internet-Werbeindustrie oder die Nutzung von Personendaten zum KI-Training. Die von diesen Unternehmen angetretene Flucht in die technische Komplexität ihres Geschäftsmodells bietet gerichtlich mehr Schutz als Angriffsfläche. Das Lauterkeitsrecht könnte als weiterer zivilrechtlicher Mosaikstein zur Aufklärung und Rechtsdurchsetzung beitragen.

4 Im Folgenden werden die Verbands- und besonders die Mitbewerberklage über §§ 8 Abs. 3, 3a UWG sowie mögliche Schadensersatzansprüche von Mitbewerbern (§ 9 Abs. 1 UWG) anhand der aktuellen Rechtsprechung untersucht, die vorläufig im BGH-Urteil „Arzneimitteldaten II“ kulminiert. Im letzten Teil geht es um den speziellen und medienwirksamen Anwendungsfall des KI-Trainings mit Personendaten bei Meta und das zugehörige Urteil des OLG Köln. Dort zeigt sich, welche Bedeutung § 3a UWG i.V.m. der DSGVO für europäische KI-Unternehmen erlangen könnte.

II. Verbandsklage über §§ 8 Abs. 3 Nr. 2, 3a UWG

5 Der erste Blick gilt der Verbandsklage. Im Fall „App-Zentrum“2) hatte ein Verbraucherschutzverband im App-Zentrum von Facebook einen Datenschutzverstoß nach § 13 TMG a.F. gesehen,3) also der damaligen Sammelnorm des TMG für datenschutzrechtliche Anbieterpflichten. Speziell ging es um Informationspflichtverletzungen (nun: Art. 12 ff. DSGVO). Eine Klagebefugnis zur Geltendmachung von Datenschutz durch Verbände gab es für diese Fälle aus § 8 Abs. 3 Nr. 3 UWG sowie aus § 3 Abs. 1 Nr. 1 UKlaG.4)

6 Der BGH hatte zu prüfen, ob die DSGVO insoweit zu einer Änderung führen werde. Seine Vorlagefrage an den EuGH zielte darauf, festzustellen, ob die Regelungen in Kapitel VIII DSGVO (insbesondere in Art. 80 Abs. 1 und 2, Art. 84 Abs. 1 DSGVO) nationalen Regelungen entgegenstehen, die Mitbewerbern und Verbänden die Befugnis einräumen, wegen DSGVO-Verstößen gegen den Verletzer im Wege einer Zivilklage unter anderem aus Lauterkeitsrecht vorzugehen, und zwar unabhängig von der Verletzung konkreter Rechte einzelner Betroffener und ohne Auftrag eines Betroffenen.5)

7 Der EuGH hat die Problematik in der „Meta Platforms Ireland“-Entscheidung behandelt, dabei die Frage nach der Klagebefugnis von Mitbewerbern aber mangels Entscheidungserheblichkeit unbeantwortet gelassen.6) Eine mögliche Sperrwirkung der DSGVO wurde nicht entscheidungserheblich,7) da die Öffnungsklauseln für „zusätzliche, strengere oder einschränkende, nationale Vorschriften“8) hier ausreichten. Auch wenn es nicht speziell hierfür erlassen worden sei, erfülle das Verbandsklagerecht aus UWG und UKlaG für Verbraucherschutzverbände die Voraussetzungen von Art. 80 Abs. 2 DSGVO.9) Ein Verstoß gegen Verbraucherschutz- und Lauterkeitsrecht könne mit einem Datenschutzverstoß einhergehen. Auch seien weder die Ermittlung der betroffenen Personen noch der Nachweis konkreter Datenschutzverletzungen erforderlich.10) Verbände können also Datenschutzverletzungen abstrakt über §§ 8 Abs. 3, 3a UWG verfolgen.

8 In einer weiteren Iteration musste geklärt werden, ob die Verletzung von Informationspflichten (Art. 12 f. DSGVO) unter Art. 80 Abs. 2 DSGVO fällt, der das Verbandsklagerecht an Verletzungen „infolge einer Verarbeitung“ knüpft.11) Wieder hatte der EuGH keine Einwände – die enge Verknüpfung der Informationspflichten mit Grundsätzen aus Art. 5 Abs. 1 DSGVO und der Einwilligung als Erlaubnistatbestand (für die Verarbeitung) erfülle in diesem Kontext den Verarbeitungsbegriff.12)

9 In „App-Zentrum III“13) bejahte der BGH schließlich die DSGVO-Klagebefugnis des Verbraucherschutzverbands aus dem Ausgangsverfahren. Die beanstandete Verletzung von Informationspflichten (§ 13 TMG a.F. = Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, e DSGVO) hingegen verschob er aus § 3a UWG hinüber in § 5a UWG. Es handele sich um einen originären UWG-Verstoß, an der Annahme eines Lauterkeitsrechtsverstoßes unter dem Gesichtspunkt des Rechtsbruchs (§ 3a UWG) halte er nicht fest (s.u. III. 3. e)).14)

10 Neben dem UWG bleibt Verbänden für Unterlassungsansprüche außerdem der breitere Weg über § 2 Abs. 2 Nr. 13 UKlaG, der nicht an die Prüfung gebunden ist, ob die konkrete DSGVO-Vorschrift eine Marktverhaltensregel darstellt.15) Überdies eröffnet das VDuG Verbänden mit Abhilfe- und Musterfeststellungsklage seit Kurzem zusätzliche Handlungsoptionen.16)

III. Mitbewerberklage über § 3a UWG: „Arzneimittelbestelldaten“

11 Der hier im Mittelpunkt stehenden Rechtsprechungs-Reihe „Arzneimittelbestelldaten“ lag der Streit zweier Apotheken zugrunde. Die Beklagte hatte apothekenpflichtige, aber nicht-verschreibungspflichtige Medikamente über Amazon Marketplace vertrieben. Der Kläger sah darin einen Datenschutzverstoß, weil Gesundheitsdaten ohne Einholung einer datenschutzrechtlichen Einwilligung verarbeitet würden.17) In beiden Fällen wurde (auch) aus §§ 8 Abs. 3 Nr. 1; 3a UWG i.V.m. Art. 9 Abs. 1 DSGVO geklagt.

12 Arzneimittelbestelldaten II18) ist auf den Datenschutzverstoß und § 3a UWG fokussiert. Die zentrale Frage lautet überspitzt: Regelt die DSGVO das Marktverhalten von Apotheken im Interesse von Marktteilnehmern?

13 Arzneimittelbestelldaten III19) hingegen befasst sich mit dem „Schlechthinverbot des Vertriebs von apothekenpflichtigen Medikamenten über Amazon“. Der Kläger stützte sich auf einen Verstoß gegen Bestimmungen des Berufsrechts der Apotheker und Vorschriften, die den Vertrieb von Arzneimitteln regeln.20) Der Vertrieb apothekenpflichtiger Medikamente über Amazon wurde allerdings jenseits der Datenschutzproblematik als legal eingestuft,21) was hier nicht näher darzulegen ist. Interessant an dem Fall ist aber, dass die Feststellung der Schadensersatzverpflichtung beantragt worden war (§ 9 UWG), was unten näher behandelt wird (III. 4.).

1. Klagebefugnis für Mitbewerber

14 Ähnlich wie in der App-Zentrum-Entscheidung legte der BGH in „Arzneimittelbestelldaten I“22) dem EuGH die Frage vor, ob die Bestimmungen des Kapitels VIII DSGVO einer nationalen Regelung entgegenstehen, die Mitbewerbern die Befugnis einräumt, wegen DSGVO-Verstößen gegen Verletzer im Wege einer Zivilklage aus Lauterkeitsrecht vorzugehen.

