Einleitung
Das Oberlandesgericht (OLG) Köln hat mit Urteil vom 23.05.2025 (Az. 15 UKl 2/25, siehe hier) entschieden, dass Meta personenbezogene Daten, die Nutzer öffentlich auf Facebook und Instagram eingestellt hatten, für das Training eigener KI-Modelle verwenden darf. Das Urteil ist über Meta hinaus relevant für alle Unternehmen, die KI-Modelle unter anderem mit Kunden beziehungsweise Nutzerdaten trainieren wollen, da es hier die datenschutzrechtliche Argumentationsgrundlage verbessert.
Zum Sachverhalt
Meta kündigte Mitte 2024 an, die von Nutzern auf Facebook und Instagram eingestellten und als öffentlich markierten Inhalte für das Training von KI-Modellen zu nutzen. Der Plan ist allerdings zunächst verschoben worden, weil die irische Datenschutzbehörde (DPC) sowie die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) Bedenken anmeldeten.
Nachdem zwischenzeitlich der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme abgegeben hatte, die die Nutzung der Daten bei Einhaltung von Schutzmaßnahmen für grundsätzlich zulässig erachtete, kündigte Meta den Start des KI-Trainings für den 27.05.2025 an. Meta verbesserte die Schutzmaßnahmen, indem es den Widerspruch gegen die Verwendung für das KI-Training (sogenanntes Opt-out) erleichterte und die De-Identifizierung der Daten optimierte (siehe hier). Die DPC erließ daraufhin keine Untersagungsverfügung mehr, sondern kündigte nur eine Überprüfung für Oktober 2025 an. Die VZ NRW hielt es hingegen weiterhin für unzulässig, die Daten ohne aktive Einwilligung der betroffenen Personen (sogenanntes Opt-in) für das KI-Training zu verwenden. Der Antrag auf Erlass einer einstweiligen Verfügung blieb vor dem OLG Köln allerdings erfolglos.
Die Entscheidung des OLG Köln
Das OLG Köln lehnte den Antrag als unbegründet ab. Es erblickte im Rahmen der gebotenen summarischen Prüfung weder eine unzulässige Zusammenführung von Daten im Sinne von Art. 5 Abs. 2 lit. b Gesetz über digitale Märkte (engl.: Digital Markets Act – DMA) noch eine rechtswidrige Verarbeitung personenbezogener Daten im Sinne von Art. 5 Abs. 1 lit. a Datenschutz-Grundverordnung (DSGVO).
Keine unzulässige „Zusammenführung“ nach DMA
Ein Verstoß gegen Art. 5 Abs. 2 lit. b DMA lag nach Ansicht des OLG nicht vor, denn die Nutzung von Facebook-Daten einerseits und Instagram-Daten andererseits für das Training der gleichen KI stelle keine unzulässige Zusammenführung dar. Eine unzulässige Zusammenführung setze eine „gezielte Verknüpfung von personenbezogenen Daten desselben Nutzers aus verschiedenen Diensten“ zur Erstellung eines Profils voraus. Das bloße Einspeisen in einen unstrukturierten „Datensilo“ zu Trainingszwecken genüge nicht. Diese Interpretation eröffnet Spielräume für Unternehmen, die Nutzerdaten für das Training von KI verwenden wollen, wenngleich Kritiker die Auslegung des OLG Köln als formalistisch angreifen könnten, weil der Geist des Gesetzes umgangen werde, einen Schutz gegen die datengetriebene Marktmacht von Plattformbetreibern sicherzustellen (vgl. etwa Mast/Kettemann/Dreyer/Schulz/Wielsch, 1. Aufl. 2025, DMA Art. 5 Abs. 2 Rn. 60).
Allerdings dürfte der DMA für die meisten Unternehmen direkt keine Rolle spielen, denn die relevanten Vorschriften gelten nur für sogenannte Torwächter. Torwächter sind von der Kommission benannte große Plattformdienste, die 7,5 Milliarden Euro Jahresumsatz beziehungsweise 75 Milliarden Euro Marktkapitalisierung und 45 Millionen Endnutzer oder 10.000 gewerbliche Nutzer allein in der Europäischen Union haben.
Rechtmäßigkeit nach der DSGVO
Relevanter für die meisten Unternehmen dürfte die Entscheidung des OLG Köln in Bezug auf die DSGVO sein. Der Einsatz von Nutzer- beziehungsweise Kundendaten für das KI-Training stellt regelmäßig eine Verarbeitung personenbezogener Daten dar, so dass die Anforderungen der DSGVO eingehalten werden müssen. Das OLG Köln sah im Fall von Meta diese Voraussetzungen als erfüllt an.
Die DSGVO ist als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Wer personenbezogene Daten verarbeitet, muss dafür einen Erlaubnistatbestand aufzeigen. Eine solche Erlaubnis liegt insbesondere vor, wenn die betroffene Person informiert und freiwillig eingewilligt hat (Art. 6 Abs. 1 lit. a DSGVO). Die VZ NRW forderte unter anderem gerade eine solche Einwilligung. Für Meta kam dies wohl aus praktischen Gründen nicht in Betracht, denn die meisten Betroffenen dürften auf die Aufforderung zur Einwilligung hin schlicht untätig bleiben. Meta dürfte die Nutzer auch nicht etwa durch ein „Aussperren“ aus seinen Netzwerken zur Einwilligung zwingen, denn die Verweigerung der Einwilligung darf nicht mit Nachteilen verbunden werden.