15 Der EuGH antwortete im Urteil „Lindenapotheke“23) ähnlich deutlich wie schon zuvor in „Meta Platforms Ireland“ für Verbände: Die DSGVO stehe einer solchen nationalen Regelung nicht entgegen.24) Eine Lauterkeitsklage lasse ihre Ziele nicht nur unberührt und verhalte sich mindestens neutral zu ihrem Rechtsbehelfssystem, sie könne die praktische Wirksamkeit der DSGVO sogar unterstützen und sei insbesondere eine willkommene Verstärkung der Betroffenenrechte.25)

2. Datenschutzverstoß durch Amazon-Vertrieb

16 Die Dramatik von DSGVO-Vorschriften als Marktverhaltensregeln liegt in der „Befürchtung, dass künftig gilt: DSGVO-Verstoß = Unlauterkeit gem. § 3a UWG“.26) Die Rechtsprechung zum beschriebenen Konflikt zweier Apotheken bringt dies zusammen mit der beanstandeten Datenschutzverletzung (dazu sogleich III. 2. a) und b)) besonders anschaulich auf den Punkt. Während Gerichtsentscheidungen häufig ungewöhnliche, schwer verallgemeinerbare Konstellationen zum Gegenstand haben, steht dieser Fall für unspektakuläre, eher formale Datenschutzverletzungen. Er bildet eine Art Untergrenze, über der zahlreiche Arten von häufigen Datenschutzverletzungen liegen, die wesentlich schwerer wiegen.

a) Bestelldaten als Gesundheitsdaten (EuGH – Lindenapotheke)

17 Ebenfalls Vorlagefrage war, ob aus den Arzneimittelbestelldaten Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können. Der GA hatte daran Zweifel und nannte hierfür drei Argumente: (1) Es gehe um Arzneimittel zur Behandlung von Alltagsbeschwerden, die bei jedem auftreten könnten, so sei es z.B. bei Paracetamol, (2) der Online-Käufer sei nicht zwangsläufig zugleich der Anwender des Medikaments und (3) Online-Bestellungen könnten ohne Angaben zur bürgerlichen Identität abgewickelt werden.27) Bemerkenswert ist der zusätzliche Hinweis auf ein Paradoxon: Eine ausdrückliche Einwilligung in die Verarbeitung sensibler Daten könne den Käufer womöglich „veranlassen, die Identität des Endnutzers (…) preiszugeben.“28) Datenschutzbewusste Käufer könnten dies zwar leicht umgehen, formal ist aber auch dieser Punkt nicht von der Hand zu weisen.

18 Der EuGH folgte dieser Ansicht nicht. Der Begriff „Gesundheitsdaten“ sei weit auszulegen.29) Aus den Bestelldaten könne „mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person i. S. v. Art. 4 Nr. 1 DSGVO geschlossen werden“.30) Es sei nicht ausgeschlossen, dass der Patient auch dann identifiziert wird, wenn jemand anderes die Bestellung aufgibt.31) Daher seien Bestelldaten (z.B. Name, Lieferadresse, Angaben zu Medikament) Gesundheitsdaten i. S. d. Art. 4 Nr. 15; 9 Abs. 1 DSGVO.32)

19 Bei seinem sehr weiten Verständnis von Art. 9-DSGVO-Daten befasste sich der EuGH zwar eingehend mit Gesundheitsdaten, nicht aber mit der vorgelagerten Frage der Identifizierbarkeit von Personen (vgl. Art. 4 Nr. 1 und 15 DSGVO).33) Denn die Ausführungen des GA unterstreichen zutreffend, dass die Identität des Patienten bei Onlinebestellungen gut verdeckt werden kann. Die Bestelldaten sind in erster Linie Personendaten des Bestellers (z.B. „XY hat 2024 dreimal Aspirin bestellt“ – für wen auch immer). Für ihn sind sie aber nicht automatisch Gesundheitsdaten. Denn die Identifizierbarkeit des Patienten folgt nicht ohne Weiteres aus der Bestellung und wird vom EuGH wie gesagt auch etwas lieblos geprüft.34)

20 Überhaupt ist die Rechtsprechung großzügig bei der Gleichsetzung eines Accounts mit dem dahinterstehenden Nutzer und nun auch weiteren dahinterstehenden Personen. Schon bei Planet4935) hätte man fragen können, ob denn gesichert ist, dass der Inhaber des Nutzerkontos identisch mit dem Betroffenen ist, ebenso bei der Inhaberschaft von IP-Adressen.36)

b) Erlaubnistatbestand, Art. 9 Abs. 2 DSGVO

21 Da Gesundheitsdaten vorlagen, bedurfte es neben einem Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Eine konkludente Einwilligung genügt hierfür nicht.37) Erforderlich ist, dass die fraglichen Daten konkret benannt werden, der Betroffene über die gesamte beabsichtigte Verwendung der Daten informiert wird und einen ausdrücklichen Hinweis auf das Vorliegen von Gesundheitsdaten erhält.38) Daran fehlte es bei Amazon. Auch die Prüfung diverser weiterer Erlaubnistatbestände führte nicht zur Rechtmäßigkeit.39) Ein Datenschutzverstoß lag also vor.

22 Das unterstreicht die besagte Dramatik: Selbst Amazon scheint nicht damit gerechnet zu haben, dass der Verkauf von Alltagsarzneien datenschutzrechtlich so sensibel ist. In der Tat hat der beanstandete DSGVO-Verstoß einen bürokratischen Beigeschmack. Dennoch verschafft er Mitbewerbern eine Angriffsposition, die im nächsten Punkt erörtert wird.

3. Marktverhaltensregel

23 Besondere Aufmerksamkeit verdient die Frage, ob die betroffenen DSGVO-Vorschriften eine Marktverhaltensregel darstellen. Sind halbformale Fehler bei der Einholung einer Einwilligung, die de facto gegeben ist (Arzneimittelbestellung bei Amazon), eine unlautere geschäftliche Handlung?

24 Vorweg abzugrenzen sind „originäre“ UWG-Verstöße im Kontext des Datenschutzrechts, z.B. die Irreführung oder unlautere Beeinflussung zur Einholung von Einwilligungen.40) Sie sind eigenständig unlauter. Beispielsweise ist § 5a UWG interessant für Cookie-Banner (dark patterns) und andere problematische Wege zur Einwilligung. Er trägt aber eben nicht die Befürchtung, dass „DSGVO-Verstoß = Unlauterkeit“ ist.41)

a) Marktverhalten

25 Für das Vorliegen einer Marktverhaltensregel ist zunächst zu fragen, ob die Vorschrift (hier: die konkrete DSGVO-Regel) der Regelung von Marktverhalten dient. Marktverhalten umfasst das Angebot und die Nachfrage von Waren oder Dienstleistungen, die Werbung hierfür und den Abschluss samt der Durchführung von Verträgen.42) Diese Aufzählung wird unten (s.u. III. 3. e)). noch einmal wichtig bei der Einschätzung, welche Datenschutzvorschriften einen Einfluss i. S. d. § 3a UWG haben.43)

26 Ob eine Norm einen oder mehrere dieser Aspekte von Marktverhalten regelt, ist anhand ihres Telos zu beurteilen. Knapp abgegrenzt werden können Marktverhaltensregeln gegenüber Vorschriften, die ausschließlich den Marktzutritt regeln, z.B. zur erwerbswirtschaftlichen Tätigkeit von Gemeinden oder vereinsrechtlichen Vorschriften (§§ 21 ff. BGB).44) Ebenso ausgeschlossen sind Vorschriften, die das wirtschaftliche Verhalten im Vor-/Umfeld des Marktgeschehens regeln, z.B. Steuerrecht, Umweltrecht oder Arbeitsrecht.45) Wieder andere Rechtsgebiete, vor allem die IP-Rechte, regeln die zivilrechtliche Anspruchsberechtigung von Mitbewerbern und Verbänden abschließend. Ob das Datenschutzrecht hierzu zählt, war bis dato streitig.46)

27 Der BGH zitiert hierzu zunächst zwei Extrempositionen. Nach der einen Ansicht sind Datenschutzregeln keine Marktverhaltensregelungen, weil sie lediglich das Persönlichkeitsrecht beziehungsweise die informationelle Selbstbestimmung schützen.47) Diese Position, nach der das Datenschutzrecht eine abschließende Regelung darstellt, hatte der EuGH schon in der „Meta Platforms Ireland“-Entscheidung angezählt (s.o. II.). Nach der entgegengesetzten Ansicht hat Datenschutzrecht vor allem verbraucherschützende Wirkung und ist deshalb insgesamt eine Marktverhaltensregelung.48)

28 Der BGH wählt einen abgewogenen, „unaufgeregte[n]“ Kurs:49) Beim Datenschutzrecht sei keine pauschale Antwort möglich. Jede Datenschutzvorschrift müsse konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.50) Erforderlich ist also eine Prüfung der jeweils einschlägigen DSGVO-Vorschrift, was eine gewisse Rechtsunsicherheit (s. a. unten III. 4. a)) mit sich bringt.

b) Interessen der Marktteilnehmer – Die DSGVO als Verbraucherschutz oder Ressourcenregelung?

29 Es stellt sich also die Frage, ob die jeweilige DSGVO-Vorschrift dem Schutz der Interessen von Marktteilnehmern dient.

30 Auch hier richtet sich die Abgrenzung vor allem gegen den bloßen Schutz von Allgemeininteressen.51) Z.B. dient Umweltschutz nicht dem Schutz der Interessen von Marktteilnehmern.52)

31 Dass der beklagte Mitbewerber im Falle des § 3a UWG Adressat der Norm sein, sie ihm also Pflichten auferlegen muss, ergibt sich aus der Natur der Sache. Vorliegend geht es hingegen um die Frage, ob, und falls ja, welche Interessen anderer Marktteilnehmer geschützt werden.

32 Allgemein gilt, dass das geschützte Interesse „gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt“ werden muss.53) Die fragliche Norm muss „zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen (…) nicht“.54)

33 Im einfachsten Fall regelt eine Norm daher das Marktverhalten von Unternehmen, um zugunsten ihrer Mitbewerber einen fairen Wettbewerb zu gewährleisten. Komplizierter wird es, wenn – wie im Falle der DSGVO – zwar in der Praxis überwiegend Unternehmen/Unternehmer Normadressaten sind (hier: Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO), es aber unklar ist, wessen und welche Interessen dadurch geschützt werden.

34 Schützt eine Regel (auch) die Interessen von Nicht-Mitbewerbern, d.h. Verbrauchern und sonstigen Marktteilnehmern, muss sich ihr Telos auf deren marktbezogenes Verhalten/ihre „wettbewerblichen Belange“ richten, also insofern einen Wettbewerbsbezug haben.55) Sie müssen als Vertragspartner in Bezug genommen werden.56) Nur dann handelt es sich um eine Marktverhaltensregel. Denn sogar im Verbraucherschutzrecht gibt es Vorschriften, die zwar Verbraucher schützen, aber nicht ihr Marktverhalten regeln, sondern das von jemand anderem:

35 So geht es in vielen Teilen des Verbraucherschutzrechts unmittelbar um das Marktverhalten von Verbrauchern, weshalb es sich um Marktverhaltensregeln handelt – Telos ist häufig der Schutz ihrer vertraglichen Entscheidungsfreiheit.57) Hingegen ist beispielsweise § 4 Abs. 4 GlüStV zwar eine Marktverhaltensregel, die auch Verbrauchern zugutekommt.58) Sie richtet sich aber nur an Anbieter und Vermittler öffentlicher Glücksspiele i. S. d. § 2 GlüStV,59) d.h. sie schützt zwar Verbraucher, soll ihrem Telos nach aber nicht deren Marktverhalten regeln, sondern das der Anbieterseite.

36 Wie beurteilt nun der BGH diesen Punkt beim Datenschutzrecht? Er versteht Personendatenschutz tendenziell als Verbraucherschutz. Das Einwilligungserfordernis in Art. 9 DSGVO schütze Interessen der Verbraucher und sonstiger Marktteilnehmer (z.B. Handwerker und andere Einzelunternehmer, die als natürliche Personen und damit als potenziell Betroffene i. S. d. Art. 4 Nr. 1 DSGVO in Erscheinung treten), also nicht Mitbewerberinteressen.60) Die sonstigen Marktteilnehmer werden in Arzneimitteldaten II nicht durchgängig mit genannt, was daran liegen könnte, dass die entscheidende Grenze im Datenschutzrecht die zwischen natürlichen und juristischen Personen/Verbänden und nicht die zwischen Verbrauchern und Unternehmern ist.

37 Dieser Verbraucheransatz gilt nach hier vertretener Auffassung für sämtliche Datenschutzregeln, sofern sie Marktverhaltensregeln sind. Denn das Einwilligungserfordernis ist innerhalb der DSGVO kein besonderer Verbraucherschutz, der neben echten Marktregeln oder dergleichen stünde. Es ist eine der marktnahen, „kommerziellen“ Regeln der DSGVO (vgl. z.B. die Datenschätze von DNA-Analysediensten, Dating-Plattformen oder Sport- und Gesundheitsapps) – und trotzdem beschränkt der BGH es auf Verbraucherinteressen.

38 Eine alternative Sicht, die Mitbewerberinteressen ins Zentrum rücken würde, wäre das Verständnis von Personendaten als Ressource der Digitalwirtschaft. Die DSGVO könnte damit als Ressourcenregelung für Mitbewerber verstanden werden. Das wurde vom BGH nicht vertreten. Wohl aber argumentiert der EuGH in diesem Sinne. So sei der „Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung (…)“. Dies werde durch das Geschäftsmodell von Facebook veranschaulicht, das „vorsieht, dass durch die Kommerzialisierung von Werbenachrichten (…) Einnahmen generiert werden“.61) Im Lindenapotheke-Urteil selbst heißt es, der „Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft“ sei „von erheblicher Bedeutung (…) und (…) zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden“.62)

39 Wichtig (insbesondere politisch) ist also, dass der BGH sich auf das Marktverhalten der Verbraucher und nicht auf das der Mitbewerber fokussiert. Er versteht Personendaten nicht als Ressource, sondern Datenschutz als Determinante für Verbraucherverhalten und stellt auf die Entscheidungsmöglichkeit des jeweiligen Verbrauchers über die für die Nachfrageentscheidung erforderliche Datenpreisgabe ab: „Der Verbraucher soll gerade durch die Möglichkeit, über die Preisgabe seiner Daten zu entscheiden, in die Lage versetzt werden, frei zu entscheiden, ob, wie und in welchem Umfang er am Markt teilnimmt und Verträge abschließt.“63) „Gute“ Einwilligungsbedingungen sind dafür essentiell.

40 Diese Interessenorientierung ist relevant zum einen für die Spürbarkeit (s.u. III. 3. d)): Bei der Normauslegung ist die Spürbarkeit des Verstoßes für das Verbraucherverhalten zu prüfen, nicht für das Verhalten der Mitbewerber im Ressourcenwettbewerb. Zum anderen ist sie relevant für den Schadensersatz: Hat der Mitbewerber etwas genommen, was ihm nicht zusteht oder „nur“ Verbraucher schlecht behandelt/Regeln missachtet?

c) Genauer: Was ist die über § 3a UWG i.V.m. der DSGVO beanstandete Interessenverletzung?

41 Den Hintergrund der im vorigen Punkt behandelten Interessenverletzung bildet die Frage, worin genau der schädliche Einfluss von Datenschutzverletzungen auf das Marktverhalten von Verbrauchern liegt, wegen dem über § 3a UWG geklagt werden kann. Geht es schlicht darum, dass Verbrauchern eine Einwilligung „abgeluchst“ wird, die sie ausdrücklich nicht gegeben hätten? Das wäre eine zu enge Sicht, die die Effekte von Datenschutz nicht gut erklärt. Vielmehr gibt es zwei Argumente zugunsten von Datenschutz als Marktverhaltensregel, die sich zwar nicht auf Verbraucherschutz beschränken, aber jeweils an Verbrauchervertrauen anknüpfen. In der weiteren Diskussion könnten sie daher für ein über Verbraucherinteressen hinausgehendes Verständnis von Datenschutz im Lauterkeitsrecht sprechen. Sie stehen in keinem Alternativverhältnis, sondern können kumulativ greifen.

aa) Volkswirtschaftliches Argument

42 Nach diesem Argument stärkt Datenschutzrecht das Verbrauchervertrauen in digitale Dienste. Der EU-Gesetzgeber stellt seit jeher einen engen Zusammenhang zwischen der Funktionalität des (digitalen) Binnenmarktes und Datenschutz her mit der ungefähren These, dass Datenschutz gut für die Wirtschaft ist: „Ein hohes Datenschutzniveau ist (…) unentbehrlich, um das Vertrauen in Online-Dienste zu stärken, das Potenzial der digitalen Wirtschaft auszuschöpfen und auf diese Weise Wirtschaftswachstum und Wettbewerbsfähigkeit der EU zu steigern.“64) Auch Erwägungsgrund 9 S. 3 DSGVO stellt fest: „(…) Unterschiede im Schutzniveau können (…) ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen (…)“.