Berechtigtes Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO)
Meta stützt die Datenverarbeitung zum Zwecke des KI-Trainings stattdessen auf ihr berechtigtes Interesse. Im Ergebnis sah auch das OLG Köln ein berechtigtes Interesse gegeben. Es folgte der Stellungnahme des EDSA vom 17.12.2024 und der juristischen Literatur, die wirtschaftliche Belange als legitime Interessen anerkennen.
Laut OLG Köln war die Datenverarbeitung auch erforderlich für Meta, um ihr berechtigtes Interesse zu verfolgen. Alternativen wie anonymisierte oder synthetische Daten begründeten – wie von Meta argumentiert – die Gefahr eines „minderwertigen Produkts“. Insbesondere sei eine Einzelprüfung je Datenpunkt weder praktikabel noch angemessen, da für das KI-Training „riesige Mengen“ an Daten (Erwägungsgrund 105 Satz 2 des EU Artificial Act – AI Act) erforderlich seien.
Das OLG Köln urteilte zudem, dass die Interessen der betroffenen Personen nicht die Interessen Metas überwiegen. Für das OLG war insbesondere ausschlaggebend, dass die Daten bereits öffentlich waren und Meta andererseits wirksame Abhilfemaßnahmen ergriff.
Meta beschränkt die Verarbeitung auf Daten, die bereits öffentlich und damit grundsätzlich für jedermann einsehbar und auch über Suchmaschinen auffindbar sind. Meta verhindert lediglich das sogenannte Webscraping (also das systematische und automatisierte Herunterladen größerer Datenbestände aus dem Internet) von Daten, die öffentlich auf den eigenen sozialen Netzwerken geteilt werden. Durch die Verwendung für das KI-Training ergeben sich nach Ansicht des OLG Köln daher in der Regel keine neuen Eingriffe in die Privatsphäre der Betroffenen, zumal ein KI-Modell nicht mit einem Datenarchiv gleichzusetzen sei, aus dem Daten strukturiert heruntergeladen werden können.
Darüber hinaus würdigte das OLG Köln zugunsten von Meta, dass Meta zahlreiche der vom EDSA ergriffenen Maßnahmen umgesetzt hat, um die Eingriffsintensität abzuschwächen. So habe Meta insbesondere eine hinreichende De-Identifizierung der Daten (Entfernung von direkten Identifikatoren wie Name, Telefonnummer oder E-Mail-Adresse) glaubhaft gemacht. Dadurch werde zwar keine Anonymisierung erreicht, die Zuordnung zu konkreten Personen wird aber erheblich geschwächt. Zudem stünden den Nutzern ausreichende Möglichkeiten zur Verfügung, die Nutzung ihrer Daten für das KI-Training zu verhindern. So könne der Nutzung für das KI-Training widersprochen werden oder den Daten leicht der Status „öffentlich“ entzogen werden.
Verarbeitung sensibler Daten (Art. 9 Abs. 1 DSGVO)
Das Gericht erkannte an, dass die Trainingsdaten zwangsläufig sensible Daten enthalten, wie etwa Daten, aus denen sich Informationen über den Gesundheitszustand oder politische Meinungen ergeben. Die Verarbeitung solcher Daten kann nicht mit einem berechtigten Interesse gerechtfertigt werden. Als Rechtfertigungstatbestand konnte hier insbesondere Art. 9 Abs. 2 lit. e DSGVO herangezogen werden, denn danach dürfen sensible Daten verarbeitet werden, wenn sie von der betroffenen Person „offensichtlich öffentlich gemacht“ wurden. Das greife aber nur für Daten, die vom betroffenen Nutzer selbst öffentlich eingestellt wurden. Für Daten Dritter, die ebenfalls auf sozialen Netzwerken veröffentlicht werden, greife die Ausnahme nicht. Das OLG schränkte stattdessen den Anwendungsbereich von Art. 9 Abs. 1 DSGVO ein, weil es aus dem AI Act das Ziel des Gesetzgebers herausliest, die Entwicklung von KI grundsätzlich fördern zu wollen. Nach dem OLG Köln muss Meta die Daten nicht anlasslos auf sensible Daten Dritter prüfen, sondern muss dies erst auf Antrag der betroffenen Person hin prüfen. Das OLG Köln zeigt damit, dass es gewillt ist, den Interessen der Entwickler von KI-Modellen entgegenzukommen und praktische Lösungen zu finden, wenn die DSGVO bei wortlautgetreuer Auslegung allzu rigide ist.
Fazit: Datenschutz im Interesse der Innovation
Das OLG Köln versucht in seinem Urteil, das bestehende zum Teil sehr rigide Datenschutzrecht im Interesse der Innovation weit auszulegen. Unternehmen, die personenbezogene Daten – zum Beispiel Kunden- und Nutzerdaten – für das Training eigener KI-Modelle nutzen wollen, bietet das Urteil Orientierung und eine Argumentationsbasis. Es bleibt allerdings abzuwarten, inwiefern das Urteil einem Belastungstest durch den Europäischen Gerichtshof (EuGH) standhält, denn das OLG dehnt den Auslegungsspielraum zuweilen sehr weit aus und betont, dass es nur eine summarische Entscheidung getroffen habe. Eine fundierte Beratung im Einzelfall kann jedoch helfen, das rechtliche Risiko zu minimieren. Schlimmstenfalls drohen nicht nur Bußgelder und Schadensersatzforderungen, sondern es ist auch denkbar, dass ein KI-Modell wieder gelöscht werden muss, wenn es zu Unrecht mit personenbezogenen Daten trainiert wurde.
Autor
Alexander Schmalenberger, LL.B.
alexander.schmalenberger@taylorwessing.com
www.taylorwessing.com