43 Ratio dieses Arguments ist: Datenschutzverletzungen schädigen die Digitalwirtschaft – daher sind DSGVO-Regeln Marktverhaltensregeln.

bb) Nachteils-/Vorteilsmechanismus

44 Das andere Argument stellt auf den aus anderen Bereichen teilweise bekannten Dualismus von Verletzervorteilen und Mitbewerbernachteilen ab. Der Datenschutzverletzer erspart sich durch das Trittbrettfahren auf von Mitbewerbern aufgebautem Verbrauchervertrauen Kosten und Mühen und hat es obendrein leichter bei der Datensammlung/-verarbeitung (was bei Amazon aber nicht einmal im Fokus stand). Hinzu tritt fatalerweise ein angenehmeres Nutzungserlebnis für eigene Kunden (z.B. mangels Cookie-Bannern): Sie bemerken die Datenschutzverletzung nicht und vertrauen auf das Bestehen von Datenschutz.

45 Ratio dieses Arguments ist der Gegensatz der praktischen Nachteile für Unternehmen, die sich an das Datenschutzrecht halten und entsprechenden Vorteilen für Verletzer – daher sind DSGVO-Regeln Marktverhaltensregeln.

d) Spürbarkeit – oder: Die Einholung von Einwilligungen als Akerlof-Markt

46 Die letzte zu prüfende Frage lautet: Ist der Verstoß gegen die Marktverhaltensregel geeignet, Interessen der Marktteilnehmer (Verbraucher, Mitbewerber und/oder sonstige Marktteilnehmer) spürbar zu beeinträchtigen? Dies wird nicht durch den Verstoß indiziert, sondern bedarf der gesonderten Feststellung und Begründung.65) Auch die Spürbarkeit hängt vom Schutzzweck66) der fraglichen Marktverhaltensregel ab.

47 Laut BGH werden Verbraucher (und sonstige Marktteilnehmer), nicht aber Mitbewerber durch die DSGVO geschützt (s.o. III. 3. b)). Eine spürbare Beeinträchtigung der Interessen von Verbrauchern liegt nach jüngster Rechtsprechung vor, „wenn deren Fähigkeit zur informierten und freien geschäftlichen Entscheidung im Sinne des § 2 Abs. 1 Nr. 1 UWG betroffen ist“.67) Stellen Datenschutzverletzungen insofern eine Beeinträchtigung dar? Oder konkreter formuliert: Wie reagieren Verbraucher auf nicht-ausdrückliche Einwilligungen in die Verarbeitung ihrer Gesundheitsdaten bei (eher harmlosen) Arzneimittelbestellungen? Man könnte argumentieren, dass sie dann wahrscheinlich eher einwilligen.

48 Ebenso plausibel ist aber die Gegenansicht, nach der ohnehin kaum jemand Datenschutzbedingungen liest und auch ausdrückliche Einwilligungen i. S. d. Art. 9 Abs. 2 lit. a DSGVO meist nur weggeklickt werden – genau wie Allgemeine Geschäftsbedingungen (AGB). Doch auch dann wäre die Beeinträchtigung spürbar, da ein ähnliches Marktversagen wie bei AGB vorliegt. Hintergrund dieser Überlegung ist das Verständnis der Einholung von Einwilligungen als Akerlof-Markt.68) Sie sind ein typischer Fall adverser Selektion aufgrund asymmetrischer Informationslagen.69) Da die schlechter informierte Seite ihre datenschutzrechtliche Benachteiligung nicht erkennt, können sich bessere Angebote nicht durchsetzen. Es kommt zum Marktversagen, einem „race to the bottom“ in Richtung immer schlechterer Einwilligungsbedingungen.70)

49 Dies dürfte generell für Datenschutzbedingungen gelten, da es sich bei ihnen um Erfahrungsgüter handelt. Für Verbraucher ist unklar, welche Qualität/Folgen sie haben; dies stellt sich – wenn überhaupt – erst lange Zeit nach der Vertragsentscheidung heraus. Ein ständiger Vergleich bzw. eine eingehende Analyse von Datenschutzbedingungen hingegen wäre unwirtschaftlich.

50 Es verhält sich ganz ähnlich wie im AGB-Recht: Verbraucher vertrauen auf ein Mindestmaß an rechtlichem Schutz. In beiden Fällen können Verbände der Verwendung unwirksamer Klauseln kaum Herr werden71) und Unternehmen profitieren von weitreichenden Eingriffsbefugnissen/ungünstigen Datenschutzerklärungen. Konkret ergibt sich die Spürbarkeit bei AGB daraus, dass Verbraucher trotz der Unwirksamkeit der Klauseln von der Geltendmachung ihrer Rechte abgehalten werden können.72)

51 Der Effekt nicht-DSGVO-konformer Einwilligungsbedingungen liegt daher nicht (nur) in der schnelleren Einwilligung, sondern zeigt sich eine Stufe später: Die einseitige Verbesserung der Rechtslage ist rechtswidrig, aber praktisch wirksam – ihr steht kein wirksamer Rechtsschutz entgegen.73) Eine Datenschutzrechtsverletzung bei der Einwilligung führt daher zu spürbaren Interessenbeeinträchtigungen bei Verbrauchern.

e) Marktverhaltensregeln in der DSGVO

52 Welche Datenschutzvorschriften sind nun relevant für die geschäftliche Entscheidung von Verbrauchern und damit eine Marktverhaltensregel?

53 Bejaht wurde dies vom BGH bislang nur für die Einwilligung, auch wenn vorher noch allgemeiner die Rede von „Bestimmungen zur Verarbeitung von Gesundheitsdaten“ ist.74) Immerhin gilt die Entscheidung nach hier vertretener Ansicht für jegliche Einwilligung, auch außerhalb von Gesundheitsdaten. Dafür spricht die Harmlosigkeit des Falles und der betroffenen Gesundheitsdaten sowie die häufig wesentlich heiklere Art von Einwilligungen außerhalb von Art. 9 DSGVO.

54 Ebenso kommt der der Einwilligung praktisch (sehr) nahe Erlaubnistatbestand der berechtigten Interessen (Art. 6 Abs. 1 lit. f. DSGVO) als Marktverhaltensregel in Betracht. Auch hier trägt der Mechanismus des Akerlof-Marktes – schon, weil Unternehmen selbst die Nähe zur Einwilligung konstruieren (s. u. V. 3.). Daher liegt eine Marktverhaltensregel vor.75) Ferner wurde das Gebot der Datenminimierung nach Art. 5 Abs. 1 lit. c; 25 Abs. 2 DSGVO vom LG Hamburg plausibel als Kandidat für eine Marktverhaltensregel bejaht.76)

55 In § 5a UWG verschoben hat der BGH hingegen die Informationspflichten gem. Art. 12 i.V.m. Art. 13 und 14 DSGVO. Ursprünglich hatten sie beste Aussichten, unter § 3a UWG zu fallen.77) Der Senat hält aber nicht am Rechtsbruch (§ 3a UWG) fest, sondern sieht einen originären UWG-Verstoß, der „allein nach § 5a Abs. 1 UWG zu beurteilen“ sei.78) Das ist gut vertretbar. Nur was ist – angesichts der detaillierten Anforderungen aus § 5a Abs. 1 Nr. 1, 2 UWG – mit nicht-irreführenden Informationspflichtverletzungen? Schädigen sie nicht das Marktverhalten? Denn die Ratio von § 5a UWG deckt sich nicht mit der der DSGVO (als Marktverhaltensregel i. S. d. § 3a UWG). Es gibt viele Informationspflichtverletzungen, die deutliche DSGVO-Verstöße darstellen, nicht aber die höhere Schwelle der Irreführung durch Unterlassen erreichen. Sie dürften damit lauterkeitsrechtlich freigestellt sein.

56 Fraglich ist, ob Betroffenenrechte (Art. 15 ff. DSGVO, z.B. Auskunft, Löschung) das Marktverhalten von Verbrauchern regeln. Auf den ersten Blick liegt das nahe. Hier kommt die obige (s.o. III. 3. a)) Aufzählung als Einwand zum Tragen: Die Betroffenenrechte betreffen nicht die Vertragsentscheidung, sondern werden meist zeitlich später relevant. Je nachdem haben sie aber einen Effekt auf die Nutzung der Ware/Dienstleistung. Z.B. könnten Betroffene ein Social-Media-Angebot eines Unternehmens in der unzutreffenden Annahme weiternutzen, ihnen sei umfassend Auskunft gegeben (Art. 15 DSGVO) und ihre Löschungsbegehren (Art. 17 DSGVO) bezüglich bestimmter Daten seien korrekt umgesetzt worden. Wieder würde sich die Frage stellen, ob das marktbezogene Verhalten der Verbraucher oder eher das Verhalten von Mitbewerbern im Ressourcenwettlauf im Mittelpunkt steht. Wie gesagt sprechen im gegenwärtigen Umfeld gute Argumente für ein auch ressourcengeprägtes Verständnis von Datenschutzrecht (s.o. III. 3. b)).

57 Eher unwahrscheinlich als Marktverhaltensregeln erscheinen mangelnde technisch-organisatorische Maßnahmen (TOM) (Art. 32 ff. DSGVO), Fehler bei der Bestellung eines Datenschutzbeauftragten (Art. 37 ff. DSGVO) oder bei einer Datenschutzfolgenabschätzung (Art. 35 f. DSGVO). Denn hier ist die Distanz zum Marktverhalten der Betroffenen schon relativ groß. Die Regeln haben eher die oben (s.o. III. 3. a)) beschriebene Vor-/Umfeld-Bedeutung.

58 Die Aufzählung ist nicht erschöpfend, sie gibt aber einen ersten Eindruck.79)

4. Rechtsdurchsetzung, insbesondere Schadensersatz (§ 9 UWG)

59 Das Klagebegehren war in Arzneimitteldaten III neben Unterlassung auf die Feststellung einer Schadensersatzverpflichtung gerichtet.80) Speziell im Kontext von KI-Anbietern geht dieser Problematik die Frage voraus, ob die Datenschutzrechtsverletzung auf den Zeitpunkt des KI-Trainings beschränkt ist,81) oder – was wahrscheinlicher erscheint – das trainierte Modell noch Personendaten enthält oder nutzt, so dass mit sog. „Model Inversion Attacks“ Personendaten im KI-Output erzwungen werden können.82) Da die Unterlassung nur auf kerngleiche Rechtsverletzungen in der Zukunft gerichtet ist, hätten Unterlassungsansprüche im zweiten Fall bessere Aussichten, um erfolgreich gegen Datenschutzverletzungen auch nach dem Abschluss des Trainings mit den jeweiligen Daten vorzugehen. Ist die Verletzung hingegen abgeschlossen, liegt mehr Gewicht auf der schadensersatzartigen Durchsetzung.

60 Das Berufungsgericht hatte im Vorfeld von Arzneimittelbestelldaten III eine Schadensersatzpflicht aufgrund eines unvermeidbaren Verbotsirrtums abgelehnt.83) Der BGH verneinte hingegen einen unvermeidbaren Verbotsirrtum gem. § 17 S. 1 StGB (analog) hinsichtlich des marktregelnden Charakters der DSGVO und bejahte eine Schadensersatzpflicht. Der Beklagte habe sich erkennbar im Grenzbereich des rechtlich Zulässigen bewegt, ihm sei also Fahrlässigkeit vorzuwerfen. Daher stehe dem Kläger zur Vorbereitung der Bezifferung des Ersatzes ein unselbstständiger Auskunftsanspruch gem. § 242 BGB zu.84)

a) Rechtsunsicherheit bei Datenschutzverletzungen

61 Für die Zukunft bedeutet das, dass Verantwortliche um den Charakter der DSGVO als Marktverhaltensregel wissen müssen. Bejaht hat der BGH dies wie gesagt nur für die Einwilligung (s.o. III. 3. e)). Die Fahrlässigkeitsgrenze liegt aber niedrig. Es genügt, dass eine „abweichende Beurteilung der rechtlichen Zulässigkeit des fraglichen Verhaltens in Betracht“ gezogen werden muss.85) Ein unverschuldeter Verstoß gegen § 3a UWG liegt daher fern, ein Verstoß gegen eine Marktverhaltensregel muss im Datenschutz von nun an fast immer in Betracht gezogen werden. Im Fall der originären UWG-Verstöße bei Informationspflichtverletzungen ist dies mit Blick auf § 3a UWG zwar anders, allerdings droht dort der Schadensersatzanspruch über §§ 9 i.V.m. 5a UWG. Da für viele DSGVO-Vorschriften offen ist, ob die Rechtsprechung sie als Marktverhaltensregeln einordnen wird (s.o. III. 3. e)), droht im Gesamtblick erhebliche Rechtsunsicherheit.

62 Diese setzt sich in der Haftungsausfüllung fort. Denn zur Diskussion steht ein Schadensersatz nach § 9 UWG, nicht der (ebenfalls deliktische) Anspruch aus Art. 82 DSGVO. Immaterielle Schäden werden also nur sehr begrenzt ersetzt. Der Haftungsumfang richtet sich auf die durch die unlautere Geschäftspraktik entstandenen Schäden nach Maßgabe der §§ 249 ff. BGB. In DSGVO-Fällen spannend wird die Berechnung möglicherweise entgangenen Gewinns (§ 252 BGB). Würden Personendaten als kritische Ressourcen digitaler Geschäftsmodelle eingeordnet, würden sich datenschutzverletzende Mitbewerber in manchen Fällen nicht nur marginale Vorteile verschaffen, sondern eine wettbewerblich kritische Ressource auf unlauterem Wege abgreifen. Die Ressource wäre dann freilich nicht weg, die rechtwidrige Ressourcengewinnung würde aber einen erheblichen Wettbewerbsvorteil bedeuten.

63 Im Beispiel der fehlerhaften Einwilligung bei Arzneimittelbestellungen dürfte allenfalls der Ersatz der Rechtsverfolgungskosten (Anwalt, Gutachten, Testkäufe etc.) gedeckt sein. Im Falle eines datenschutzwidrigen Zugriffs eines Digitalkonzerns auf Nutzerdaten zum KI-Training, nach dem trainierte Modelle nicht rücktrainiert werden können und weiter in Benutzung bleiben, könnte aber eine andere Art von Schadensersatz geschuldet sein.

b) Ein Anspruch auf Marktbereinigung?

64 Erstrebenswert für europäische KI-Unternehmen wäre eine Beendigung der Nutzung des rechtsverletzenden Modells und ein Ausgleich des Verletzervorteils. Der Gedanke eines Anspruchs auf die (Wieder-)Herstellung „gleiche[r] Marktbedingungen“ im Kontext von Datenschutzverletzungen durch Mitbewerber wird in der Literatur durchaus vertreten.86)

65 Der weitreichendste Ansatz wäre die Forderung eines erheblichen Gewinnausgleichs für Mitbewerber (§ 252 BGB). Hierbei ist aber schon die Kausalität zwischen der Datenschutzverletzung des Verletzers und dem Gewinnnachteil des Mitbewerbers fraglich. Sie ließe sich wohl nur mit größter Mühe und in Extremfällen nachweisen. Der Verletzte müsste Beweise dafür liefern, „dass er den als Schadensersatz verlangten Betrag tatsächlich als Gewinn erzielt hätte, wenn der Konkurrent das beanstandete Verhalten nicht vorgenommen hätte“.87) Für konkurrierende KI-Modelle ist dies außerordentlich schwer darzutun, da neben den Trainingsdaten zu viele andere Faktoren zum Markterfolg beitragen.

66 Ein ergänzendes bzw. alternatives Klagebegehren könnte die Beendigung der Benutzung der rechtswidrig trainierten KI sein, sofern sich der rechtswidrige Teil nicht getrennt zurückbauen/beseitigen lässt. Zu diesem Ziel könnte de lege lata allenfalls ein weitreichendes Verständnis der Naturalrestitution führen. Vom Verletzer verlangt würde also, den „Zustand herzustellen, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre“ (§ 249 Abs. 1 BGB), inklusive seiner hypothetischen Weiterentwicklung. Das Gericht müsste die andauernde Nutzung des rechtswidrig trainierten KI-Modells als Verletzung des Integritätsinteresses verstehen, was voraussetzt, dass der hiermit geschützte unverletzt gedachte Güterbestand des Klägers einen von rechtswidriger Konkurrenz ungestörten Markt umfasst. Ein solcher ist jedenfalls nicht Teil seines subjektivrechtlich zugewiesenen Güterbestands und drohte den Weg für ausufernde Schadenskonstruktionen bahnen. Daher sind bislang nur spezielle Ausprägungen einer Marktbereinigung anerkannt, wie die Beseitigung von Marktverwirrungen und der Ersatz daraus resultierender Schäden.88)

67 Der Vollständigkeit halber sei daran erinnert, dass die verarbeiteten Personendaten niemandem, auch nicht dem Geschädigten zugewiesen sind, sondern allenfalls den Betroffenen i. S. d. DSGVO.89) Aus einem eigentumsartigen Blickwinkel heraus eröffnen sich also ebenfalls keine Schadenspositionen.

68 Eine Art Marktbereinigung wäre damit de lege lata nur schwer durchsetzbar. Das ist auch deshalb misslich, weil dem Verletzer – wie bei manch anderen Datenschutzverletzungen – die Komplexität seiner Rechtsverletzung zugutekommt: Die Verletzung ist (je nach Modell) beendet, das KI-Modell leistungsfähiger geworden und nicht rücktrainierbar. Für Gerichte ist die Aufklärung der technischen Zusammenhänge und Datensammelpraktiken abschreckend, zumal schon übliche Datenverarbeitungen aus der Werbebranche eher ein Forschungsthema als Gegenstand transparenter Verbraucherinformation sind.90) Aus Sicht europäischer KI-Anbieter liegt die Forderung nach einer Lösung de lege ferenda nahe, die sich auf eine Reinigung des Marktes von rechtswidrig trainierten Konkurrenzmodellen richtet. Je nach Verbleib der Daten im Modell könnte ein ähnlicher Ansatz, wie eingangs gesagt, auch über Unterlassungsansprüche verfolgt werden, was einfacher wäre. Ziel ist dabei weniger eine möglichst strenge Durchsetzung der DSGVO als vielmehr die Gewährleistung eines Level Playing Field. Es wäre durchaus denkbar, die DSGVO insbesondere im KI-Bereich, innovationsfreundlicher zu gestalten.91) Nur muss auf dem EU-Markt die Regelungslast für Anbieter aus Drittstaaten dieselbe wie für europäische Unternehmen sein.

IV. Rechtspolitischer Rahmen – Gold-Plating im Wettbewerbsrecht

69 Unmittelbar an die neue Rechtsprechung anknüpfend stellt sich die Frage, wie ernsthaft Deutschland bzw. die EU die DSGVO durchsetzen wollen. Ein kleiner Hinweis zeigte sich 2024 im Vorschlag eines „Gesetzes zum Abbau datenschutzrechtlichen Gold-Platings im Wettbewerbsrecht“,92) der Datenschutzverstöße von § 3a UWG ausnehmen sollte. Der Gesetzgeber fürchtete den strategischen, missbräuchlichen Einsatz von Unterlassungsansprüchen und eine „strikte Rechtmäßigkeitskontrolle des Marktverhaltens“ ohne Verhältnismäßigkeitsprüfung.93) Das Gesetzgebungsverfahren wurde vor dem Hintergrund der damals laufenden EuGH-Vorlage im Fall „Lindenapotheke“ nach einer Stellungnahme der Bundesregierung94) zunächst verzögert und hat sich durch Ablauf der Wahlperiode des 20. Bundestages am 25.03.2025 erledigt.95)

70 Nach der Klarstellung durch EuGH und BGH nahm der Bundesrat den Faden wieder auf und brachte den Entwurf erneut in den Bundestag ein.96) Die Bundesregierung sprach sich in ihrer Stellungnahme zu Recht gegen das Gesetz aus. Der EuGH habe festgestellt, dass die „Abmahnmöglichkeiten von Mitbewerbern und Verbraucherverbänden mit der DSGVO in Einklang stehen“ und sie befürworte die Stärkung der praktischen Wirksamkeit der DSGVO durch das Wettbewerbsrecht.97) Das überzeugt. Hinzu tritt, dass § 8c und § 13 Abs. 4 UWG unter dem Eindruck besagter EuGH-Rechtsprechung der Gefahr missbräuchlicher Datenschutzabmahnungen bereits hinreichend entgegenwirken. Zudem läge im vorgeschlagenen § 3a S. 2 UWG-E ein Wertungswiderspruch zu § 2 Abs. 1 S. 3 und § 2 Abs. 2 Nr. 13 UKlaG.98)

71 Jenseits von Missbrauchsvorwürfen bleibt die Frage, ob Datenschutz wirtschaftlich so wünschenswert ist, dass er mit Hilfe von Mitbewerberansprüchen durchgesetzt werden sollte. Einerseits kann plausibel vertreten werden, dass sich Datenschutzrecht derzeit zum spezifisch europäischen Insolvenzrisiko entwickelt. Seit Jahren findet eine Verschärfung des Schadensersatzrechts statt (Art. 82 DSGVO), in deren Zuge jüngst der BGH auch den Kontrollverlust über eigene Personendaten als Schaden anerkannt hat.99) Träten dann auch noch erhöhte Rechtsberatungskosten und womöglich Ansprüche aus dem Lauterkeitsrecht hinzu, würde sich dieser Trend weiter verstärken. Denn dass Mitbewerber zu einer aggressiveren Durchsetzung als Behörden, Betroffene und Verbände neigen, kann kaum in Abrede gestellt werden.100) Andererseits enthält die DSGVO genug Schlupflöcher, die auf Personendaten als Wirtschaftsgut schließen lassen.101) So gesehen kann das Datenschutzrecht Verstärkung gebrauchen.

V. Speziell: Overenforcement für KI-Unternehmen – oder gerade richtig?

72 Wie schon angeklungen ist, hat das Thema, gerade im Hinblick auf Marktchancen, besondere Bedeutung für die KI-Entwicklung mit Personendaten. Im Juli 2025 hat die Bundesdatenschutzbeauftragte (BfDI) gefordert, dass die chinesische KI-Anwendung „Deepseek“ in Deutschland wegen DSGVO-Verstößen bei Datenabflüssen nach China aus den App-Stores verbannt wird.102) Die breitere Problematik ist im Folgenden anhand des vielbeachteten Urteils des OLG Köln zum Fall „Meta“ zu untersuchen.

1. Meta vor dem OLG Köln

73 Am 23.05.2025 hat das OLG Köln einen Antrag auf einstweilige Verfügung gegen den Meta-Konzern abgelehnt, mit dem das KI-Training mit öffentlich verfügbaren Personendaten verhindert werden sollte.103)

74 Meta wollte sog. first party data104) der Nutzer der Meta-Dienste Facebook und Instagram verwenden, nämlich „öffentlich gestellte Daten in den aktiven Nutzerkonten Volljähriger sowie von Institutionen (Schulen, Kindergärten, Vereine)“, darunter auch „Daten von Minderjährigen (…), auch (…) sensible Daten, insbesondere Fotographien (‚Kinderfotos‘)“.105) Es seien „allein personenbezogene Daten betroffen, die bereits zuvor für jedermann öffentlich einsehbar und auch mittels Suchmaschinen auffindbar waren“.106) 

75 Geklagt hatte kein Mitbewerber, sondern ein Verbraucherschutzverein (§ 4 UKlaG), die Problematik ist aber direkt übertragbar. Das Urteil befasst sich insbesondere mit zwei datenschutzrechtlichen Fragen: Zum einen, ob das fragliche KI-Training zu Metas berechtigten Interessen i. S. d. Art. 6 Abs. 1 lit. f. DSGVO zählt107) und zum anderen, ob Meta die Verarbeitung von Daten i. S. d. Art. 9 DSGVO gestattet ist.108) Zuvor hatte die irische Datenschutzbehörde Einwände gegen Metas Pläne geäußert, sie aber nach der Umsetzung ihrer datenschutzrechtlichen Empfehlungen an Meta grundsätzlich gebilligt.109)

76 Das OLG Köln kam zu dem Schluss, dass das KI-Training sowohl für vor als auch nach dem 26.06.2024 – dem Zeitpunkt, zu dem Meta seine Nutzungsabsicht erstmals den Nutzern kommuniziert hatte – eingestellte Daten rechtmäßig ist und keiner Einwilligung bedurfte.110) Aus Platzgründen ist hier nur auf einzelne Kritikpunkte einzugehen.

2. Berechtigte Interessen von KI-Anbietern und die Aktionslast Betroffener

77 Das OLG Köln beruft111) sich unter anderem auf die einschlägige Stellungnahme des Europäischen Datenschutzausschuss (EDSA).112) Darin heißt es, dass im Zusammenhang mit KI-Modellen folgende Beispiele berechtigte Interessen darstellen könnten: „(i) die Entwicklung eines Konversationsagenten, der Nutzern Hilfe leistet; (ii) die Entwicklung eines KI-Systems, das betrügerische Inhalte oder Verhaltensweisen aufdeckt, und (iii) die Verbesserung der Bedrohungserkennung in einem Informationssystem“.113) Die von Meta verfolgten Ziele liegen aber weit jenseits dieser konzisen Zwecksetzung.

78 Das OLG Köln führt aus, Meta habe beschrieben, „die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können.“114) Für Nutzer finden sich im ausufernden Meta-Privacy-Center nur allgemeinere Angaben. Auf der Unterseite „So verwendet Meta Informationen für generative KI-Modelle und -Features“ wird angegeben, dass Meta Personendaten auf der Grundlage berechtigter Interessen verwendet, „um generative KI-Modelle für KI bei Meta zu entwickeln und zu verbessern“. Auch die folgende Beschreibung generativer KI bleibt allgemein.115)

79 In der näheren Begründung der Berechtigung der Interessen führt das OLG Köln aus, dass als berechtigte Interessen „auch wirtschaftliche Belange in Betracht“ kämen116) und beruft sich hierfür auf ein jüngeres Urteil des EuGH.117) Dieser hatte allerdings nur festgestellt, dass Art. 6 Abs. 1 lit. f. DSGVO das „wirtschaftliche Interesse (…) eines Sportverbands“ deckt, „personenbezogene Daten seiner Mitglieder gegen Entgelt für Werbe- und Marketingzwecke, insbesondere den Versand von Werbebotschaften und Angeboten an seine Mitglieder durch Dritte, gegenüber (…) Dritten (…) offenzulegen“.118) Es handelt sich also um einen sehr begrenzten Rahmen, der keine Verbindung zu KI hat.

80 Ähnlich extensiv ist der Ansatz des Gerichts hinsichtlich der Verarbeitung von Daten Dritter, das Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO zugunsten von KI-Anbietern zu begrenzen. Das OLG Köln überträgt die vom EuGH119) für Suchmaschinenbetreiber zugestandene Begrenzung des Umfangs der Verantwortlichkeit und der konkreten Verpflichtungen im Rahmen ihrer Tätigkeit auf KI-Anbieter: das Verbot aus Art. 9 DSGVO sei „nur nach einer Prüfung anwendbar (…), die erst auf der Grundlage eines Antrags der betroffenen Person unter der Aufsicht der zuständigen nationalen Behörden vorzunehmen ist“.120) Diese der DSGVO eigentlich fremde Aktionslast Betroffener zieht sich durch die gesamte Argumentation (s. sogleich V. 3.).

81 Auch der Schluss, dass aus dem Fehlen einer Öffnungsregel für das KI-Training mit Art. 9-DSGVO-Daten folge, dass der Europäische Gesetzgeber dies nicht für rechtswidrig hielt, überzeugt mindestens genauso in umgekehrter Richtung.121) Entscheidender Beweggrund der Entscheidung dürfte aber die Feststellung – unter Verweis auf die Erwägungsgründe 1 und 8 KI-VO – sein, dass der Gesetzgeber eine weltweite Führungsrolle in der KI-Entwicklung anstrebe und es „außer Zweifel“ stehe, „dass eine solche Vorreiterrolle kaum zu erreichen ist, wenn im Geltungsbereich der DSGVO ein Training von generativer KI mittels Massendaten unmöglich wäre.“122) Das ist eine sehr pragmatische und vor allem stark politische Argumentation.

3. Auswahl berechtigter Interessen als „Einwilligung light“

82 Im Meta-Fall wiederholt sich zudem ein Phänomen, das in der Industrie der Personendaten – insbesondere im targeted advertising123) – schon länger zu beobachten ist. In Consent Management Plattformen wird Nutzern häufig gleichzeitig eine Einwilligung mit Opt-in-Mechanismus124) und eine auf ähnliche Datenverarbeitungen gerichtete Datenverarbeitung auf Basis berechtigter Interessen mit Opt-out-Mechanismus präsentiert.125) Auch im Meta-Fall mussten und müssen Nutzer der Berechtigung von Metas Interessen widersprechen. Ohne Widerspruch findet die Datenverarbeitung statt.

83 Art. 21 Abs. 1 DSGVO gibt Betroffenen durchaus ein Widerspruchsrecht gegen die Verarbeitung ihrer Personendaten über Art. 6 Abs. 1 lit. e und f DSGVO, allerdings „aus Gründen, die sich aus ihrer besonderen Situation ergeben“. Regelfall ist also die Berechtigung der Interessen. Der Widerspruch ist die Ausnahme mit Rücksicht auf eine „besondere Situation“ des Betroffenen und dient der „Korrektur besonderer Einzelfälle“126) bzw. von „atypischen Konstellationen“.127) Ein unbedingtes Widerspruchsrecht findet sich nur in Art. 21 Abs. 2 DSGVO für Direktwerbung. Diese hat aber einen wesentlich engeren Anwendungsbereich als targeted advertising128) und KI-Training fällt ohnehin nicht unter Abs. 2.

84 Der (hier einschlägige) Regelfall bindet den Widerspruch also an eine besondere Situation des Betroffenen. Die DSGVO verlangt, dass Unternehmen wie Meta das Risiko einer Fehleinschätzung selbst tragen und den Erlaubnistatbestand der berechtigten Interessen nicht über einen schiefen Widerspruchsmechanismus in Richtung einer kleinen Einwilligung ausweiten. Nutzer könnten ansonsten den Eindruck gewinnen, selbst Schuld an ihrer Misere zu sein, da sie ja leicht hätten widersprechen können. Hier scheint Meta für sich das Beste aus beiden Welten – Einwilligung und berechtigte Interessen – zu vereinen: Während eine wirksame Einwilligung in besonderem Maße an die Erfüllung von Informationspflichten sowie formale Vorgaben (unter anderem besagtes Opt-in-Gebot) gebunden wäre (Art. 4 Nr. 11; 7; Erwägungsgrund 32 DSGVO), zitiert das Meta-Widerspruchsformular keinerlei Rechtsvorschriften (wie z.B. Art. 21 DSGVO) und enthält hinsichtlich der beabsichtigten Datennutzung noch allgemeinere Informationen als das OLG Köln-Urteil, nämlich, „(…) dass Meta deine öffentlichen Informationen (…) verwendet, um generative KI-Modelle für KI bei Meta zu entwickeln und weiter zu verbessern“.129)

85 Dass es offenbar unmöglich ist, das Training mit den Daten einzelner Betroffener wieder rückgängig zu machen, findet sich im Widerspruchsformular nur verklausuliert wieder: „Wenn du einen Widerspruch einreichst, werden wir dir eine E-Mail mit der Bestätigung senden, dass sie nicht mehr für zukünftiges(!) Training verwendet werden.“130) Für die Bewertung könnte an die Rechtsprechung zur Erheblichkeit unbehebbarer Mängel im Kaufrecht angeknüpft werden. Dort sinkt die Erheblichkeitsgrenze rapide, wenn der Käufer dauerhaft mit dem Mangel leben muss.131) Dieser grundlegende Rechtsgedanke könnte für Art. 6 Abs. 1 lit. f. DSGVO die Wertung nahelegen, dass nicht revidierbare Konsequenzen einer Datenverarbeitung ein erhebliches Interesse des Nutzers an deren Unterlassung begründen.

86 Optional enthielt (und enthält) das Formular zudem eine Erklärung zur besonderen Situation i. S. d. Art. 21 Abs. 1 DSGVO („Bitte erkläre, wie sich diese Verarbeitung auf dich auswirkt.“).132) Es hat aber den Anschein, als sei jeder Widerspruch sofort akzeptiert worden. Nun könnte man die großzügige Handhabung des Widerspruchsrechts als datenschutzrechtlichen Vorteil sehen. So taten es sowohl die irische Datenschutzbehörde, die ein vereinfachtes Widerspruchsformular gefordert hatte,133) als auch das OLG Köln, demzufolge diese Praxis Nutzern eine „effektive Möglichkeit [gibt], eine Aufnahme ihrer personenbezogenen Daten in den Trainingsdatensatz zu verhindern“.134) Die Gegenansicht wäre aber, wie eben dargelegt wurde, dass die größere Autonomie der Betroffenen für Verantwortliche den Verarbeitungsspielraum vergrößert bzw. das Risiko einer Fehleinschätzung abschwächt. Art. 6 Abs. 1 lit. f. DSGVO droht zur „Einwilligung light“ zu werden – ohne den Schutz der hohen Einwilligungsvoraussetzungen (u.a. vor einem Opt-out-Mechanismus).

4. Folgerungen

87 Europäische KI-Anbieter werden sich gezwungen sehen, mit ähnlich harten datenschutzrechtlichen Bandagen wie die US-Konkurrenz und entsprechenden Haftungsrisiken zu arbeiten oder aber im KI-Wettlauf die hinteren Plätze zu belegen. Denn eine DSGVO-konforme KI wird es in der EU schwer haben, Marktanteile zu erobern, weil Personendaten nun einmal essenziell für das Training einer für Menschen nützlichen KI sind.

88 Einen alternativen Weg könnte die Mitbewerberklage über § 3a UWG eröffnen. Ihr strategischer Einsatz135) bietet Unternehmen wenigstens theoretisch die Möglichkeit, Konkurrenten aus Drittstaaten an die EU-Digitalgesetzgebung zu binden. Fraglich sind aber die oben angesprochenen Durchsetzungsmöglichkeiten (s.o. III. 4.). Wenn Unternehmen die vom EuGH befürwortete, ergänzende Durchsetzung der DSGVO besorgen sollen, brauchen sie entsprechende Ansprüche. Hier bedarf es einer Diskussion, ob – ggf. de lege ferenda – ein Anspruch auf Marktbereinigung geschaffen werden sollte, um gleiche Wettbewerbsbedingungen zu schaffen. Eine besondere Herausforderung liegt dabei in der womöglich nicht anhaltenden Rechtsverletzung, was den Weg über Unterlassungsansprüche versperrt (s.o. III. 4.).

VI. Ergebnisse

89 Verbände und Mitbewerber haben grundsätzlich eine UWG-Klagebefugnis über §§ 8 Abs. 3, 3a UWG i.V.m. der DSGVO. Die DSGVO enthält Marktverhaltensregelungen, allerdings ist dies für jede Vorschrift einzeln festzustellen.

90 Zentral für die Bestimmung von Marktverhaltensregeln ist die Frage, welche Interessen die DSGVO schützt. Dies ist schwierig zu beantworten, weil Datenschutzverletzungen immer über den „Umweg“ der Betroffenen gehen und begründet werden muss, inwiefern sie für Mitbewerber des Verantwortlichen ein Nachteil sind. Der BGH versteht Datenschutz tendenziell als Verbraucherschutz, weshalb jeweils der Bezug zur Nachfrageentscheidung der Verbraucher hergestellt werden muss. Der EuGH tendiert dazu, Datenschutz auch in Richtung einer Regelung des Zugangs zu Personendaten als wertvoller Ressource zu verstehen, was für Mitbewerber im Kontext von § 3a UWG günstiger wäre. Für beide Ansichten wurde hier vertreten, dass die über § 3a UWG beanstandete Interessenverletzung zum einen in einer Schädigung der Digitalwirtschaft und zum anderen im systematischen Vorteil der Verletzer gegenüber rechtstreuen Unternehmen liegt. Hiermit verwandt ist auf Ebene der Spürbarkeit, dass ein ähnliches Marktversagen wie bei AGB vorliegt, da die Einholung von Einwilligungen und wohl auch Datenschutzbedingungen generell einen Akerlof-Markt darstellen.

91 Höchstrichterlich ist nur die fehlerhafte Einwilligung als Marktverhaltensregel gesichert. Wahrscheinlich erscheint dies auch für Mängel bei anderen Erlaubnistatbeständen, insbesondere im Falle des Art. 6 Abs. 1 lit. f. DSGVO. Die Verletzung datenschutzrechtlicher Informationspflichten (insbesondere Art. 12 ff. DSGVO) hat der BGH in § 5a UWG verschoben, sodass anstelle eines nur formalen DSGVO-Verstoßes die Schwelle der nach UWG-Kriterien zu prüfenden Irreführung überschritten sein muss. Auch interne/vorgelagerte Datenschutzvorschriften sind wohl keine Marktverhaltensregeln.

92 Grundsätzlich bietet die Kombination aus UWG und DSGVO Mitbewerberschutz in der KI-Branche – Personendaten sind für KI-Entwickler knappe Ressourcen. Ein kleiner, aber wichtiger und hochproblematischer Mechanismus, der sich häufig in der Industrie der Personendaten findet, ist die Anführung berechtigter Interessen als „Einwilligung light“ mit Opt-out-Mechanismus und weitreichenden Verarbeitungsbefugnissen. Ein beachtliches Argument in der Abwägung der Berechtigung im Kontext von KI-Training ist es, wenn Personendaten bzw. die Früchte ihrer Nutzung nicht wieder aus dem Modell entfernt werden können.

93 Dies wurde am Beispiel des Meta-Urteils des OLG Köln gezeigt. Ein an solche Datenschutzverletzungen anknüpfender Unterlassungsanspruch hängt stark vom Fortbestehen der Rechtsverletzung und damit vom jeweiligen KI-Modell ab. Schadensersatzansprüche nach § 9 UWG sind davon unabhängig und grundsätzlich möglich. Allerdings scheinen sie keinen belastbaren Weg zu einer Marktbereinigung zu bieten, die für europäische KI-Unternehmen ein Level Playing Field ohne rechtswidrig trainierte Konkurrenzmodelle herstellen würde. Hier besteht Forschungsbedarf hinsichtlich der Auslegung des bestehenden Instrumentariums bzw. wäre über eine Lösung de lege ferenda nachzudenken.